稽核人員新思維！

十天不到的時間，連續飛了兩次香港。不知情的人，以為我的工作是職業領隊或是空服員。實際上，是協助當地的同仁，配合主管機關對我們的子公司進行查核。整個的查核過程，很明顯的可以發現，香港主管機關是採用以風險基礎的查核方式(Risk based audit approach)，與現行國內所常見的遵行性查核(compliance tests)以及證實性查核(substantive tests)有著截然不同的方向。
簡單的說，風險基礎的查核方式，首先必須先收集產業的特性及知識，以及相關法令法規的要求，進而了解企業的控制環境及風險評估的架構，藉以明瞭企業是否清楚的知道內外在的風險，並且針對這些風險進行各項控管。而遵行性查核是去驗證相關的作業規章是否存在，同時透過證實性查核，確認企業是否依照所訂定的制度執行。換言之，國內的查核方式注重在細節的執行，而國外則是重視風險的掌控與應變，比較從大方向思考。就整個發展過程而言，國外的經驗也是從過去的控制點檢核，到現在的風險評估、風險管理，進而發展到最近很熱門的資訊治理(IT governance)，其最終目的，就在於資訊政策能與企業政策相結合，進而使企業與股東獲得最大的報酬。
也正因為整個環境的不同，過去我們常看到國內的稽核報告，不知道是師出同源，或是敷衍了事，完全不考量查核單位的現行的做法或是各項潛在風險，也沒有辦法清楚的表達控管點在何處，只以稽核人員過去的經驗當作準則，與過去經驗不符合的就判定為缺失。甚至拿參加一場研討會，就把研討會的資料當作下次查核缺失的依據。把一個發生機率很低的缺失，可以被當成是網路遭受到攻擊。而國外的查核方式，就與BS7799設計的概念相類似。很可惜到現在國內還有部分人士認為，資訊安全的查核就是把BS 7799那127個控制目標，要求放在作業程序內，爾後就將這些控制目標列入查檢表。所以條文中有提到的管理審查及風險評估，都只是查檢表中的一個項目，至於其所代表的涵義，就不是查檢表能表達的。然而風險評估真正的目的，在於讓企業了解現階段所面臨的各種資訊風險，藉由那些控管項目，來降低發生的機率。同時透過管理審查的過程，讓高階主管能夠確實的了解到各種風險對企業的影響，並且能加以承諾。如果有成本的考量，最少要讓高階經理人能夠知道風險的存在，一但很不幸有類似情況發生時，是在企業可接受的範圍或是讓損失最小。然而很多人對於ISMS這一整套制度，不去思維每一個條文其背後所代表的涵義及關聯性，只把它當作認證的標準，或是教課書來背誦，那就完全失去當初建置的精神與目的了。
眾所週知，目前在國內專職從事電腦稽核的人員，數量還是有限。同時依照過去的經驗，一個新進人員，至少要經過2年以上的歷練，其所做出的查核結論，才能對企業比較有所助益。如果整個大環境不加以改善，思維模式不做大幅度的調整，可以預見的是，號稱與國際接軌的我們，實際上卻與國際漸行漸遠。
威脅是一個長期性、可能性的，而攻擊是一個確切地、實際地發生的行為。 資訊安全管理者常常忽略掉的威脅，如電話、水與污水服務、託管服務等，失去上述服務可能會造成系統或企業運作之失常，所以同樣不可忽視。