https://newera17031.activehosted.com/index.php?action=social&chash=0245952ecff55018e2a459517fdb40e3.2287&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=1baff70e2669e8376347efd3a874a341.2327&nosocial=1

觀點

稽核人員新思維!

2005 / 11 / 04
魯智深
稽核人員新思維!

十天不到的時間,連續飛了兩次香港。不知情的人,以為我的工作是職業領隊或是空服員。實際上,是協助當地的同仁,配合主管機關對我們的子公司進行查核。整個的查核過程,很明顯的可以發現,香港主管機關是採用以風險基礎的查核方式(Risk based audit approach),與現行國內所常見的遵行性查核(compliance tests)以及證實性查核(substantive tests)有著截然不同的方向。
簡單的說,風險基礎的查核方式,首先必須先收集產業的特性及知識,以及相關法令法規的要求,進而了解企業的控制環境及風險評估的架構,藉以明瞭企業是否清楚的知道內外在的風險,並且針對這些風險進行各項控管。而遵行性查核是去驗證相關的作業規章是否存在,同時透過證實性查核,確認企業是否依照所訂定的制度執行。換言之,國內的查核方式注重在細節的執行,而國外則是重視風險的掌控與應變,比較從大方向思考。就整個發展過程而言,國外的經驗也是從過去的控制點檢核,到現在的風險評估、風險管理,進而發展到最近很熱門的資訊治理(IT governance),其最終目的,就在於資訊政策能與企業政策相結合,進而使企業與股東獲得最大的報酬。
也正因為整個環境的不同,過去我們常看到國內的稽核報告,不知道是師出同源,或是敷衍了事,完全不考量查核單位的現行的做法或是各項潛在風險,也沒有辦法清楚的表達控管點在何處,只以稽核人員過去的經驗當作準則,與過去經驗不符合的就判定為缺失。甚至拿參加一場研討會,就把研討會的資料當作下次查核缺失的依據。把一個發生機率很低的缺失,可以被當成是網路遭受到攻擊。而國外的查核方式,就與BS7799設計的概念相類似。很可惜到現在國內還有部分人士認為,資訊安全的查核就是把BS 7799那127個控制目標,要求放在作業程序內,爾後就將這些控制目標列入查檢表。所以條文中有提到的管理審查及風險評估,都只是查檢表中的一個項目,至於其所代表的涵義,就不是查檢表能表達的。然而風險評估真正的目的,在於讓企業了解現階段所面臨的各種資訊風險,藉由那些控管項目,來降低發生的機率。同時透過管理審查的過程,讓高階主管能夠確實的了解到各種風險對企業的影響,並且能加以承諾。如果有成本的考量,最少要讓高階經理人能夠知道風險的存在,一但很不幸有類似情況發生時,是在企業可接受的範圍或是讓損失最小。然而很多人對於ISMS這一整套制度,不去思維每一個條文其背後所代表的涵義及關聯性,只把它當作認證的標準,或是教課書來背誦,那就完全失去當初建置的精神與目的了。
眾所週知,目前在國內專職從事電腦稽核的人員,數量還是有限。同時依照過去的經驗,一個新進人員,至少要經過2年以上的歷練,其所做出的查核結論,才能對企業比較有所助益。如果整個大環境不加以改善,思維模式不做大幅度的調整,可以預見的是,號稱與國際接軌的我們,實際上卻與國際漸行漸遠。
威脅是一個長期性、可能性的,而攻擊是一個確切地、實際地發生的行為。 資訊安全管理者常常忽略掉的威脅,如電話、水與污水服務、託管服務等,失去上述服務可能會造成系統或企業運作之失常,所以同樣不可忽視。