|
公開發行公司建立內部控制制度處理準則第9條規定:
「公開發行公司使用電腦化資訊系統處理者,其內部控制制度除資訊部門與使用者部門應明確劃分權責外,至少應包括下列控制作業:
一、資訊處理部門之功能及職責劃分。
二、系統開發及程式修改之控制。
三、編製系統文書之控制。
四、程式及資料之控制存取。
五、資料輸出入之控制。
六、資料處理之控制。
七、檔案及設備之安全控制。
八、硬體及系統軟體之購置、使用及維護之控制。
九、系統復原計畫制度及測試程序之控制。
十、資通安全檢查之控制。
十一、向本會指定之網站進行公開資訊申報相關作業之控制。」
|
(一)
何謂「資訊安全」?
資訊對組織而言就是一種資產,和其他重要的營運資產一樣有價值,所以需要持續給它保護。
(二)
資訊存在的方式:
1. 列印或書面表示。
2. 電子方式儲存。
3. 郵寄或是電子郵件傳送。
4. 影片播放或以口頭說明。
無論資訊的形式為何,無論以何種方式與他人共享或儲存,都應以適當的方式加以保護。
(三) 為維護資訊安全BS ISO17799:2000的定義是:
1. 機密性(confidentiality):確保只有經授權(authorized)的人才能存取資訊。
2. 完整性(integrity):保護資訊與處理方法的正確性與完整性。
3. 可用性(availability):確保經授權的使用者在需要時可以取得資訊及相關資產。
(四) 如何執行資訊安全?
要達到資訊安全就必須實施適當的控制措施,例如:資訊安全政策、實務規範(practice)、程序、組織架構及軟體功能,為達成營運既定的安全目標,就必須建立這些控制措施。
|
相關法規與法令:
l ISO 17799/BS 7799-1/CNS 17799:11章節的控制措施
l ISO 27001/BS 7799/CNS 27001:ISMS
l ITIL營運服務規範
l 個人資料保護法
l 智慧財產權
|
(一)
定義核心資源與服務水準:
1. 組織高階主管,定義核心資源與SLA(Service Level Agreement)。
2. 資源與SLA應定義多層等級。
3. 服務水準之定義應包括外部SLA。
4. 依各資源編列執行計畫與成本。
5. 對於不可抗拒SLA項目,提供因應方案。
6. 確認備份、備援資源與計畫。
7. 提供風險與緊急應變方案,與復原計畫。
(二)
資料之機密與保全:
1. 資料源應含DB,任何形式之文件、檔案。
2. 針對機密性系統、資料,確保安全無虞。
3. 對於機密性系統、資料,底層務必加密。
4. 檢核系統需要,泯除不必要資訊取用。
5. 因應個資法,資訊的呈現需符合規範。
6. 限制越多的管制,越不方便;越方便的作業,越不安全。
(三)
備份、備援機制:
1. 依定義之服務水準SLA設計備份計畫。
2. 定期排定備份驗證與復原演練。
3. 驗證確認資源異常能承受之最大損失。
4. 驗證項目需包含各資源及文件資源。
5. 異地、多份備份、備援之降低風險考量。
6. 各資源備援機制之設計與計畫驗證執行。
7. 明列風險,定期檢視,主管通報。
(四)
資源異常之緊急因應方案:
1. 依政策制定,中斷服務之緊急因應方案。
2. 維持核心資源之不中斷服務。
3. 確認緊急因應方案之範圍,及補救措施。
4. 恢復服務時,提報中斷服務維護報告。
5. 檢討政策,相關問題併入風險評估作業。
(五)
文件資料之製作、保存與交接:
1. 檢核各資源皆可能異常、異動之準備。
2. 確認足夠資訊以因應再次複製現況。
3. 可追溯歷程資料,彙整資訊提供準備。
4. 建立制度,平時產出必要文件。
5. 列入重要核心資源政策討論。
6. 必要時,進行第三方介入演練。
(六)
工作落實與可稽核性:
1. 針對政策與SLA定義,確認工作細節。
2. 確認各資源之執行權限,符合政策SLA。
3. 各資源執行與變動,皆須有紀錄可回溯。
4. 確認安排固定、經常性之活動。
5. 對於資源、成本不足,明列風險。
6. 檢核缺失,回饋政策與SLA改善方案。
(七)
明列風險、計畫檢討:
1. 對各項目之已知風險及未知風險表列。
2. 重新檢核成本投入與風險發生之損失。
3. 組成一級主管會議,定期告知與討論。
4. 依據公司決策與政策,ReNew政策計畫。
5. 依據政策調整,重新定義作業項目。
三、總結:
沒有留言:
張貼留言