执行有效的信息科技风险评估和稽核计划内部稽核部门应考虑的信息科技趋势与查核方针.pdfVIP

执行有效的信息科技风险评估和稽核计划： 内部稽核部门应考虑的信息科技趋势与查核方针 ◆ 张腾龙 一 、 前言 于外部的威胁。自携装置 (Bring 险环境变化往往造成企业信息安全人 YourOwnDevice，BYOD)、云端计 员因忙于因应现行的问题而没有充足 随着科技的日新月异及全球经 算、社群媒体及员工恶意破坏——这 的时间去预测未来的潜伏风险。在 济模式的改变，企业面临的经营环 仅是企业可能面临的一部分 内部 这样的环境下，企业主管与信息安 境与挑战与过去已绝然不同，实时 威胁。对外，企业所面临的风险已 全人员必须明确地辨识企业的关键 辨识与管理企业风险已成为企业高 不只是来 自业余黑客，有组织性及 系统与数据，并清楚的了解其用途、 阶主管的主要职责。然而在现今复 杂的风险环境下，企业往往无法实 目的性 的进阶持续性渗透攻击 架设的环境及组织 内外权限需求， (AdvancedPersistentThreat，APT) 以便信息安全人员评估企业信息科 时掌握企业风险转变之先机。因此， 内部稽核部门除了执行法令遵循的 已是台湾企业所面临的资安风险 技环境，哪里最容易受到攻击并规 现况。 划相关因应措施，毕竟企业须将有 稽核计划外，也需要协助企业评估 信息科技迅速发展所带来的风 限的资源用在刀刃上。如表 1所示。 风险并强化与企业高阶主管之间有 关风险之沟通，以塑造组织重视风 ■蚕 险概念之组织文化并协助企业掌握 内部稽核方针 执行要点 风险的变化与未来趋势。其中，因信 信息安全政策评估 ：评估企业 现行信息安全政策所 包含的范围是否适 息科技的发展而带来的风险更是企 的信息安全政策，包括资安策 当?信息安全是否融入企业内部，还是 业必须考虑的重点之一，如何运用 略、员工资安意识提升和培训、普遍被认定为 “IT部门”的职责? 系统弱点评估、系统监测、资安 企业如何评估信息风险和减轻威胁? 与管理信息科技往往成为企业是否 事件处理与报告 。 能迅速降低风险的关键。内部稽核 威胁和弱点管理政策评估：评 企业是否有订定TVM政策?TVM政策的 部门在订定年度稽核计划与协助企 估组织 的威胁 和弱点 管理 范围与内容是否完善? 业执行风险评估时，必须考虑有哪 fThreatandVulnerabilities TVM 政 策是否呼应企业营运 策略和风 险 一 些信息科技趋势将影响企业所面 Management，TVM)政策，包 胃纳? 临的风险。在本文中提出几个值得 括威胁情报收集、弱点辨识、 TVM政策是否与其他信息安全及IT功能 修复、检测和对策规划。 相互结合? 内部稽核部门考虑的信息科技趋势， 企业是否已建置适当程序来确保 已发现的 并提供一些能为内部稽核价值加分 问题被妥善解决? 的查核方针。 弱点扫描 ：定期执行渗透测试 企业是否清楚了解固有的弱点和高风险区 (AP)。这些不应该只是基本 域? 二、信息科技安全 的弱点扫描，建议企业应以企 当企业发现其信息环境已被入侵，企业是 传统的信息科技安全管理偏重 业