《前言》
指引的第六章的部分較長,所以我們今天先探討十七~二十條的部分。
=====================================
第六章 資通安全防護及控制措施
第十七條、 依網路服務需要區隔獨立的邏輯網域(如:DMZ、內部或外部網路等),並將開發、測試及正式作業環境區隔,且針對不同作業環境建立適當之資安防護控制措施。
第十八條、 具備下列資安防護控制措施:
一、 防毒軟體。
二、 網路防火牆。
三、 如有郵件伺服器者,具備電子郵件過濾機制。
四、 入侵偵測及防禦機制。
五、 如有對外服務之核心資通系統者,具備應用程式防火牆。
六、 進階持續性威脅攻擊防禦措施。
七、 資通安全威脅偵測管理機制(SOC)。
第十九條、 針對機敏性資料之處理及儲存建立適當之防護措施,如:實體隔離、專用電腦作業環境、存取權限、資料加密、傳輸加密、資料遮蔽、人員管理及處理規範等。
第二十條、 訂定到職、在職及離職管理程序,並簽署保密協議明確告知保密事項。
=======================================
《探討及分析》
有關資安防護及控制措施這章,都是基本的防護措施,但是,目前這部分卻不見得在內稽時,會看到報告內會寫清楚這部分,例如,第十七條有關網段切割的部分,通常我們在抽核部門時,正常都要問一下公司MIS怎麼切割公司網域,請他們ping網段之後,貼到記事本,並作為查核底稿,這是內稽時所必要做的事情。這部分在內稽書面內控,是要寫入『電腦化資訊系統處理』的『資通安全檢查之控制』作業項目內的。
接著,我們看第十八條的部分,有關資安防護措施,防毒軟體、防火牆、mail server前三款都算是基本的檢查,我們會去看流量表,通常會針對有異常的流量的區間,詢問資訊部門相關的原因,有必要還要檢視系統稽核日誌,第五款是公司如果有APP或外掛程式的檢查,這部分可以請外包商或APP開發者配合,初期可透過訪談了解開發方式,再請他們撰寫制度及控制重點,這部分也要請外包商或開發者配合資安演練。第六款是進階防禦措施,『進階』就看公司進度到甚麼階段了。最後一款的資安威脅偵測管理機制(SOC),是屬於進階之後的措施。所以一到三款大部分會放在『電腦化資訊系統處理』的『資通安全檢查之控制』作業項目內,第五款有關對外服務的應用程式,大部分要寫入『電腦化資訊系統處理』的『系統開發及程式修改之控制』作業項目內,同時,再『採購循環』內,也必須規定有關資訊外包的客戶調查及後續採購流程的方式。
第十九條的部分是有關機敏資料的的防護措施,這裡分出七個項目:
(1) 實體隔離
(2) 專用電腦作業環境
(3) 存取權限
(4) 資料加密
(5) 傳輸加密
(6) 資料遮蔽
(7) 人員管理及處理規範
有關機敏資料的防護,前幾篇我們有討論過,指引第十九條的規範,就是公司的制度要規範進去的七個基本要求,這個是公司內部所有人都應該要知道的,也應該要遵守的,教育訓練時,也都是基本的教育訓練課程。
第二十條的部分,在『薪工循環』裡的『僱用、職務輪調、辭退、退休』等之政策及程序內,都會寫進內控制度內的,例如,員工在離職時,看到離職單上都會有資訊部門的離職處理程序,到職時也是一樣,一般的內部稽核人員除非有重大事故,否則大部分會抽核檢視的方式來看公司狀況,這裡比較要注意的是,公司重要高層的內部管理者的查核
,這個建議最好是列為必要檢視的項目
,尤其是這些高層掌握公司的營業秘密,站在公司立場,嚴格檢查,並訴諸較嚴格的法律規範是有其必要性的。
以上給大家做參考!