歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
稽核人員新思維!
2005 / 11 / 04
魯智深
十天不到的時間,連續飛了兩次香港。不知情的人,以為我的工作是職業領隊或是空服員。實際上,是協助當地的同仁,配合主管機關對我們的子公司進行查核。整個的查核過程,很明顯的可以發現,香港主管機關是採用以風險基礎的查核方式(Risk based audit approach),與現行國內所常見的遵行性查核(compliance tests)以及證實性查核(substantive tests)有著截然不同的方向。
簡單的說,風險基礎的查核方式,首先必須先收集產業的特性及知識,以及相關法令法規的要求,進而了解企業的控制環境及風險評估的架構,藉以明瞭企業是否清楚的知道內外在的風險,並且針對這些風險進行各項控管。而遵行性查核是去驗證相關的作業規章是否存在,同時透過證實性查核,確認企業是否依照所訂定的制度執行。換言之,國內的查核方式注重在細節的執行,而國外則是重視風險的掌控與應變,比較從大方向思考。就整個發展過程而言,國外的經驗也是從過去的控制點檢核,到現在的風險評估、風險管理,進而發展到最近很熱門的資訊治理(IT governance),其最終目的,就在於資訊政策能與企業政策相結合,進而使企業與股東獲得最大的報酬。
也正因為整個環境的不同,過去我們常看到國內的稽核報告,不知道是師出同源,或是敷衍了事,完全不考量查核單位的現行的做法或是各項潛在風險,也沒有辦法清楚的表達控管點在何處,只以稽核人員過去的經驗當作準則,與過去經驗不符合的就判定為缺失。甚至拿參加一場研討會,就把研討會的資料當作下次查核缺失的依據。把一個發生機率很低的缺失,可以被當成是網路遭受到攻擊。而國外的查核方式,就與BS7799設計的概念相類似。很可惜到現在國內還有部分人士認為,資訊安全的查核就是把BS 7799那127個控制目標,要求放在作業程序內,爾後就將這些控制目標列入查檢表。所以條文中有提到的管理審查及風險評估,都只是查檢表中的一個項目,至於其所代表的涵義,就不是查檢表能表達的。然而風險評估真正的目的,在於讓企業了解現階段所面臨的各種資訊風險,藉由那些控管項目,來降低發生的機率。同時透過管理審查的過程,讓高階主管能夠確實的了解到各種風險對企業的影響,並且能加以承諾。如果有成本的考量,最少要讓高階經理人能夠知道風險的存在,一但很不幸有類似情況發生時,是在企業可接受的範圍或是讓損失最小。然而很多人對於ISMS這一整套制度,不去思維每一個條文其背後所代表的涵義及關聯性,只把它當作認證的標準,或是教課書來背誦,那就完全失去當初建置的精神與目的了。
眾所週知,目前在國內專職從事電腦稽核的人員,數量還是有限。同時依照過去的經驗,一個新進人員,至少要經過2年以上的歷練,其所做出的查核結論,才能對企業比較有所助益。如果整個大環境不加以改善,思維模式不做大幅度的調整,可以預見的是,號稱與國際接軌的我們,實際上卻與國際漸行漸遠。
威脅是一個長期性、可能性的,而攻擊是一個確切地、實際地發生的行為。 資訊安全管理者常常忽略掉的威脅,如電話、水與污水服務、託管服務等,失去上述服務可能會造成系統或企業運作之失常,所以同樣不可忽視。
稽核
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.22
漢昕科技【 AI驅動的資安自動化革命:整合SOAR、AI威脅狩獵與OT/IT協防實戰研討會】高雄站
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.07.23
數位轉型下,企業的資安策略
2025.07.29
漢昕科技【 AI驅動的資安自動化革命:整合SOAR、AI威脅狩獵與OT/IT協防實戰研討會】台北站
2025.08.05
【2025 資安趨勢講堂】系列研討會
2025.08.08
網站滲透
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
多款知名軟體爆重大漏洞 Fortinet、Adobe、華碩產品受影響
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
資安人科技網
文章推薦
報告:開源惡意軟體暴增近2倍 攻擊者鎖定開發人員竊取憑證
多款知名軟體爆重大漏洞 Fortinet、Adobe、華碩產品受影響
Ruckus Networks 網路管理設備存在多個未修補的嚴重資安漏洞