鐵人檔案
本次主要參考「數位發展部資通安全署」於2022.8.27所公告的「資安演練與稽核」(網址:https://moda.gov.tw/ACS/operations/drill-and-audit/652 ),並配合「上市上櫃公司資通安全管控指引」(網址:https://dsp.twse.com.tw/informationSecurity/list )等法令,來探討資通安全管理內稽內控建立方式。
近期參考了部分公發公司有關資通安全管理的書面內控,就以目前法令所強調的風控導向的角度而言,不管是任何資安模型理論,稽核單位都是處在最後一道防線上,因此,不管內部...
《前言》資安署的網頁內,主要是針對政府機關的外部稽核,公開發行公司在撰寫時,可以參考他們的格式來撰寫,主要還是需要依公司情況來調整自身的制度,如果制訂完制度之後...
《前言》任何制度的訂定,一定會有其目的,所以這次我們就如何撰寫目的的部分,做個說明,目的就是訂立制度所要達到的結果,即使不見得短期內達得到,但是,至少是個方向。...
《前言》在任何作業項目,「時程規畫」是一個很重要的步驟,在訂定時,其實是要呼應到上一篇《目的》所說的最後想要達成的結果,通常在這部分,不太容易訂定,因為要考慮的...
《前言》 最近看了幾篇同業所分享的資通安全檢查的稽核報告,先說明一下,這裡所講的稽核報告,不是電腦稽核報告,是公司的稽核部門所做的查核報告,也就是我們當前最普遍...
《前言》 在資安署的稽核計畫內,有提到《 伍、受稽機關》的部分,這部分會省略掉,因為,通常在一般的發行公司,稽核單位會發出信件,通知受稽單位做好資料整理與準備,...
《前言》 接下來的部分,就進入重要的資安稽核主題,也就是實際的稽核的部分,因為這部分比較長一些,所以,我們就先說資安署所說的《受稽機關分組》,以及《各組稽核方式...
《前言》 這部分就要講到技術檢測以及檢測項目有哪些,另外就是該如何以量化的計分方式呈現,風控導向的資安主要還是需要量化數據,有了量化數據分析之後,就可以在未來將...
《前言》 在上一階段,對於各單位的「技術檢測」之後,再來就是有進入有關於資安的「策略面」、「管理面」以及「技術面」的實地稽核。 ================...
《前言》 一般來說,在稽核之前,都會要求各單位做「自行評估」,自行評估的目的,主要是讓各部門了解,依照制度,各部門的執行率以及達成率有多少?之後,會與內稽之後的...