iT邦幫忙

0

上市櫃的資安建置?

在台灣上市櫃的標準
資安大概要做到什麼程度?
有哪些標準要執行的?

froce iT邦大師 6 級 ‧ 2018-12-25 16:25:55 檢舉
ISMS。
不過其實我是在等雷神的回答。
小魚 iT邦高手 1 級 ‧ 2018-12-25 16:32:25 檢舉
台灣資安好的不多吧 XD
就是花錢囉~IT在這部分就是乖乖聽話做事而已
6
raytracy
iT邦大神 1 級 ‧ 2018-12-25 20:44:16

請參閱內控準則第 9 條:
公開發行公司建立內部控制制度處理準則

內稽內控制度和規範, 是根據每家公司的實際狀況來自行設計, 沒有所謂的標準, 因為各行業的情境不同; 例如: 處理金流的公司可能需要通過 PCI DSS 認證; 處理醫療的公司可能要通過 HIPPA 認證; 即使同一個產業內, 有些公司覺得需要導入 ISO 27000 才足夠, 有的公司覺得它們不需要....

以上怎知夠不夠? 合格標準在貴公司內控單位的主管, 以及外稽單位如會計師的手裡, 只要他們說可以, 就是可以了....(但通常讓他們點頭都是非常高難度的...)

為什麼要會計師點頭?

所有公司活動都是從財務觀點出發, 不管設計甚麼稽核內控制度, 最終目的是要避免公司發生財損(短期或長期), 所以你要從這個最終目標去看資安規劃, 通常就不會偏離太遠...

所以上市公司的資安, 通常不是 IT 部門在規劃決策, 因為 IT 不懂得計算公司的風險和財損; 充其量 IT 只能「協助使用適當的工具來執行」而已, 規劃和策略的源頭是來自財務, 或更明確的說, 應該要來自董事會...

這篇可以看看, 但不是人家講的, 你就一定照著做, 還是要自訂:
MIS部門要如何準備上市上櫃前的前置規劃呢?

另外也有專門的職業: IT人新選擇:電腦稽核師
不過, 要考上 CISA 稽核證照也不是一件容易的事情:
After Passed CISA 考上 CISA 後

0
wilson1966
iT邦研究生 5 級 ‧ 2018-12-26 08:08:08

標準:ISO27001
簡單的講就是花錢,買最新的設備。

1
mytiny
iT邦大師 1 級 ‧ 2018-12-26 09:52:26

建議樓主,如果公司不是很重視資安
同時如果如果職位不是資安長
最好 MIS 要少說話,免得惹禍上身

如果您任職資安長,且公司真的重視
(要小心,有些老闆只是嘴上說說)
可以花點心思在以下項目上

  1. 安全暨風險管理:ISO27005
  2. 資產安全
  3. 安全架構與工程
  4. 通訊及網路安全
  5. 識別暨存取控制
  6. 安全性作業
  7. 安全性評估與測試
  8. 軟體開發安全性

我要發表回答

立即登入回答