《前言》

指引的第六章的部分較長，所以我們今天先探討十七~二十條的部分。

=====================================
第六章 資通安全防護及控制措施

第十七條、 依網路服務需要區隔獨立的邏輯網域(如：DMZ、內部或外部網路等)，並將開發、測試及正式作業環境區隔，且針對不同作業環境建立適當之資安防護控制措施。

第十八條、 具備下列資安防護控制措施：
一、 防毒軟體。
二、 網路防火牆。
三、 如有郵件伺服器者，具備電子郵件過濾機制。
四、 入侵偵測及防禦機制。
五、 如有對外服務之核心資通系統者，具備應用程式防火牆。
六、 進階持續性威脅攻擊防禦措施。
七、 資通安全威脅偵測管理機制(SOC)。

第十九條、 針對機敏性資料之處理及儲存建立適當之防護措施，如：實體隔離、專用電腦作業環境、存取權限、資料加密、傳輸加密、資料遮蔽、人員管理及處理規範等。

第二十條、 訂定到職、在職及離職管理程序，並簽署保密協議明確告知保密事項。

=======================================

《探討及分析》

有關資安防護及控制措施這章，都是基本的防護措施，但是，目前這部分卻不見得在內稽時，會看到報告內會寫清楚這部分，例如，第十七條有關網段切割的部分，通常我們在抽核部門時，正常都要問一下公司MIS怎麼切割公司網域，請他們ping網段之後，貼到記事本，並作為查核底稿，這是內稽時所必要做的事情。這部分在內稽書面內控，是要寫入『電腦化資訊系統處理』的『資通安全檢查之控制』作業項目內的。

接著，我們看第十八條的部分，有關資安防護措施，防毒軟體、防火牆、mail server前三款都算是基本的檢查，我們會去看流量表，通常會針對有異常的流量的區間，詢問資訊部門相關的原因，有必要還要檢視系統稽核日誌，第五款是公司如果有APP或外掛程式的檢查，這部分可以請外包商或APP開發者配合，初期可透過訪談了解開發方式，再請他們撰寫制度及控制重點，這部分也要請外包商或開發者配合資安演練。第六款是進階防禦措施，『進階』就看公司進度到甚麼階段了。最後一款的資安威脅偵測管理機制(SOC)，是屬於進階之後的措施。所以一到三款大部分會放在『電腦化資訊系統處理』的『資通安全檢查之控制』作業項目內，第五款有關對外服務的應用程式，大部分要寫入『電腦化資訊系統處理』的『系統開發及程式修改之控制』作業項目內，同時，再『採購循環』內，也必須規定有關資訊外包的客戶調查及後續採購流程的方式。

第十九條的部分是有關機敏資料的的防護措施，這裡分出七個項目：

(1) 實體隔離
(2) 專用電腦作業環境
(3) 存取權限
(4) 資料加密
(5) 傳輸加密
(6) 資料遮蔽
(7) 人員管理及處理規範

有關機敏資料的防護，前幾篇我們有討論過，指引第十九條的規範，就是公司的制度要規範進去的七個基本要求，這個是公司內部所有人都應該要知道的，也應該要遵守的，教育訓練時，也都是基本的教育訓練課程。

第二十條的部分，在『薪工循環』裡的『僱用、職務輪調、辭退、退休』等之政策及程序內，都會寫進內控制度內的，例如，員工在離職時，看到離職單上都會有資訊部門的離職處理程序，到職時也是一樣，一般的內部稽核人員除非有重大事故，否則大部分會抽核檢視的方式來看公司狀況，這裡比較要注意的是，公司重要高層的內部管理者的查核，這個建議最好是列為必要檢視的項目，尤其是這些高層掌握公司的營業秘密，站在公司立場，嚴格檢查，並訴諸較嚴格的法律規範是有其必要性的。

以上給大家做參考!