觀點

法律人張紹斌接掌電腦稽核協會

2016 / 10 / 03
編輯部
法律人張紹斌接掌電腦稽核協會

成立於1994年的中華民國電腦稽核協會,成立宗旨為推動及協助企業,強化電腦系統的控制與電腦稽核功能,並協助企業保護個人資料等事宜。這個專注於電腦資訊控制與安全的協會,於上周首次由法律人張紹斌接掌理事長。資安人在理事長正式交接後,請張理事長談談,將如何引導協會、如何強化電腦稽核與資安。

張理事長一開頭,就指出國內對資安重視度嚴重不足。就以前陣子剛出事的一銀為例,該行實體的門面,通常裝潢材質都不差,但是網路的大門就不夠好。代表大眾對資訊應用、資安觀念的不足。常常為了成本考量,採用Open source軟體,輕忽了後續安全性維護誰來做? 推出手機App,只要不牽涉信用卡號,發卡公司不涉入管理,就只能靠銀行自己管理,這些App是否夠強建、夠安全誰知道? 券商下單的App是否安全? 張理事長笑稱,他自己用起來也是非常擔心,有時仍採傳統電話下單方式,了解資安危險越多越不敢用。

銀行金融乃至一般企業,考慮的是將本求利,安全這種花錢的事情,惟為有透過法規要求,才有機會落實。就如同當時要求上市櫃公司,需要由會計師簽證財務報表,由會計師做第一階的監督職務。同樣的,在電腦應用既廣且深的現在,我們應該要求,什麼樣規模的公司,需要有哪些電腦稽核的程序,以確保基本管理被落實、基本安全被實現。

企業追求長治久安,強化公司治理將是明確且必要的手段。談到公司治理,除了大家已經習慣的內稽內控,還須強化電腦稽核及資安工作。我們先從高度要求公司治理的金融業、漸次擴大到上市櫃公司、再逐步擴大到一般企業。希望未來所有的企業經營者,都能重視電腦稽核、重視風險管理、重視資安。

同時稽核工作也不再只是事後的查核,應該擴大到事前、事中,及事後的
稽核。讓完成電腦交易流程的程式都能被清楚呈現出來,方能找出最恰當的解決方案。例如現在極為熱門的App,能不能在開發階段,電腦稽核或資安團隊就能參與,一定能減少不需要的風險。畢竟這些App安裝在用戶的手機上,如果不安全,手機用戶也會受到各種風險與威脅。

新上任的張紹斌理事長,過去為國內少數專職於電腦犯罪的檢察官,當時個人對他離開這個專業領域,深深以為是國家社會的損失。現在由他帶領電腦稽核協會,我們必定能期待他引導一片新氣象。張理事長補充說,法律人初次嘗試電腦稽核這個資安領域,希望能呼籲產官學界透過規範來建立一套制度,有了制度,才能長治久安。