IT控制架構COBIT之探討(上) - TWSE 臺灣證券交易所 · (5) 採用COBIT能夠確保組織沒有違反規則 õ法規和合同義務 ö (6) 一個採用COBIT的組織能夠將自己區別於競爭對手

證交資料579期6

壹前言

研議動機與目的

本公司於去(2008)年10月份接受中華民國內部稽核協會所組成之品質評核小組包含

由國際內部稽核協會(The Institute of Internal Auditors, IIA)總部品質經理Sha Wen女士

擔任領隊及內稽界經驗豐富並受過品質評核培訓之專家對本公司之內部稽核進行外部品質

評核這是臺灣的企業針對國際內部稽核執業準則及職業道德規範之遵循情形受到評核的第

一個案例也是IIA推動內部稽核外部品質評核計畫以來全球409家直接接受IIA評核企業

當中的第一家證券交易所依據IIA品質手冊建議評核結果分為三個等級

GC – GENERALLY CONFORMS 此為第一等級所謂普遍遵循係內部稽核單位

在相關的架構政策和程序以及應用的流程皆遵循準則或職業道德的重要規範

PC – PARTIALLY CONFORMS 此為第二等級所謂部分遵循係內部稽核單位

努力遵循準則或職業道德規範但是有些主要目標沒有達成

DNC – DOES NOT CONFORM 此為第三等級所謂尚未遵循係內部稽核單位不

瞭解不努力或沒有達成準則或職業道德的重要規範

本公司品質評核結果為第一等級 - 普遍遵循

中華民國內部稽核協會品質評核團隊於作業完畢後出具臺灣證券交易所內部稽核品質

評核報告認為本公司內部稽核單位普遍遵循準則及職業道德規範單位之環境結構良好

並具前瞻性該單位瞭解IIA準則且管理階層正致力於提供有用之稽核工具與採行適當之實

務且內部稽核團隊整體頗受管理階層之信賴與認可

另在目前本公司內部稽核單位現有之基礎上並依據IIA準則 IIA強力推薦之實務或

是全世界內部稽核專業公認之最佳實務提出幾點建議事項其目的是要改善內部稽核單位

之效果及效率其中建議IT控制架構採行資訊及相關技術的控制目標(Control Objectives

IT控制架構COBIT之探討(上)兼述GTAG之遵循

●

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究

證交資料579期 7

Special Issue

for Information and related Technology COBIT)可協助公司及內部稽核人員覆核完整之

IT領域與必要之IT控制並遵循來自IIA之全球科技稽核指引 (Global Technology Audit

Guides GTAG) 詳見附錄來持續提升與改善IT稽核

目前本公司所導者為資訊安全管理系統標準(ISO 27001) 本文對COBIT及ISO 27001

之控制架構進行分析比較並依據IIA所提供目前已發布之全球科技稽核指引(GTAG)提出心

得報告以供本公司IT部門及內部稽核單位參考

貳 COBIT與ISO 27001之比較

一 COBIT 介紹

1 COBIT的發展

資訊系統稽核與控制協會 Information Systems Audit and Control Association

ISACA 參閱全球不同國家政府機構學術組織廣泛蒐集資訊系統控管標準及最佳化

作業流程共同研擬一套IT 控管標準資訊及相關技術的控制目標(Control Objectives for

Information and related Technology, COBIT) 經過嚴謹審核及品質保證程序訂定於

1996年推出第1版至今仍然持續進展版本演進如圖1

圖1 COBIT版本進展

治理

管理

控制

審計

2005

2000

1998

1996

COBIT 1 COBIT 2 COBIT 3 COBIT 4

資料來源：Ms Foo Mei Ling(2007)

證交資料579期8

目前最新版係由IT治理協會 IT Governance Institute ITGI 於2007年制定之4.1

版本是關於IT安全和控管實務的標準對管理階層使用者以及資訊系統稽核控管和

安全的從業人員提供一個參考架構其所提供的指引使企業能夠對IT實行有效的治理

對於管理階層來說 COBIT幫助他們在一個不確定的IT環境中平衡風險與控制投資指

導他們的IT投資決策並確定他們的資訊和IT資源是否得到了最充分的利用

對於使用者來說 COBIT幫助他們獲得內部或第三方提供的IT服務的安全保證與控制保

證確定他們的IT服務是否對業務流程起到了很好的支持作用

對於稽核人員來說 COBIT幫助他們向管理階層證實他們對內部控制的意見和建議提供

了評估和檢查的標準還提供了改進稽核效率和稽核有效性的架構性方法

這些人員能夠運用COBIT來對組織的IT控制目標進行自我評估

2 瞭解COBIT

COBIT主要目的在於結合IT與企業營運目標對於企業IT主管而言如果不了解

IT治理就會出現重工 IT與營運目標難整合的危機就目前企業所需要的各種框架

(Framework)而言最上層的是公司治理的COSO框架中間是IT治理框架COBIT 最底層

則是IT管理的各種標準與框架包含ITIL ISO 20000 CMMI和ISO 27001皆然

COBIT並不是一組IT控制與稽核項目的集合它通常包含大多數組織與稽核指引都會提

到的IT控制目標對於高階管理層IT控制目標的識別和瞭解構成內部控制的框架框架又

指導組織選擇實施合適的內部控制活動來達成這些IT控制目標 COBIT間接地允許使用

者區分威脅IT控制目標達成的風險的優先級由於 COBIT 建立在與大多數企業密切相關的

IT控制目標上使用它能夠保證評估有效性因為實際運作的表明僅憑一張控制核對

單來處理IT流程的方式通常會導致組織引入不必要的控制或對降低風險無益的控制因

此有必要使用COBIT做評估工具它首先建立IT控制目標然後是相關重大IT風險最

後得出相關的有效的IT控制

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

3 影響COBIT實施的因素

影響到 COBIT 籌備以及整個的實施過程以下幾個因素是必須考慮的

(0) IT部門的規模和組織結構如何對於大型的集中的金字塔型組織 COBIT要由最

高層通過正式的採用程序來處理對於扁平型的組織可以遵循大多數原則如果

所有受到影響的團體都同意共同實施COBIT 那麼就可運行了

(1) 內部稽核組織的規模和結構如何對於擁有獨立的資訊系統稽核單位的大型內部稽

核組織最好先在資訊系統稽核單位實施COBIT 然後再推廣到相應的IT部門或稽

核管理層這種方法能夠贏得大多數人的歡迎

(2) IT稽核與資訊系統稽核稽核與管理之間的關係如何稽核組織的哲學是什麼如

果內部稽核組織也是業務顧問那麼COBIT 的採用比較容易獲得大多數的同意事

實上強調業務流程 IT資源管理業務目標達成的COBIT架構能夠為這種管理

導向的稽核哲學提供指導而關注獨立性的稽核組織與他們客戶的關係就沒有這麼

密切了他們採用COBIT就要聽從執行長和審計委員會的命令了

(3) IT外包程度如何與第三方關係如何如果與第三方關係良好或IT外包程度很

低那麼COBIT的採用就比較容易因為決策僅在組織內部發生否則的話可能

需要對第三方合同進行修正以及採用外部稽核

(4) 組織業務流程重組程度如何組織業務流程重組進行的如何 COBIT能夠為業務流

程改進提供有價值的輸入 COBIT強調加強資訊及資訊相關技術在組織內的使用

這將為改進業務流程提供最佳的實踐指引

4 組織為何採用COBIT

(1) 組織面臨的宏觀問題都集中在公司治理問題上因此管理層維持有效內部控制系

統的壓力正逐步上升法律要求信託責任合同要求社會壓力等問題也困擾著

管理層 COBIT能夠幫助組織做出有說服力的保證諸如IT支持的業務目標能夠達

成 IT 風險已被識別等

證交資料579期10

(2 ) 管理層對於合理使用組織資源負有責任管理層如何知道IT投資是最優的基於

COBIT對IT有效性的評估能夠回答這個問題例如COBIT 建議為負責技術的管理設

立相應的IT流程

(3) 通過控制IT資源 IT服務的總成本將下降 COBIT管理指引為管理層提供了工具

使得管理層能夠進行自我評估為資訊及相關技術的控制實施和控制改進做出決

策這些指導意見幫助把IT組織和企業目標聯繫起來並為保證目標的達成提供了

績效衡量標準

(4) COBIT能夠減輕管理層對IT資源脆弱性和業務目標無法達成的恐懼不確定感懷

疑

(5) 採用COBIT能夠確保組織沒有違反規則法規和合同義務

(6) 一個採用COBIT的組織能夠將自己區別於競爭對手就像擁有ISO 9000證書一樣

COBIT說明組織的IT得到了很好的管理和控制

(7) 一個已經或者將要採用COSO的組織能夠同時採用COBIT 許多組織指出COSO/

COBIT聯合實施後運行得十分平穩因為這兩個框架是如此的互補 COSO負責處

理與內部控制相關的所有問題而COBIT則負責處理IT相關的內部控制問題

(8) 類似地 COBIT與SysTrust的聯合使得組織能夠在進行SysTrust檢查之前先根據

COBIT的流程評估它的IT運營狀況這樣組織就能在獨立稽核人員進行服務檢查

之前識別並糾正控制漏洞

(9) 依據組織規模用於管理和控制的資源是有限的 COBIT提供了評估風險和管理IT

相關披露的框架

(10) 一些內部稽核組織和公共會計公司指出使用了COBIT之後其稽核集成程度得到

改進資訊系統稽核人員與非資訊系統稽核人員使用COBIT來調整他們的稽核目

標交流他們的稽核結果

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

(11) COBIT管理指引為企業管理與IT管理確定與企業目標相符的IT控制水平提供了新的

工具通過定義了成熟度模型關鍵成功因素關鍵目標指標關鍵績效指標管

理指引能夠幫助組織進行策略狀態的自我評估識別改進IT流程的措施監控IT

過程的表現

5 COBIT 的範圍和侷限

要成功實施COBIT 就必須弄清楚什麼是COBIT 它適用於什麼它能作什麼它不能

作什麼概述如下

(1) COBIT是一種思考方式對有些人來說是新的思考方式成功的實施需要進行介

紹教育培訓

(2) COBIT是一個必需根據組織所制定的框架例如 COBIT的IT流程必須與組織現有

的IT流程進行比較必須對組織的風險做出評估設定IT流程的責任

(3) 作為治理控制稽核活動的參考框架 COBIT必須與其他的資源一起使用包

括行業稽核指引像AICPA或FFIEC出版的稽核指引通用控制與稽核指引

如ISACF出版的 CIS稽核手冊 AICPA/CICA SysTrust IIA 的SAC以及平台

相關的指引等

(4) COBIT管理指引是概要性的普遍適用的指引它不提供具體行業標準組織在大

多數情況下需要根據它們的具體環境將這個概要性的指引最適化

6 COBIT的基本原則

想要取得營運所需的資訊企業必須投資在IT資源上這些IT資源應使用結構化

的流程加以管理及控制俾利提供相關服務以產生營運所需的資訊透過管理IT流程

IT Processes 將IT資源 IT Resources 整合應用進而滿足營運需求 Business

Requirements 其基本原則如圖2


(1) 以營運為焦點

為達成營運目標兼顧品質 Quality 監督 Fiduciary 安全 Security 三方

面的需求資訊必須符合資訊準則 Criteria 為確保資訊符合營運要求標準必須適當

控制及監督IT資源的使用企業策略大部分都需要藉助IT來施行因此企業應該將這些策

略轉化為一系列需藉助IT達成的企業目標企業IT目標再轉化為IT本身的目標為達成IT

目標必須對IT資源及能量(即企業的IT架構)做定義並透過衡量指標(呈現在IT計分卡上)

監督IT流程所提供的資訊是否符合資訊準則轉化過程如圖3

圖2 COBIT4.1基本原則

資料來源： ITGI (2007) COBIT4.1圖5，頁10，

COBIT 2

營運需求

IT 過程

IT 資源企業資訊

回應

支付產生被使用

驅動投資

圖3 IT目標轉化為企業目標

資料來源：ITGI(2007) COBIT 4.1，圖6，頁11

企業策略營運IT目標 IT目標企業IT架構 IT計分卡

IT程序

資訊

應用系統

基礎架構與人員資訊準備

資訊服務

企業需求政府規範

需要影響

隱含

提供

執行

需要

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

A 企業資訊技術品質應達到之準則

a 效能(Effectiveness) 資訊內容能即時正確一致可用的

b 效率(Efficiency) 資訊應以最具生產力及經濟性的方式產生

c 機密性(Confidentiality) 不能讓未獲授權者取得敏感性資訊

d 完整性(Integrity) 資訊內容應精確完整其適當性必須符合價值及期待

e 可用性(Availability) 需要某項資訊的時候可立即取得並對產生資訊的資源及

能力加以保護

f 遵循性(Compliance) 資訊程式必須符合法令契約及內部規範

g 可靠性(Reliability) 能取得合適的資訊運轉企業並履行治理的責任

B COBIT定義之IT資源

a 資料(Data) 數字文字圖形及聲音等廣義之資料

b 應用系統(Application systems) 涵蓋所有人工及自動化之作業程序

c 技術(Technology) 硬體作業系統資料庫管理系統網路多媒體等技術

d 設施 Facilities 存放和支援資訊系統運作之所有資源

e 人員(People) 資訊系統與服務所需之內部外來契約雇用的人員

(2)以流程為導向

COBIT 4.1將IT作業訂定於34個通用流程內串聯210個相關工作項目及其監控的架

構它的流程及監控的範圍主要分成四個領域(Domains)


A 規劃與組織 Plan and Organize PO 透過規劃管理電腦相關軟硬體

人力資源的投資並訂定有效管理人與資訊系統的辦法即對AI DS 提供指

引

B 獲取與建置 Acquire and Implement AI 對於資訊的取得與建立必須透

過功能完整的資訊系統來運作著重系統的建置相關軟體撰寫與維護提供解決

方案並將其投入服務

C 交付與支援 Deliver and Support DS 需要穩定的資訊系統執行效能來保

障對於企業的效益包含人員的教育訓練與安全的管理取得解決方案並將其適用

於終端使用者

D 監控與評估 Monitor and Evaluate ME 企業內部與對外資訊流通必須妥

善的監控措施除了安全性考量也涵蓋企業運作的過程是否具有效率監督每個

程式以確保其遵循PO所提供的指引

四個領域彼此互動關聯情形如圖4

圖4 COBIT 4.1 的4 個領域互動情形

資料來源：ITGI(2007) COBIT4.1，圖8，頁12

規劃與組織

獲取與建置交付與支援

監控與評估

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

在四個領域中所定義之IT流程如表

規劃和組織(Planning & Organization)

– PO1– PO2– PO3– PO4– PO5– PO6– PO7– PO8– PO9– PO10– PO11

定義策略性的IT計畫(define a strategic IT plan)定義資訊結構(define the information architecture)確定科技的方向(determine the technological direction)定義IT組織和關係(define the IT organization and relationships)管理IT投資(manage the IT investment)溝通管理目標和方向(communicate management aims and direction)管理人力資源(manage human resources)確保遵循外部之要求(ensure compliance with external requirements)評估風險(Assess Risks)管理專案(manage projects)管理品質(manage quality)

獲得和實行(Acquisition & Implementation)

– AI1– AI2– AI3– AI4– AI5– AI6

確認自動化解決方案(identify automated solutions) 獲取和維護應用軟體(acquire and maintain application software)獲取和維護科技基礎設施(acquire and maintain technology infrastructure)開發及維護程序(develop and maintain procedures)安裝授權系統(install and accredit systems)變更管理 (manage changes)

提供和支援(Delivery & Support)

– DS1– DS2– DS3– DS4– DS5– DS6– DS7– DS8– DS9– DS10– DS11– DS12– DS13

定義和管理服務水準(define and manage service levels)管理第三團體服務(manage third-party services)管理效能和容量(manage performance and capacity)確保持續服務(ensure continuous service)確保系統安全(ensure systems security)確認和分攤成本(identify and attribute costs)教育和訓練使用者(educate and train users)協助和建議顧客(assist and advise customers)管理組態設定(manage the configuration)管理問題和意外事件(manage problems and incidents)管理資料(manage data)管理設施(manage facilities)管理操作(manage operations)

監督(Monitoring)

– M1– M2– M3– M4

監督流程(monitor the processes)評估內部控管恰當性(assess internal control adequacy)獲得獨立的保證(obtain independent assurance)提供獨立的稽核(provide for independent audit)

表 COBIT 4.1四個領域中所定義之IT流程


(3)以控制為基礎

在IT準則指導下利用控制目標模型不斷將目標與標準進行比較調整行動進而

保證IT資源管理的安全可靠和有效性如圖5

COBIT為34個通用流程分別制定多項控制目標以PO1(定義策略性的IT計畫)流程為

例有以下6項控制目標

A PO1.1 IT價值管理

B PO1.2 企業與IT協調一致

C PO1.3 目前能量與效能之評估

D PO1.4 IT戰略性規劃

E PO1.5 IT戰術性規劃

F PO1.6 IT群組管理

圖5 COBIT 4.1 的控制目標模型


規劃

標準

目標

比較處理過程

行動

控制資訊

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

COBIT亦制定制訂了以下6項適用於所有流程的通用控制(Process Control, PC)

A PC1 定義及傳達程式目的及目標

B PC2 指定程式負責人並明訂其角色及責任

C PC3 程式應設計成可重複運作並產生一致的結果並具有足夠彈性以處理意外狀

況

D PC4 定義程式內的關鍵作業及最終產品為關鍵作業指派角色及責任

E PC5 定義及傳達政策計畫及程式如何驅動特定IT 程式

F PC6 找出一組能對特定程式的成果及效能提供洞察力的衡量指標

也提供了以下6項建議性的應用控制目標

A AC1 原始資料編製及授權

B AC2 原始資料蒐集及登錄

C AC3 精確性完整性及確實性檢查

D AC4 處理完整性及適當性

E AC5 輸出檢核調節及錯誤處理

F AC6 交易授權及完整性

個別流程的專屬控制目標加上通用控制流程構成完整的控制規範

COBIT使用RACI(R:Responsible 承辦職責 A:Accountable 批准作業承擔責任 C:

Consulted 被諮詢 I:Informed 被通知)圖表來展示每個流程內各項活動與分工團隊之角色


及責任以COBIT 4.1 之DS5 確保系統安全為例如圖6

(4)以衡量為驅動

企業管理層必須對IT系統是否達到預期目標做出客觀的評價以做為進一步改進的參

考關鍵的目標指標可以鑒別並衡量IT流程的成果同時關鍵的績效指標可藉由衡量流程

的實現者來評估流程的績效透過成熟度模型和成熟度屬性提供能力評估和基準幫助管理

階層衡量監控的能力並且鑒別監控漏洞並提出相應的改善策略

A IT 流程及活動的績效目標和衡量指標(Metrics) 如圖7

圖6 流程DS5 確保系統安全之RACI圖表

資料來源：ITGI(2007) COBIT4.1，頁119

執

行

長

財

務

長

業務

經理

資

訊

長

營運過

程擁有

人

作業

主管

技術

架構

長

開發

主管

IT

行政

主管

專案

經理

遵循稽

核風險

管理與

安全

定義與維護資安計畫 I C C A C C C C I I R

定義建立與操作識別及帳

戶管理過程

I A C R R I C

監控潛在與實際之資安事件 A I R C C R

定期審查與確認使用者存取

權限及特權

I A C R

建立與維護有關加密金鑰維

護及保全之程序

A R I C

實作與維護有關網路中傳遞

資訊之保護技術及程序

A C C R R C

經常性執行脆弱性評鑑 I A I C C C R

說明:R:Responsible承辦職責 A:Accountable承擔責任 C:Consulted諮詢請示I:Informed通知分享

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

B 成熟度模型(maturity model) - COBIT借用軟體工程領域的CMM方法把IT流程的

管理及控制成熟度分成(0)到(5)等六個等級

a (0) 不存在管理過程完全未應用

b (1) 起始/特別有管控流程但為特別的且混亂的

c (2) 以直覺方式重複過程遵循固定樣式

d (3) 流程已定義管控流程已文件化並在組織內傳達

e (4) 可管理並且可衡量管理過程被監控和測量

f (5) 最適化管控流程遵循最佳實務並且自動化

圖7 績效目標和衡量指標關係

確保IT服務

可以抵禦攻

擊及恢復營

運目標

IT 流程

實際對營運

衝擊之數量

活動

設定設定

驅動衡量

發現和解決

未授權的存

取

實際未授權

存取事件之

數量

驅動衡量衡量

檢討被監視

出安全事件

類型之頻率

了解安全需

求脆弱性和

威脅

目標

衡量指標


COBIT 4.1 的成熟度模型如圖8

C 成熟度屬性(maturity attribute) - 能夠用於更加全面的評鑑差距分析與制訂改

進計劃分為認知溝通政策標準程序工具自動化技

術專業化責任可歸責性目標設定測量開列了如何管理 IT

程序以及如何說明它們從不存在發展到一個最佳化程序的特徵如表2

圖8 COBIT 4.1 的成熟度模型

不存在可重覆但直覺可管理可測量

起始/特別已定義最佳化

0 1 2 3 4 5

企業目標

使用符號圖例

企業現狀

同行平均目標

使用符號圖例

0 管理過程完全未應用

1 過程為特別的且混亂

2 過程遵循固定樣式

3 過程文件化並溝通

4 過程被監控和測量

5 遵循好的做法且自動化

資料來源：ITGI(2007)COBIT4.1，圖12，頁18

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

表2 COBIT 4.1 的成熟度屬性

等級屬性：認

知、溝通

屬性：政策、

標準、程序

屬性：工具及

自動化

屬性：技術及

專業化

屬性：責任、

可歸責性

屬性：目標設

定、測量

1

顯示確認

所需流

程偶爾

溝通此議

題

流程和實施具

有特別方法

此流程和政策

不明確

有些工具可能

存在使用標

準工具未能

有已計畫好的

工具使用方

法

尚未識別流程

所需的技術需

求無訓練計

畫及正式訓練

課程

無可歸責性及

責任的定義

人員基於互動

基礎原創性而

獲取議題所有

權

目標尚未明確

且尚未實施測

量

2

認知必須

行動的

管理所有

議題的溝

通

顯示類似及共

同流程但個

別專業大部分

是直覺的流

程某部分可重

覆且某些政

策和程序存在

文件和非正式

瞭解

存在基於關鍵

個人使用工具

的共同方法

可能已得廠商

提供工具但

可能未被適當

使用或閒置

定義關鍵區域

的少數技術需

求訓練按個

別需要提供

而非基於已同

意的計畫有

非正式的訓

練

具有個人責任

的假設且通常

可協助責任之

歸屬但問題

產生或文化的

責備存在時

會產生責任的

迷失

部分目標設定

課程及部分商

業測量建立

但只有資深管

理者知悉在

獨立區域的監

視尚未一致

性

3

瞭解必須

的行動

溝通管理

更正式及

結構化

顯示使用良好

的實施此流

程政策及程

序已對所有的

主要活動定義

及文件化

定義及標準化

所使用流程自

動化工具的計

畫工具已被

基本目的使

用惟可能尚

未完全符合已

同意的計畫

或與其它工具

整合

定義及文件化

所有區域的技

術需求研

發正式訓練計

畫惟正式的

訓練仍基於個

別的原創性

定義流程責任

及可歸責性且

識別出流程擁

有者流程擁

有者未具有完

全授權無法履

行責任

設定部分有效

目標及測量且

與企業目標相

鏈結但未被

溝通顯示測

量流程但未持

續應用採用

資訊技術平衡

記分卡的觀念

及根本原因分

析特殊直覺應

用


表2 COBIT 4.1 的成熟度屬性

等級屬性：認

知、溝通

屬性：政策、

標準、程序

屬性：工具

及自動化

屬性：技術及專

業化

屬性：責任、

可歸責性

屬性：目標設

定、測量

4

瞭解全部

需求應

用成熟的

溝通技術

且使用標

準的溝通

工具

流程為充分

必要條件

應用內部最

佳實施流

程的所有方

向均文件化

及可重覆

政策已改進

並藉由管理

而簽署採

用和遵循標

準的研發

流程及維護

程序

工具依據

計畫實施

且部分工

具已與其

它工具整

合在主

要區域已

開始使用

工具以達

成流程自

動化管理

及監視關

鍵行動與

控制

在所有區域技

術需求持續更

新在所有關

鍵區域確認熟

練且支持驗

證依訓練計

畫採用成熟度

訓練技術且

支持知識分

享納入所有

內部網域的專

家且評鑑有效

率的訓練計

畫

接受流程責

任及可歸責

性且以流

程擁有者可

以完全履行

責任的方式

運行中有

著某種適當

的獎賞文化

以激勵積極

的行動

測量且溝通

效率和效度

並鏈結至企

業目標與資

訊技術策略

計畫資訊

技術平衡記

分卡實施在

某些具有例

外管理註解

與根本原因

分析已被標

準化的區

域顯示持

續的改進

5

瞭解進階

及高瞻

遠矚的需

求存在

基於趨勢

的前瞻議

題溝通

應用成熟

的溝通技

術且使用

整合的溝

通工具

應用外部最

佳實施及標

準流程文

件化已進步

到自動化流

程流程

政策及程序

已標準化

且整合到可

以點對點的

管理和改

善

全企業使

用標準化

的工具

集工具

完全與其

它相關的

工具整合

以提供流

程點對點

的支援

工具用以

支持流程

的改進及

自動偵測

控制的意

外

基於定義明確

個人及組織目

標組織正式

支持技術的持

續改進教育

與訓練支援外

部最佳實施亦

使用尖端的概

念與技術知

識分享為組織

文化且研發知

識系統外部

專家與工業領

導者做為導

引

流程擁有者

被賦予做決

策及採取行

動的力量

這些責任的

接受已經以

持續性風潮

串聯至全組

織

具有鏈結至

資訊技術平

衡記分卡的

企業目標全

球應用資訊

技術整合效

能測量系

統例外藉

由管理與根

本原因分析

的應用而被

全球化及持

續地被註

記持續改

進為系統生

命的方式之

一

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

7 COBIT4.1 的框架

COBIT 的框架與計畫 Plan 建立 Build 執行 Run 監督 Monitor 的

責任一致涵蓋完整IT作業如圖9

圖9 COBIT 4.1 的整體框架

營運目標

治理目標


監控與評估ME1 監督與評估IT績效ME2 監督與評估內部控制ME3 確保遵循外部要求ME4 提供IT治理

規劃與組織P01 定義策略性IT計畫 P02 定義資訊結構P03 決定技術方向 P04 定義IT過程 P05 管理IT投資 P06 溝通管理的目標與方向 P07 管理IT人力資源P08 確保遵循外部之需求P09 評估風險P010 管理專案P011 管理品質

AI1 識別自動化解決方案AI2 獲取與維護應用軟體AI3 獲取與維護技術基礎建設AI4 開發及維護程序AI5 安裝授權系統AI6 管理變更

交付與支援DS1 定義和管理服務水準DS2 管理第三方服務DS3 管理績效與能力DS4 確保持續服務DS5 確保系統安全DS6 識別與分配成本DS7 教育訓練使用者DS8 管理服務台諮詢與事件DS9 管理組態設定DS10 管理問題DS11 管理資料DS12 管理實體環境DS13 管理操作

資訊標準效能效率機密性完整性可用性循環性可靠性

IT資源應用系統資訊基礎建設人員

獲取與建置


二 ISO 27001介紹

1 ISO/IEC 27001:2005的發展

英國國家標準主要由英國標準協會 British Standards Institution BSI 負責發展

BSI 於1901 年成立於倫敦為英國皇家特許之國家標準制定機構與國際性標準發行機構

分別於1979 及1992 年公告BS 5750 ISO 9000 前身及BS 7750 ISO 14001 前身

標準並在1992年發布資訊工業安全管理 1995 年正式制定BS 7799 標準幾已成為全

球資安規範最重要的標準之一其分為第1部分 Part1 及第2部分 Part2

(1) Part1 資訊技術資訊安全管理實務準則 Information Technology - Code of

Practice for Information Security Management 為控制措施規範提供資訊

安全領域操作性指引 2000 年被國際標準組織 theInternational Organization

for Standardization ISO 及國際電子技術委員會 the International

Electrotechnical Commission IEC 接納成為ISO/IEC 17799 國際標準 2005

年更新版ISO/IEC 17799 2005

(2) Part2 資訊安全管理系統需求規範與使用指引 Information Security

Management Systems - Specification With Guidance for Use 為ISMS 與其

要求之描述是一個正式驗證的標準 2002 年被ISO/IEC接受即BS 7799-2

2002 2005 年更新版ISO/IEC 27001:2005 主要內容包括安全政策資訊安全

組織資產管理人力資源安全實體及環境安全存取控制資訊系統需求發

展及維護資安事件管理營運持續管理符合性等11 個安全控制領域共有39

個安全控制目標 133 個安全控制措施如表3

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

此標準建議採用流程導向方法論如圖10 以規劃-執行-檢查-改善 Plan-Do-

Check-Act PDCA 規劃 - 建立ISMS 建立安全政策目標標的過程及相關程序以管

理風險及改進資訊安全使結果與組織整體政策和目標一致執行 - 實施與操作ISMS 安

全政策控制措施過程之實施與操作檢查 - 監控與審查ISMS 依據安全政策目標與

實際經驗評鑑及測量過程績效並將結果回報給管理階層加以審查改善 - 維持與改進

ISMS 依據管理階層審查結果採取矯正與預防措施以達成持續改進ISMS 循環模式應

用於資訊安全工作上持續改進資訊作業安全以管理角度為出發點建立與維護單位之

ISMS

表3 ISO/IEC 27001:2005標準

一安全政策 (Security Policy) (控制目標的數目 1 控制要點的數目 2)

二資訊安全組織 (Organization of Information Security) (2 11)

三資產管理 (Asset Management) (2 5)

四人力資源安全

(Human Resource Se-

curity) (3 9)

五實體及環境

安全(Physical and

Environmental

Security) (2 13)

六通訊與

作業管理

(Communications

and Operations

Management)

(10 32)

八資訊系統取

得開發及維護

(Information Systems acqui-sition develop-ment and main-tenance) (616)

七存取控制 (Access Control) (7 25)

九資訊安全事件管理 (Information Security Incident Management) (2 5)

十營運持續管理 (Business Continuity Management) (1 5)

十一符合性 (Compliance) (3 10)


2 瞭解ISO/IEC 27001:2005

ISO/IEC 27001:2005是目前國際上最廣泛使用而且是最完整的資訊安全管理系統

(ISMS)要求的標準目前國內由行政院科技顧問組在今(98)年1 3月底針對A級和B級機

關進行的一項調查顯示已經有超過8成 83 A級機關取得ISO 27001資安認證 B級

機關取得資安認證的比例超過4成 43 它可以協助企業透過這個標準的推行瞭解資

訊安全風險管理的模式進行風險評估運用流程導向與系統導向的方法鑑別出企業的資訊

安全管理重點規劃建立有效的因應計畫與管控措施持續運作各項資訊安全管理系統要

求確保組織能於最低風險下持續營運資訊安全之目的是為了達成

圖10 規劃-執行-檢查-改善方法論

ACT 改善

CHECK 檢查

DO 執行

PLAN 規劃

Continual Improvement 持續改善 PROCESS 作業流程

Activities 活動 Controls 控制 Documentation 文件 Resources 資源 Objectives 目標

Deploy&conform

with plan

部署與遵守計畫

Analyze/review 分析/ 審查 Decide/change 決定/變更 Improve effectiveness 改善有效性

Measure/monitor

for conformity &

effectiveness

量測與監控符合

性及有效性

● ●

●

●

●

●

● ●

●

●

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

(1) 機密性 Confidentiality 確保只有經授權的人才能存取資訊

(2) 完整性 Integrity 保護資訊與處理方法的正確性與完整性

(3) 可用性 Availability 確保經授權的使用者在需要時可以取得資訊及相關資

產

要達到資訊安全就必須實施適當的控制措施譬如資訊安全政策實務規範程序組

織架構及軟體功能為了達成營運既定的安全目標就必須建立這些控制措施如表4

表4 ISO/IEC 27001:2005標準控制規範

ISO/IEC 27001:2005

總共分成11個領域 39個控制目標 133個控制要點

A.5安全政策 A.10.10監視 A.5.1資訊安全政策 A.11存取控制A.6資訊安全的組織 A.11.1存取控制的營運要求 A.6.1內部組織 A.11.2使用者存取管理 A.6.2外部團體 A.11.3使用者職責A.7資產管理 A.11.4網路存取控制 A.7.1資產職責 A.11.5作業系統存取控制 A.7.2資訊分類 A.11.6應用與資訊存取控制A.8人力資源安全 A.11.7行動計算與遠距工作 A.8.1聘雇之前 A.12資訊系統取得開發及維護 A.8.2聘雇期間 A.12.1資訊系統的安全要求 A.8.3聘雇的終止或變更 A.12.2應用系統的正確處理A.9實體與環境安全 A.12.3密碼控制措施 A.9.1安全區域 A.12.4系統檔案的安全 A.9.2設備安全 A.12.5開發與支援過程的安全A.10通訊與作業管理 A.12.6技術脆弱性管理 A.10.1作業程序與責任 A.13資訊安全事故管理 A.10.2第三方服務交付管理 A.13.1通報資訊安全事件與弱點 A.10.3系統規劃與驗收 A.13.2資訊安全事故與改進的管理 A.10.4防範惡意碼與行動碼 A.14營運持續管理 A.10.5備份 A.14.1營運持續管理的資訊安全層面 A.10.6網路安全管理 A.15遵循性 A.10.7媒體的處置 A.15.1遵循法規要求

A.10.8資訊交換 A.15.2 安全政策與標準的遵循性及技

術遵循性

A.10.9電子商務服務 A.15.3資訊系統稽核考量


3 導入與建置ISO 27001資訊安全管理系統的優勢

本公司為保護關鍵資訊資產強化資訊之機密性完整性及可用性進而確保證券市

場永續發展於92年4月進行資訊安全政策及相關安全管理制度之調整作業並建立符合

BS 7799文件要求的資訊安全管理系統文件體系 93年4月底取得BS 7799資訊安全管理

國際認證為符合主管機關及外部稽核標準之要求並進一步提升本公司資訊系統之整體

資安防護能力本公司列管之A B C D各安全等級資訊系統於95年12月完成ISO/IEC

27001:2005轉版認證作業組織導入與建置ISO 27001資訊安全管理系統在策略與營運之

優勢包括

(1) 強化組織安全架構透過ISO 27001資訊安全管理系統組織建立相關之管控措

施提高風險的控管能力減少組織的控制弱點降低組織的網路安全漏洞舞弊

行為財務之風險與法規之風險當然強化營運連續運作的時間與提高顧客信心

(2) 提升安全規劃的效能 ISO 27001相關規範可協助組織進行人力資源法律與異常

事件應變的規劃能力並提出相關建議使得組織開始導入與建置資安全措施時

達到更完善更容易管控並符合經濟的效益

(3) 提高安全管理的成效組織開始制定或重新檢視其資訊安全政策與程序時與一般

的安全計畫不同的是 ISO 27001已證實是資訊安全的最佳實務準則並且在實際

商業資訊安全中測試過其成效

(4) 營運持續調整與改善組織通過ISO 27001:2005驗證後稽核機構將持續檢驗作

業程序並持續調整與改善相關作業將確保組織隨時瞭解最新的弱點以及最佳的實

務準則

(5) 規範與委外廠商的合作關係為了讓組織資訊系統受到更好的維護同時又能透過

網路進行電子資料交換組織可以藉由資訊安全管理系統的運行及ISO 27001規範

作為合作夥伴與委外廠商的安全要求

(6) 安全的電子商務環境資訊安全管理系統的運行及ISO 27001驗證等於是一個安全

認證無論是財務機構或電子商城消費者都能分辨出哪些是值得信賴的電子商務

公司

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

(7) 增加客戶對組織的信任度隨著客戶與廠商對個人資料保護及網路安全漏洞之問

題愈來愈關心他們開始尋求具體的安全保障資訊安全管理系統的運行及ISO

27001驗證能提供他們需要的信心

4 組織如何建置與導入資訊安全管理系統

(1) 高階主管的全力支持與授權

(2) 公司員工高度的參與度及積極配合的態度

(3) 公司員工的安全認知及訓練

(4) 溝通管道順暢並及時處理問題

(5) 制定ISMS推動作業流程

(6) 定義安全組織架構及管理權責

(7) 定義ISMS之範圍及界限

(8) 定義ISMS之政策

(9) 風險評估作業

A 定義組織的風險評鑑方法

B 識別各項資訊資產及其風險

C 分析與評估各項風險

D 識別並評估處理風險之做法

E 選擇控制目標及控制措施以處理風險


(10)獲得管理階層對所提議剩餘風險的核准

(11)擬訂適用性聲明書(SOA)

(12)文件體系建立及管制

5 資訊安全管理系統的持續運作

本公司已導入ISO 27001:2005資訊安全管理系統故維護系統的完整且持續的運作

保護組織的資訊安全以下幾件事項之落實更顯重要

(1) 持續的資訊安全教育訓練 - 當組織在開始導入資訊安全管理系統時候會對員工提

供相關的資訊安全認知以及管理的教育訓練課程但是一旦假以時日組織的員工

會漸漸淡忘導入資訊安全的初衷或是新進員工沒有接受相同及完整的資訊安全教

育訓練因此為了避免新員工不了解以及老員工忽略了資訊安全的重要性降低對

資訊安全的危機感組織必須且持續將資訊安全教育訓練課程納入企業整體訓練計

畫中而且內容必須不斷的修改以配合組織的成長企業目標的調整以及安全

技術的提升

(2) 定期自行安全檢查 - 組織導入資訊安全管理及技術建置的時候通常都會根據組織

的型態及架構建立一些檢查機制及資料收集例如弱點分析威脅分析風險管

理資訊資產評估網路安全評估等以確保這些制度能符合及保護組織的資訊安

全組織在建立這些檢查機制的同時一定要留下完整的紀錄並確保內部員工及

管理幹部瞭解及熟悉這些機制的運作方式具備自行檢查的能力並依此建立定期

檢查的運作模式組織一旦建立資訊安全管理機制持續性的安全檢查則是讓這個

機制持續有效很重要的一環唯有定期且持續的檢查才能預防資訊安全事件的發

生

(3) 定期檢討資訊安全管理架構 - 無論是策略管理政策網路架構或者是應用系統

都會隨著組織架構及時間的改變而必須隨時調整因此組織有必要定期或是不定期

的檢討資訊安全管理或技術產品架構例如現行的資訊安全及相關政策是否不足

以提供現有組織結構的安全保護及指導方針現有的網路安全技術產品是否足以保

護企業網路不被入侵弱點及威脅分析是否已經過時

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

(4) 完善的紀錄保存 - 組織導入資訊安全管理及技術產品建置的時候一定會要求檢查

所有資訊安全的相關紀錄並建立這些紀錄的管理系統當每次在執行自行安全檢

查的時候除了更新這些紀錄以外同時要比對這些紀錄在過去與現在的變化例

如通報病毒事件的種類及次數是否減少網路流量異常是否有跡可供追蹤內部

控制及稽核紀錄是否完整教育訓練是否留下紀錄是否所有的員工都接受程度及

內容不同的訓練完整的紀錄可以協助企業組織於事件發生的時候依循軌跡找出

問題的根源一次解決問題避免安全事件重複的發生

(5) 獨立的稽核 - 當組織建立資訊安全管理架構的時候為了證明所導入的架構符合國

際標準的要求通常會依照ISO 27001:2005的規範進行評鑑已證明所導入的架

構符合國際水準本作業可由獨立的內部稽核單位進行或由外部獨立稽核單位進

行並取得認證的證書而且通常在通過評鑑認證的未來三年內認證公司每六個月

都會再來檢查一次這樣的檢查對組織而言是為了確保整體資訊安全管理架構隨

時保持在最佳的狀態

三 COBIT 4.1與ISO 27001映對分析

隨著科技與企業需求的演變 COBIT已是企業或政府機關導入IT治理的重要參考標準

然而由於COBIT重點關注企業需要什麼而不是企業需要如何做因此它不包括具體的

實施指引和步驟它是一個控制架構(Control Framework) 而非具體流程架構(Process

Framework) COBIT從策略戰術運營層面給出了對IT的檢測評核和稽核方法以滿

足組織高層營運需求其控制目標與控制要項涵蓋ā組織營運各個層面如圖11

ISO 27001不是一篇技術性的資訊安全操作手冊而是作為一個通用的資訊安全管理指

南其目的並不是說明有關怎麼做的細節它所闡述的主題是資訊安全策略和優秀的

具有普遍意義的安全操作該標準特別聲明它是制定一個組織自己的標準為出發點

因此各組織所包含的所有方針和策略並不是放諸四海皆準的 ISO 27001有助於管理階層

理解每一類資訊安全主題的基礎性問題它廣泛涵蓋了幾乎所有的安全議題主要告訴管理

階層關於安全管理的注意事項和安全制度這些規定一般單位都可執行因此需要建立資

訊安全管理體系的單位可以此為參照建立自己在這方面的體系並依據其他企業組織實務

經驗而且根據自身情況進行設計取捨以達到對資訊進行良好管理的目的


COBIT與ISO 27001差異概述如下

1 職能對象在建置與導入ISO 27001時未納入財務長 CFO 專案管理部門

PMO 的角色但COBIT 4.1將CFO及PMO遵循控制措施的優點納入可以讓他

們更加明瞭價值風險與控制是構成IT 治理的核心而其透明度主要透過績效測

量實現的他們將助益促進最佳化可用IT 資源和ISMS 的導入推動

2 衡量標準方面 ISO 27001保護資訊的機密性完整性可用性及遵循性另外

亦可包含可鑑別性可歸責性不可否認性及可靠性等特性而COBIT之資訊技

術品質準則為效能效率機密性完整性可用性遵循性及可靠性因此ISO

27001雖較欠缺效能與效率之要求但對於資訊的安全加強了可鑑別性可歸責

性不可否認性等保護規範


圖11 COBIT 4.1 各項組件互相關聯圖

營運目的

需求資訊

資訊技術目標

資訊技術(作業)過程組成

控制稽核

實現

設計

稽核成熟度結果績效執行

主要活動控制成果測試控制目標

控制

實務

控制設

計測試

成熟度

模式

成果

衡量

績效

指標

職責及

問責表

衡量

設計


名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

3 控制措施 ISO 27001並不像COBIT涵蓋面較廣較傾向組織營運層級的管理系

統不過資訊安全是為所有資訊管理系統根本因此COBIT標準也會提到風險管

理與系統安全等資安管理控制例如PO9(評鑑與管理IT風險) DS4(確保持續服

務) DS5(確保系統安全)等業務流程但二者畢竟適用範圍不同應用方式不同

其控制目標亦有所出入組織實施資訊管理與控制(COBIT)時可考量此標準與ISO

27001標準之控制措施共同部分製作出對應表由高階之控制目標找出相對應之

ISO 27001控制措施並考量核心業務風險增加補足相關控制措施維持企業永

續經營之目標

4 測量指標 COBIT 4.1具備成果測量績效指標成熟度模型的量測工具若能善

加運用則有益於提升IT的管控

參全球科技稽核指引 (GTAG)概述

一發展GTAG之目的及原因

全球科技稽核指引(GTAG)係由隸屬於國際內部稽核協會(IIA)之先進科技委員會

(Advance Technology Committee ATC)為主之組織所編訂 ATC是全球性的由現職或

前稽核長(Chief Audit Executive CAE) 內部稽核從業人員顧問公司以及相關服務公司

所組成發展GTAG系列之目的係因應資訊科技領域之持續演變與複雜之現象提供一組

資訊科技稽核指引用以協助企業高階主管以及稽核相關之管理體系

企業管理階層期望組織之內部稽核單位可以對所有重要的風險提供驗證其驗證範

圍包含因建置資訊科技而衍生之控制項目 GTAG可以協助稽核主管以及稽核相關之管理人

員能對這些因資訊科技而衍生的風險控制與公司治理能有較多之瞭解

先進科技委員會(ATC)認為沒有所謂的〝純粹的資訊科技風險〞所有風險可能是因為

導入資訊科技而產生的企業風險因此對管理階層而言在必須快速瞭解相關資訊科技議

題並評估該議題對組織會造成的影響時 GTAG是具有實務上相當的價值


二已發布之GTAG摘要

指引一資訊科技控制(INFORMATION TECHNOLOGY CONTROLS)

此指引之目的是為了因應資訊科技控制問題與其影響所具備的知識而提供給高階

管理人員資訊科技專業人員以及內部稽核人員參考之用資訊科技(INFORMATION

TECHNOLOGY IT)是使企業和政府能夠完成他們任務和目標全部過程的組成部份 IT

控制有兩個顯著的零組件︰企業控制的自動化和對IT的控制 IT控制不存在於隔離的過程

中他們之間形成一個互相依靠保護的連續統一體因此單一個控制弱點所造成的影響不

僅僅會導致單點失敗例如當一名安全管理者在一個防火牆配置檔案裡選擇設定時(一項

技術任務需要具體的技能和知識-人員教育訓練) 他需貫徹一個被建立的政策(可以或可以

不在別處被用檔案說明-檔案管理) 決定那些使用者容許或者不被容許對外網路通信(使用

者權限管理) 並且建立他們可能之傳輸路徑(網路管理) 前揭控制作業單點之失敗將可

能影響整體網路環境安全在整個內部控制系統中對於IT控制之稽核作業流程提供了一

個正式的架構如圖12

圖12 The Structure of IT Auditing

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

結論

1 評估IT控制是一個持續的過程因為企業經營過程不斷地變化技術亦在進步當

新的脆弱點出現時新的威脅也隨之產生而稽核方法也在不斷改進內部稽核主

管應當將有助於企業目標實現的那些IT控制評估提報到最高階的稽核議程內

2 評估IT控制並不是要決定是否採用了最佳實務控制對於組織的使命目標文

化過程和技術來講都是特定的技術應當以能提供有效的控制為準內部稽核主

管應當確保內部稽核採用合適並且有效的稽核方法 IT稽核是一個持續的學習過

程

3 內部稽核主管應當了解整個的控制的問題並且能夠與高層管理者和董事會有關的

委員會以一種他們能夠理解並能有效作出回應的方法和形式進行溝通與技術人

員管理層以及董事會的溝通是取得有效IT控制評估的關鍵

指引二資訊科技變更與版本更新管理(Change and Patch Management Controls Critical

for Organizational Success)

為了幫助內部稽核主管和內部稽核人員更好地了解與組織內部IT變更有關的管理問

題 IIA發布了第二份全球科技稽核指引資訊科技變更與版本更新管理組織成功的關

鍵這份指引意在增強內部稽核主管對IT管理的認識也使他們能向管理層提出更有價

值的建議指引提出的一些方法有助於稽核人員評估IT部門對組織內IT變更管理過程的

判斷包括其表現效能和效率目的是為協助稽核主管及其同層級之管理階層和部屬得以

強化有關資訊科技管理能力以及協助他們有效地管理相關事務流程

結論

1 為及時地發現變更管理存在的問題指引提出了一種領域檢測評量基準法

(field-test metrics) 使稽核人員可以對變更管理過程進行量化檢查並向管理層

提出建議使組織達到和保持較高水準的IT控制和運行水平在這些方面指引勾

劃了有關IT變更管理和控制失效的標誌或指標如關鍵服務和功能的不能應用

即使是短時間的非預期的系統或網路當機使關鍵業務程序中斷運行 IT部門用

70%或更多的時間來做維護而不是幫助業務部門開發新的功能 IT工作人員加班


來應付稽核和解決問題

2 專家指出 80%的非預期IT故障是由變更管理行動中的人員因素或存在問題造成

的也就是說是由於缺乏自動的預防性的可檢測的和恰當的控制如果有了

這樣的控制組織就能夠更有效地監督和進行變更管理在高效率的IT管理部門

對於變更的管理已形成一種文化預先防止和及時制止非授權變更這些組織也

使用檢測控制來消除非授權變更產生的不良影響並在最短時間解決IT問題

3 指引概括出IT變更管理的五個最佳辦法用這些辦法可以降低風險和增進IT效用

和效率這五個辦法是

(1)形成高層風氣強化在全組織內對非授權IT變更為〝零〞容忍的管理文化

(2)持續監督非預期故障的數量預防非授權變更和控制IT變更

(3)按照特定的精確定義規定變更窗口並切實執行之以減少高風險變更的數量

(4)以變更成功率作為IT管理的關鍵指標

(5)以非計畫工作量為IT管理過程和控制效率的一個指標

4 指引對稽核人員在變更與版本更新控管過程中的作用提出了建議例如審計委

員會應該確保管理層能夠識別和評量基準IT基礎架構內可能影響企業目標達成的變

更控管風險

5 當討論有效的變更管理流程或無效的變更管理流程所產生之風險並撰寫稽核報告

時內部稽核人員應該基於變更流程的考量點而非僅局限於技術方面的變更例

如Patch 軟體硬體或應用程式變更它還應該包括財務面法規面的風險把

稽核發現的報告建立在支援組織目的及目標之風險容忍度管理上

指引三持續性稽核對保證監控和風險評估的意義(Continuous Auditing: Implications

for Assurance, Monitoring, and Risk Assessment)

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

傳統的內部稽核對於控制測試是一種向後看的週期性方式通常是在經營行為發生後的

幾個月後進行測試程式也是基於抽樣的方式還包括一些諸如對政策程式批准和調節

的評估現在這種方式被視為一種僅僅能夠提供內部稽核人員一個狹窄範圍的評估的稽核

方法持續性稽核是一種以更加頻繁的方式來自動執行控制和風險評估的方法技術是施行

這樣一種方法的關鍵持續性稽核改變了稽核模式它將對交易樣本的週期性測試變為對

100 的樣本進行持續性測試它已在許多層次上已成了現今稽核不可缺少的部分它也應

該緊密與管理行為如行為監控平衡計分卡和企業風險管理架構結合在一起持續性稽

核方式能讓內部稽核人員完全理解關鍵控制點控制規則和例外情況通過正確的自動化和

經常性的分析他們能夠即時地或接近即時地執行控制和風險評估他們能從交易層面的異

常和控制缺陷以及出現風險的資料驅動指標兩方面來分析關鍵業務流程

在現今企業對持續性稽核的需求是明確的各組織經常面臨重大之錯誤弊端或是無效

率而導致財務損失或加深企業風險法規上得要求與對企業營運改進之需求持續促使各

組織去確保其控制活動有效的執行而同時風險被適當地降低因此內部稽核單位就趨向使

用持續性稽核來協助達成此一要求這些要求給稽核主管們和內部稽核人員不斷增加壓力

內部稽核部門捲入遵循工作的程度持續增加尤其是由於法規的原因例如美國2002年的

沙賓法案第404條款關注度的提高不僅與期望值的增長有關還與內部稽核人員在評估

內部控制的有效性風險管理和治理流程中保持獨立性和客觀性的能力有關

持續性稽核支持整個稽核範圍的風險識別和評估幫助制定年度稽核計畫以及確定某

項特定稽核的稽核目標因此持續性稽核在很多層面上可以視為一個連續系統對持續性稽

核的關注從控制基礎到風險基礎如表5 分析性技術從對明細交易的即時評估到對整個

單位進行趨勢分析以及與其他單位進行比較分析並且隨著時間進行

表5 持續性稽核的連續系統

────────────────────持續性稽核────────────────────持續控制評估 ──────────────────────────── 持續風險評估方法控制基礎風險基礎

保證控制正在運行 ──────────────── 識別/評估風險財務控制財務/運營控制關注點

即時/詳細交易測試財務資料趨勢/比較財務/運營資料分析技術控制保證財務鑒證舞弊/浪費/濫用審計範圍和目標

追蹤審計記錄年度審計計畫相關稽核行為

控制監控業績監控平衡計分卡全面品質管制企業風險管理相關管理行為註1：在這個連續系統的“控制”結尾，相關稽核行為包括控制保證和財務鑒證稽核。

註2：連續系統的另一個結尾的稽核行為包括通過風險評估支持稽核專案來識別舞弊、浪費和濫用，並提交年度稽核報告。

註3：相關管理層行為包括持續控制監控，績效監控，平衡計分卡，全面品質管制和企業風險管理。


持續性監控是為管理層設計保證政策程式和業務流程能有效運行的程式它指

出了管理層對評估內部控制的充分性和有效性的責任這包含識別控制目標和保證聲明

assurance assertion 以及建立自動化的測試程式來找出遵循失敗的活動和交易許多管

理層實施的對控制之持續性監控技術與內部稽核人員執行持續性稽核所用技術類似在管理

層還沒有實施持續性監控的地方稽核人員必須借助持續性稽核技術進行詳細測試在某些

情況下稽核人員甚至可能主動來幫助組織建立風險管理和控制評估程式見國際內部稽核

協會實務報告2100-4 稽核師在一個沒有風險管理程式組織中的作用但是要注意的

是稽核人員對這些程式中並不擁有所有者權因為這會損害稽核人員的獨立性和客觀性持

續性稽核監控及保證之概念架構如圖13

指引四資訊科技稽核之管理(Management of IT Auditing)

資訊科技正在改變正在改變內部稽核原本的功能隨著新的風險出現新的稽核管理程

序也應運而生本指引之目的是為了幫助內部稽核主管(Chief Audit Executive ,CAE)以

及其管理人員在規劃執行以及報告IT稽核工作時得以取決相關策略上之議題本指引

之重點在提出內部稽核主管可以立刻施行的實務以及特定建議事項更進一步考量到

圖13 持續性稽核監控和保證概念架構

持續性保證

持續性稽核和持續性監控程序的結果

持續性監控稽核測試持續性稽核

稽

核

持續性監控

管

理行為、交易和事件

經營系統和流程

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

可以讓內部稽核主管瞭解其IT稽核之運作是否出眾更有效能的管理且計畫資訊科技稽核

的功能

執行IT稽核與執行操作性稽核理論上來說沒有不同稽核人員規劃稽核定義及書

面化控制作業測試控制的設計及有效性結論及報告因為多數的內部稽核主管對於稽核

程序都是熟悉的因此本指引將不會涵蓋所有的細節然而有些IT稽核可能與傳統的稽

核有些不同需要一些適當的變更以方便內部稽核主管去管理如下圖14

IT稽核已經發展許多年了但是仍然持續的成長與改變因此內部稽核主管必須持

續的修正與改變IT稽核以符合組織需求雖然本指引沒有提供所有的解決方案但是希望

內部稽核主管能把它當成一個輔助的工具以下的問題可以提供內部稽核主管參考作為組

織考量的一些議題

1 組織已經清楚定義IT代表的意義是什麼了嗎資訊長的責任範圍有文件化嗎 IT稽

核是否評估範圍內的所有風險

2 每年都做有效的IT風險評估嗎

3 IT風險評估考量了該組織特定的技術架構與設定值嗎

4 IT風險如何量化影響與可能性都衡量了嗎應該使用產業標準作為組織的衡量底

線嗎

圖14 Audit Process Overview

瞭解

環境

定義

關鍵

控制

評估

設計

測試

有效性

報告

發現

稽核流程審視


5 IT稽核計畫包含IT環境的所有階層嗎如果沒有為什麼

6 IT稽核的預算如何衡量是否有足夠的資訊支持評估結果是否考量特定的技術設

定

7 IT稽核程序如何定義他們是針對組織的環境而發展出來的或只是使用市面上的

核對清單

8 組織有實行任何IT管控架構或標準嗎如果有是什麼如果沒有那是否已由內

部建立安全與管控底線如果沒有內部稽核主管是否有建議可實行的IT管控架構

或控制底線可作為IT稽核管理的一部分

9 有使用任何工具來加速IT稽核嗎如果沒有為什麼如果有他們有經過IT部門

完全的測試並認可嗎

10 IT稽核人員的狀況如何有各類技術的專家嗎如果沒有為什麼 IT稽核的數

量與足夠性檢視結果如何

11 是否對IT稽核人員建立訓練策略該訓練內容是否考量IT環境的所有階層

12 是否每年都評估新興的IT議題與風險對組織的影響與關聯嗎組織要如何鑑定這

些新興的議題呢

13 一般稽核人員的基準是否足夠滿足IT稽核有其他可輔助的資訊嗎

14 被用來幫助稽核的工具與程序是否包含在稽核範圍內如果有稽核該類工具與

稽核公司IT環境兩者要如何協調使用IT稽核資源呢

指引五管理與稽核隱私權的風險 Managing and Auditing Privacy Risks

保護客戶與員工之隱私為極具挑戰性且難以克服的風險管理之一此指引包含隱私權

(Privacy)之概念法條以及架構以供內部稽核主管內部稽核人員以及管理階層來尋求

有關隱私權議題的適切指導當一組織蒐集使用保存或揭露個人資訊時對隱私權之風

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

險提供深刻的解析此指引闡述如何在執行稽核任務時處置隱私權之問題同時亦提出

一個有關查核隱私權的普遍性稽核程序大綱隱私權具有多重的意義並且在許多情況下被

討論如表6 在眾多的社會裡隱私權長久以來被視為基本的人權它可以是免受來自他

人失禮的注視的自由言論的自由或是免於被監視的自由它可以是免於被騷擾的自由它

包含通信隱私及資料的隱私

在組織環境中對隱私權的定義依據國情文化政治環境以及法令的架構有所不同

如表7

稽核組織的隱私實務包括風險評估約定計畫及績效溝通結果以及遵循情形不過內

部稽核主管應該考慮到的其他方面包括可能的隱私破壞人員管理和紀錄保留等問題

表6 隱私權的範圍

個人的隱私 - 身心方面的隱私

隱私的空間 - 免於被監視的自由

書信的隱私 - 免於被監看及竊聽的自由

隱私的個人資料 - 防範他人對個人的隱私資料進行蒐集使用及洩漏

表7 隱私權的定義

Privacy是個人資料的保護和基本人權的考量 – OECD Guidelines, 1980

政府單位應保護天賦予人們的自由及人權特別是重視處理個人資料的保密 – EU Directive, 1995

重視個人資料的收集使用洩露及保存是每個人及組織的權利及義務- The American Institute of Certified Public Accountants (AICPA)/CICA, 2005


IIA的Professional Practices Framework提醒稽核人員在規劃執行通報保證及提

供作業諮詢時要考慮到隱私權規定與風險專業人員立法人員及監督人員發布過的指導原

則與規定由於對影響聲譽及訴訟的風險日漸增加內部稽核主管在管控稽核業務時必須將

很大範圍的隱私權議題及其分歧的事項納入考量主要的考量點有人員管理流程稽核規

劃在執行報告稽核結果時的資料收集處理儲存與潛在的資料洩漏情形內部稽核人員

必須了解當進行稽核作業時溝通攫取檢視操作或是使用個人資訊在某些情況下可

能是不適當的可能會遇到陷阱例子在開始稽核之前如果有需要的話稽核人員應該調

查清楚這些議題及請求內部法務人員的意見最後內部稽核人員在對組織報告相關資訊

時(如 IIA的PA 2440-2所建議的)應考慮到相關的隱私權規定法規的要求及法律上的顧

慮

指引六資訊科技之弱點管理(Managing and Auditing IT Vulnerabilities)

資訊科技之弱點管理為一個組織用以察覺評估以及修補資訊安全弱點之事務流程與

技術該資訊安全弱點會導致資訊資產或流程之缺失或漏洞進而造成企業風險或實體安

全風險依據美國國家弱點資料庫統計每年有大約5000個新弱點被發現其中40 具

有高度破壞性管理層必須了解它以便建立一個有效的弱點管理計畫他們必須制訂出一

套程序來檢測評估弱點並將這些工作融合到全部的資訊科技程序架構裡面去以此不斷

的遏制弱點弱點管理涉及到的問題並不完全是技術性的實際上許多大的挑戰在於激發

個人的積極性和實施有效的程序本指引幫助內部稽核主管評估他們的弱點管理程序的有效

性並時時向IT安全人員提出正確的問題

我們假設一個企業的資訊科技功能實施了IT Infrastructure Library(ITIL)的架構弱

點管理生命週期起始於識別的IT資產並掃描或監視它們找出技術缺陷弱點資料被驗證以

證明弱點確實存在然後根據對企業的風險對他們進行輕重緩急的排序關鍵性弱點由事件

管理程序處理事件管理程序通過緊急事件處理程序迅速有效地對產品進行處理來調整弱點

彌補工作使之與變更管理程序一致非關鍵性弱點主要通過一般變更管理程序來處理一

旦獲得允許版本管理程序便開始準備測試並為變更創造有利環境然後變更管理程

序複查變更保證它滿足所有需求最後更新配置管理資料庫來反映這些改進過的調整圖

15 說明在相關的IT 安全和IT 操作功能之間的從屬性

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

高水平的科技企業在IT管理層和企業所有者之間建立正規的作業水準協定(operation-

level agreements, OLA)關係他們決定處理弱點的輕重緩急他們在何時採取何種措施修

補弱點在操作上觀點一致研究表明與同樣規模的企業相比高水平的企業發生的安全事

件更少他們的預防控制遏制了許多潛在的危害性事件當事件發生時偵測控制能讓他們

迅速知曉他們能對事件作出正確和完整的控制防止和降低了重要的損失

指引七資訊科技委外作業(Information Technology Outsourcing)

IT委外已非常普遍它以效率成本效益及專案解決方式滿足系統之建置維護

安全和營運而足夠的技術人員先進的技術基礎設施靈活性和節省金錢是IT委外背後

的推動力在IT委外帶來好處的同時有必要管理伴隨而來的複雜性風險和挑戰因此

內部稽核人員可幫助組織進行全面審查其委外業務確認風險提供建議以便將風險管理的

更好並評估其遵守適用的法律和法規本指引並非要呈現所有必要的考量點而是建議

一些應該要做到的項目組織對IT委外的每一項決定應該仔細評估本指引提到對於IT委

圖15 相關的IT安全和IT操作功能之間的從屬性

---------------------------------------------------------------------------------------

Scope andidentify IT assets.

Scan and monitor for

vulnerabilities.Validate findings.

Assess risk and prioritize vulnerabilities.

NO

YES

IT O

PER

ATIO

NS

IT SEC

URITY

Vulnerability Management

Configuration Management

Change Management Change Management Change Management

Incident Management

Critical

Release Management

Update CM databse with improved modifications.

Review change requestSchedule change.

Execure emergency change procedure.

Request emergency change.

Post-implementation review. Audit and validate change.

Build, test, and plan release. Hand off to production.


外內部稽核應考慮的重要項目指引也提供幾種IT委外資訊 IT委外的生命週期以及

委外活動如何藉由定義完善的計畫進行管理計畫內容包含全公司的風險控制法規遵從

和治理架構

對內部稽核人員而言了解委外活動中利害關係者的期望和調整稽核目標以符合組織

需求是非常重要的在委外的IT營運中評估組織的內部風險控制架構和選擇服務供應

商的有效性對於在委外契約的有效期間去降低轉變時期的內部控制風險是至關重要的

而其它的重要議題有確保內部稽核人員的角色能符合各種不同的安全和規格標準借助服

務稽核人員和其他專家完成工作的依賴程度為何本指引將提供一個閱覽路徑來了解IT委

外的複雜構造也將指出一些未來的趨勢風險和衝擊對組織能有一種重大策略性的影

響雖然在關鍵區域作業流程已經委外處理但是組織仍然可能易受IT風險弱點傷害因

此內部稽核人員能幫助管理層理解並且對於這些委外業務的風險可以管理得更好表格8

列出一個普遍委外作業的風險以及整個委外生命週期潛在的影響

表8 委外作業的風險以及整個委外生命週期潛在的影響

風險(Risks) 影響 (Impact)

策略︰委外作業策略不依循組織的

目標。

- 委外業務之決定是錯誤的。

- 合約沒有依據組織的目標建立及管理。

可行性︰由於迅速不適當的評估組

織及供應商相關的風險，導致假設

錯誤的結果。

- 潛在的委外業務的沒被詳細揭露，導致無法

完全交付獲益。

- 合約被授予給一位不適當的供應者。

- 供應商問題沒被有效地管理，因為他們沒被

正確地預期。

交易︰取得政策沒被滿足；適當的

服務協定沒被實施；作業、人力資

源以及規章的衝擊沒被考慮；以及

意外事故安排沒被計畫。

- 缺乏一篇好的協議初稿，導致客戶在法律文

件的束縛下，可能不能復原的情勢。

- 在規章的遵循中存在潛在的破壞，導致金融

懲罰和公司品牌負面的回應。

過渡︰缺乏正式的過渡計畫，沒有

適當的計畫保留技術，以及無效能

的升級和解決IT作業的問題。

- 在過渡期間造成關鍵資源的損失。

- 存在操作的困難。

- 在委外服務上，造成客戶缺乏信心。

最佳化和轉變︰委外合約沒有被有

效的處理管理。因此，委外的獲

益及效率沒實現。

- 投資回報不是所被期望或者與委外服務費用

相比是最小的。

- 組織所提供的服務建立在預期水準之下。

- 無計畫的費用升高。

終止和重新商議︰在委外流程上不

適當的終止。

- 在最後時間公司不能接管委外業務活動或者

結束或者重新商議合約。

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

本質上協助企業非核心業務IT功能之策略性委外作業能夠使組織較少注重於日常技

術管理等作業而能夠更注重核心的能力和活動上不過有效的IT委外作業需要與IT服

務供應商有效地管理合作這對幫助組織取得獲益是很重要的包括︰降低費用提高生產

力改進用戶與供應商的關係提升使用技術增加控制適當的企業持續競爭優勢以

及在革新和卓越上更新焦點

因資訊科技領域不斷持續演變與複雜故先進科技委員會(ATC)亦隨發布新的指引協助

企業管理階層位為組織最高稽核人員內部稽核主管必須面對之挑戰為快速有效地瞭解

各種科技之議題與其可能對組織之影響

在此方面存在著對資訊科技相關的參考資料的需求因為如果想要有效地執行稽核

工作所有內部稽核人員必須對資訊科技具備某些程度的瞭解除前述之球科技稽核指引

(GTAG)介紹外以下列舉出其它已發布及計畫中將發布的全球科技稽核指引介紹供相關人

員參考

1 其它已發佈的全球科技稽核指引介紹

(1) 稽核應用系統控制(Auditing Application Controls)

應用系統控制為隸屬於某特定企業流程或應用軟體之控制包括有資料編輯職權

分工總數控管交易處理日誌以及錯誤報告等

(2) 識別碼與存取控制管理(Identity and Access Management)

隨著資訊系統之複雜化與廣泛之應用範圍其識別碼(帳號)與存取控制管理已從

早期在電腦資料處理中心之一個單純的管理作業變為對不論各種規模之組織皆

感極為艱難且持續地在複雜化的問題

(3) 企業持續營運(Business Continuity Management)

企業持續營運是一個組織流程用以因應未來可能發生事件以及長期生存發展之能

力所建立的主要目標這些未來可能發生之事件包含地區性的(如火災) 區域

性的(如地震) 或全國性的(如傳染病爆發)


(4) 發展資訊科技稽核計畫(Developing the IT Audit Plan)

隨著資訊科技日益融入組織之運作中而成為一個整合之型態內部稽核人員主要

挑戰之一為在提供整體性的確保與顧問工作之範圍中如何以最佳之方式去執行

全面性的資訊科技風險與控制之評鑑內部稽核主管之主要且艱難之責任之一為

設計出稽核單位之稽核計畫

2 規劃中將發布的全球科技稽核指引

(1) 自動化環境中之弊案偵測(Fraud Detection in an Automated World)

(2) 資訊科技專案稽核(Auditing IT Projects)

(3) 資訊安全管理資訊安全治理(Security Management Audit Security Governance)

(4) 公司層級的資訊科技控制(Entity Level IT Controls)

(5) 自行開發應用系統稽核(Auditing User Developed Applications)

肆結論與建議

一結論

無論是COBIT資訊管理與控制 ISO 27001資訊安全管理 ISO 9000品質管理 CMMI

軟體開發工程成熟度管理或者是ISO 20000 IT服務管理等國際標準規範皆是由國際組織

參酌全球不同國家政府機構學術組織之控管標準及最佳實務經過嚴謹審核及品質保證

程序訂定即使企業內部已完成了許多控制措施這些國際標準仍然可以提供企業最佳實務

經驗縮短在資訊化建置和管理過程中摸索學習的過程能在更短的時間內把資訊化管理

做得更好並且事先採取針對性措施避免企業在最初導入過程中可能出現的錯誤

為了有效地實現股東的價值 IT需要在既定的時間內支持企業業務的發展提高服務

的品質有效的控制風險減少服務的成本以及縮短產品交付的週期為了實現上述目標

需要做到對IT組織結構和角色度量流程技術控制以及人員等方面進行管理圖16

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

列舉了COBIT ISO 20000 ISO 27001和PRINCE2等標準在管理上述各方面之IT各有

優勢 COBIT重點在於IT控制和IT度量評價 ISO 20000重點在於IT流程管理強調IT支

援和交付 ISO 27001重點在於IT安全控制 PRINCE2重點在於項目管理強調項目的可

控性明確項目管理中人員角色的具體職責同時實現項目管理品質的不斷改進總之

COBIT4.1及ISO 27001標準儘管架構發展過程並不一致但本質上這兩者並不相互排斥

而且是相輔相成的在企業中實施COBIT4.1 將對IT策略戰術運營層面發展有莫大的

幫助

每個企業因自身的成熟度在行業中所處的位置及市場競爭狀況之不同其所導入之國

際標準以及對待國際標準的態度亦會不同有些企業是因為法令法規的要求有些是因為主

管機關的要求有些是因為客戶的要求有些則是因為企業本身為了改善管理及作業品質

圖16 IT管理要素模型與4個標準映射圖

結構和角色

技術

流程

度量

控制

人員

● 支援有效及高效率地進行服務管理的人員

●相關標準：PRINCE2

● 控制IT流程以確保按期交付和滿足客戶需求●相關標準：COBIT 　　 ISO27001

● 對人員、流程、技術和控制進行度量以確他們符合預期目標●相關標準：COBIT

● 為產生內、外部客戶需要的產品和服務而相互關聯的活動紀錄●相關標準：ISO20000 　 COBIT 　 ISO27001 　 PRINCE2

● 為執行特定的活動向特定的組織和人員分配職責● 相關標準：ISO20000

● 支援IT交付的技術● 相關標準：ISO20000

資料來源：Price Waterhouse Coopers- “COBIT,ITIL and ISO17799 How to use them in conjunction”，頁20、21


另外企業的資訊系統因重要性敏感性持續性可用性等因素不同所需建置及導入之國

際管理標準亦有所不同企業應該對現行的法令法規的要求整體業務的穩定和連續性品

質及安全的需求導入後對企業整體環境的衝擊持續發展性社會的觀感成本等因素進

行評估依據評估的結果選擇最適用之國際標準

如果沒有相對應的資訊安全管理體系企業在選擇資訊安全標準的時候會表現得非常無

助很可能他們現在覺得這個國際標準很好就導入過一段時間後又發現這個國際標準會影

響企業運作效率於是又撤掉在這種盲目的狀態下不管導入什麼國際標準都很難達到

效果自然也就無法避免無謂的投資如果有健全的資訊安全管理標準體系及穩定運作的機

制確定了資訊安全管理的方向及強化的程度在這個程度範圍內為了降低風險而採用的

某些設備對營運效率所造成的影響是可以接受的

一家企業的成功運作不能只看他們導入了哪些標準用了哪些管理方式而是要看他

們實施了哪些不同的標準怎麼把這些不同的國際標準體系整合成自身的管理模式進而保

持在行業中的領先地位所以不管導入什麼國際標準體系都是為企業業務運作與管理服

務的企業要有能力將這些標準體係與自身的策略流程相融合

在標準建置及實施過程中企業的管理者應負起真正的責任並能夠參與到標準實施的

過程中去尤其是參與制定相對應的方針政策具體的目標因為這都是管理者的責任執

行者的責任只是如何將這些目標變為現實同時管理者必須承諾一定的資源並在組織架

構人員等方面為標準的順利實施提供保障其次全員參與也是非常重要的因為資訊安

全會牽涉到組織所有的部門和員工而且需要全員的支持同時都能掌握這方面的相關經驗

和知識因此需要在資訊安全管理標準體系建置過程中對員工進行持續的培訓

二建議考量事項

1 提升IT稽核之廣度及深度

依據GTAG指引一(資訊科技控制)的介紹稽核人員應瞭解所有的IT問題及要素充

分於稽核計畫中提出如何測試分析報告及追蹤並對於稽核專案之要素提供專業技能

稽核管理人員基本上必須瞭解企業自動化之相關威脅及弱點瞭解企業控制及IT所應提供

之風險降低對IT相關的控制及其弱點提出計畫和監督的任務並且對企業的應用系統及

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

環境提供更有效率的IT控制保證稽核團隊有足夠的能力進行稽核作業在稽核測試及評

估的過程中確認有效的使用IT工具同意測試控制與資訊之計畫及技術評估IT脆弱點或

控制弱點的稽核測試結果及證據分析所偵測之症狀及其源頭包括計畫運作變更或其

他風險區域基於對企業保證目標的源頭提出建議另依據GTAG指引二(資訊科技變更

與版本更新管理)的介紹當討論有效的變更管理流程或無效的變更管理流程所產生之風

險並撰寫稽核報告時內部稽核人員應該基於變更流程的考量點而非僅局限於技術方面

的變更例如Patch 軟體硬體或應用程式變更它還應該包括財務面法規面的風險

把稽核發現的報告建立在支援組織目的及目標之風險容忍度管理上

本公司內部稽核室依據證券暨期貨市場各服務事業建立內部控制制度處理準則規

定於每年對IT部門的內控制度各項作業流程判斷風險發生影響之目標的控制措施是否

完善依風險評估標準進行固有風險及剩餘風險之評估作成風險評估表而且依據風險評

估的結果合併考量其他因素擬定IT部門的年度稽核計畫提報董事會通過後於次一

年度開始前申報主管機關備查稽核人員進行稽核作業時需依據年度稽核計畫擬訂查核計

畫包括稽核範圍稽核項目等內容

依據上述稽核作業流程本公司稽核人員有依風險評估標準進行固有風險及剩餘風險之

評估對IT相關的控制作業及其弱點提出年度稽核計畫和並監督執行情形執行IT稽核作

業時對於控制作業除採用遵循性稽核外並且於實地稽核時如有發現業務流程有潛在之

風險將會立即提出適當之建議供IT部門參考改善並修訂下次實地稽核之查核計畫敘

明前次建議事項並追蹤其後續辦理情形

惟本公司因營運的獨特性除受主管機關的監督外並需隨時因應國家政策的要求配

合法令法規的增修而進行業務流程的變更所以公司的策略及目標亦較難明確地界定

而IT策略戰術運營層面的發展必須支援公司的策略及目標因此內部稽核人員依據稽

核發現對企業保證目標的源頭提出建議並支援經理部門對組織策略目標之風險容忍度管

理似有相當大的困難度這也是施行IT治理的一大挑戰

IT稽核所面臨之其它問題

(1) 本公司常有業務需新增或異動但變更的需求常常來自主管機關的要求而且具

有時效性而資訊系統變更後常對企業營運策略及目標產生風險及衝擊在財務

面法規面亦需作風險評估但因業務之突發性及時間之急迫性目前本公司IT稽


核作業無法固定將前述之變更流程管理的風險評估納入IT稽核計畫中

(2) 另於中華民國內部稽核協會品質評核團隊之品質評核報告中說明週期性的IT稽核

被IT管理階層認為是重覆的自行檢查

綜合前述為提升本公司IT稽核之效能可考量將稽核作業跨越IT相關的部門並整合

入其他業務營運例如隨機抽核資訊系統專案整合其財務管理資訊業務控制流程

設置控制作業檢查點從資訊系統需求之可行性及成本分析採購作業程序(含核定程序

委外廠商選擇等) 計畫擬訂系統開發建置過程監控測試作業上線作業驗收作業

維護作業等進行橫向(跨越相關部門) 縱向(控制點稽核軌跡深入追查)稽核作業

另本公司IT稽核計畫之擬訂方式仍有提昇改善的空間因此本公司IT稽核人員可考

量審慎地評估各個通用的國際標準並通過適當的調整以便找出最適合本公司整體環境的

稽核計畫實施方案以便提升IT稽核之廣度及深度並符合IT管理階層之期望

最後有關稽核測試及評估的過程中確認有效的使用IT工具部分可考量依據實際需要

引進合適的電腦輔助稽核軟體工具以提升內部稽核人員的工作效能例如在新建置的

資訊系統中嵌入預設使用者帳號掃瞄軟體確認系統的預設使用者帳號之預設密碼是否更

新並可以蒐尋是否尚有未知的使用者帳號及密碼但考量系統運作效能(Performance)及

安全性等因素因此建置電腦輔助稽核軟體工具一定要事先與資訊系統的管理單位溝通協

調

2 適時聘用IT稽核專家支援技術

依據GTAG指引一(資訊科技控制)的介紹技術面之IT稽核專家雖然IT稽核人員於

管理層級需瞭解支援企業的相關技術及其威脅脆弱點但IT稽核人員也需要專精於某個

技術領域之專家

因為IT的領域寬廣而且由於IT控制作業之整體連續性及複雜性每個IT稽核人員無

法專精熟悉每一個領域之IT技術另考量在IT方面有限的稽核資源(包括人力物力) 因

此本公司可依實際作業情形適時聘用IT稽核專家支援技術以便對本公司整體IT作業環

境之安全性控制流程之可用性及IT目標之符合性進行深入完整之稽核

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

3 本公司引進IT治理架構模型時之考量

本公司已導入實施ISO 27001國際標準對本公司的資訊安全管理控制層面提供遵循的

規範並強化資訊之機密性完整性及可用性進而確保證券市場永續發展而COBIT是關

於IT安全和控管實務的標準對管理階層使用者以及資訊系統稽核提供一個控管和資訊

安全的參考架構其所提供的指引使企業能夠對IT實行有效的治理本質上ISO 27001

與COBIT是相輔相成的因此本公司如考量導入COBIT 可考慮由ISO 27001與COBIT

兩套國際標準規範之共同控制措施製作出映對表由IT框架之IT目標透過映對表找出ISO

27001之控制作業尚未建置的部分可逐步增訂調整(如COBIT4.1 PO流程目標之策略面

的工作項目) 並考量核心業務風險增加補足相關控制措施提升本公司IT稽核之效能

COBIT的IT準則反映了企業的策略目標 IT資源包括人員系統資訊等相關資源

IT管理則是在IT準則指導下對IT資源進行規劃處理在組織中具體應用IT治理架構模型

時應該注意

(1) 要專注於解決組織資訊化過程中最大的問題因為對於任何一個組織而言採用整

套標準都是不可行的相反地應該從最大的問題著手

(2) COBIT管理指引是概要性的普遍適用的指引它不提供具體行業標準組織在大

多數情況下需要根據它們的具體環境將這個概要性的指引最適化

(3) 先完成介紹教育培訓再進行組織變革並在單一領域內(如培訓經驗)取得一定

成績後再轉向其它有問題的領域

(4) COBIT是一個必須根據組織所制定的框架例如 COBIT的IT流程必須與組織現有

的IT流程進行比較必須對組織的風險做出評估設定IT流程的責任

(5) 組織在具體實施的過程中其他組織成功實施的案例培訓機構和第三方諮詢機構

都可以提供很好的幫助

(6) 作為治理控制稽核活動的參考框架 COBIT必須與其他的資源一起使用包

括行業稽核指引像AICPA或FFIEC出版的稽核指引通用控制與稽核指引

如ISACF出版的 CIS稽核手冊 AICPA/CICA SysTrust IIA 的SAC以及平台

相關的指引等


五參考文獻

參考文獻

1 管理和審計IT漏洞譯文(2007) 來源中天信息安全服務中心(sec.zt.cn/zcfg/

dfbz/3986.htm)

2 大白(2005) 談風險胃納或風險胃口來源 (www.alisan.biz/Tw/

News/Default.asp?iWebId=1&iCategoryId=8)

3 周國華(2007) 企業資訊系統風險與控制~電腦舞弊 COSO COBIT及PKI架構探

討~ 屏東商業技術學院會計資訊系統課程講義

4 周瑛(2003) COBIT 實施工具如何在組織中引入 COBIT 譯文來源暢享網

(www.amteam.org/k/CIO/2003-11/471429.html)

5 英國標準協會(British Standards Institution BSI) ISO 27001資訊安全管理系統主

導稽核員訓練課程講義

6 徐樹滋實施品質評核之經驗中華民國內部稽核協會第65期季刊頁 9 至 13

7 孫強陳傳王東紅(2004) 信息安全管理全球最佳實務與實施指南 21世紀管

理信息化前沿IT治理叢書

8 孫強李長征(2003) 整合COBIT ITIL ISO/IEC17799和PRINCE2構建善治的IT

治理機制來源暢享網(www.amteam.org/k/CIO/2003-10/470902.html)

9 郭曉英 CIOINSIGHT雜誌採訪內容來源支點網(www.cioinsight.com.cn/html/

sy/2008/07/603.html)

10 德昭章孝成(2008) 以數位鑑識手段針對資安事故補強COBIT控制要項之研

究 ICIM2009 第二十屆國際資訊管理學術研討會報告

11 黃錦營全球科技稽核指引(GTAG)簡介中華民國內部稽核協會第65期季刊頁

39 至 44

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

12 陽杰 2006年11月持續性稽核之譯文

13 資訊系統稽核與控制協會 Information Systems Audit and ControlAssociation

ISACA 資訊系統稽核標準

14 歐陽惠華 2007 ISO 27002 與COBIT 4.1 控制措施之對映分析國立高雄師範

大學資訊教育研究所碩士論文

15 賴森本 2003 企業風險管理與其他相關制度之關聯性企業風險管理(ERM)

流程與實務研討會報告來源 www.acc.scu.edu.tw/seminar/20050617/file/02-1.

pdf

16 Charles H. Le Grand, of CHL Global,and Alan S. Oliphant, FIIA, MIIA, QiCA, of

Mair Internationa INFORMATION TECHNOLOGY CONTROLS (GTAG-1)

17 Jay R. Taylor,General Motors Corp. Julia H. Allen,Carnegie Mellon

University,Software Engineering Institute. Glenn L. Hyatt, General Motors

Acceptance Corp. Gene H. Kim,Tripwire Inc. Change and Patch Management

Controls Critical for Organizational Success (GTAG-2)

18 David Coderre, Royal Canadian Mounted Police (RCMP) Subject Matter Experts

John G. Verver, ACL Services Ltd. J. Donald Warren Jr., Center for Continuous

Auditing, Rutgers University Continuous Auditing: Implications for Assurance,

Monitoring, and Risk Assessment (GTAG-3)

19 Michael Juergens, Principal, Deloitte & Touche LLP. David Maberry, Senior

Manager, Deloitte & Touche LLP. Eric Ringle, Senior Manager, Deloitte & Touche

LLP. Jeffrey Fisher. Senior Manager, Deloitte & Touche LLP Management of IT

Auditing (GTAG-4)

20 Ulrich Hahn, Ph.D., Switzerland/Germany. Ken Askelson, JCPenney, USA. Robert

Stiles, Texas Guaranteed (TG), USA. Managing and Auditing Privacy Risks

(GTAG-5)

21 Sasha Romanosky, Heinz School of Public Policy and Management, Carnegie


Mellon University. Gene Kim, Tripwire Inc. and IT Process Institute. Bridget

Kravchenko, General Motors Corp. Managing and Auditing IT Vulnerabilities

(GTAG-6)

22 Mayurakshi Ray. Parthasarathy Ramaswamy. Information Technology

Outsourcing (GTAG-7)

23 IT Governance Institute (ITGI) (2006) COBIT MAPPING: MAPPING OF ISO/

IEC 17799:2005 WITH COBIT 4.0 ,USA

24 Angeli Hoekstra & Nicolette Conradie(2002) COBIT,ITIL and ISO17799 How

to use them in conjunction ,Price Waterhouse Coopers(PWC)

陸附錄 GTAG

指引一資訊科技控制(INFORMATION TECHNOLOGY CONTROLS)

此指引之目的是為了因應資訊科技控制問題與其影響所具備的知識而提供給高階管理

人員資訊科技專業人員以及內部稽核人員參考之用

介紹

資訊科技(INFORMATION TECHNOLOGY IT)是使企業和政府能夠完成他們任務和目

標全部過程的組成部份 IT控制有兩個顯著的零組件︰企業控制的自動化和對IT的控制

IT控制不存在於隔離的過程中他們之間形成一個互相依靠保護的連續統一體因此單一

個控制弱點所造成的影響不僅僅會導致單點失敗例如當一名安全管理者在一個防火牆

配置檔案裡選擇設定時(一項技術任務需要具體的技能和知識-人員教育訓練) 他需貫徹一

個被建立的政策(可以或可以不在別處被用檔案說明-檔案管理) 決定那些使用者容許或者

不被容許對外網路通信(使用者權限管理) 並且建立他們可能之傳輸路徑(網路管理) 前揭

控制作業單點之失敗將可能影響整體網路環境安全

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

評估資訊科技控制 - 概況

在整個內部控制系統中對於IT控制之稽核作業流程提供了一個正式的架構如圖

1.1

因此內部稽核人員於IT控制所扮演之角色開始於對所聽到IT控制觀念之瞭解最終

對該控制及其風險提出評估結果將於以下小節詳述圖1之內容

瞭解資訊科技控制(Understanding IT Controls)

IT控制包含提供資訊保證及資訊服務並降低組織使用資訊科技所產生風險之作業

流程其範圍包括政策之撰寫實體存取保護資訊傳輸資料結構分析等由於

圖1.1 The Structure of IT Auditing


IT控制作業之整體連續性及複雜性任何一個人不可能完全熟悉所有之IT技術而

且在每一個IT領域皆有專家可評估其控制風險(例如資料庫管理者不一定熟悉網路

管理及資料傳輸) 因此可利用權責分工方式進行管理風險評估稽核等作業任

何人不需要懂得所有IT領域之每一個控制但有2個關鍵之控制觀念需記住

第一點在整個內部控制系統之IT控制必須提供保證而且此保證須為持續性的以

及產生一個信任的持續的證據軌跡

第二點稽核人員之保證應是獨立的且客觀地評估第一點之保證稽核人員之保證是

基於瞭解檢查以及評估稽核人員所管理之關鍵控制相關風險而且需要執行

足夠的測試以確認設計之妥適性及功能之有效性

IT控制的分類將控制分類可以幫助瞭解它們的目的以及適用於整體內部控制系

統的地方如圖1.2

一般性控制：如所知的基礎設施(infrastructure)控制包括但是不侷限於︰資訊安全

政策權限管理資料存取和驗証關鍵IT功能的分工系統取得和實施的管理變更管

理備份復原以及企業永續性等項目

應用系統控制：適合個別之企業流程或應用系統包括︰資料編輯企業功能的分工

(例如授權及交易紀錄之建檔) 處理總數之平衡交易之相關紀錄以及錯誤報告等項目

圖1.2 Some Control Classifications

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

每個控制功能與它的設計及有效性之評估有高度關係

控制作業也可分類為

預防性控制：防止發生錯誤遺漏或者安全事件例如簡單的輸入資料編輯阻止字

元符號輸入至數值的欄位保護敏感資訊或者系統資源被未授權人員存取之控制以及複雜

和動態的技術控制(例如防毒軟體防火牆和入侵防禦系統)

偵測性控制：發現躲避預防性控制的錯誤或事件例如確認並計算一個暫停不用之帳

戶數字或者監控已經被註記並且疑心有不法活動的帳戶對敏感的電子通訊來說偵測性

控制能表示為一條訊息已經被破壞或者發送人的安全身份不能被驗證

改正性控制：改正已經被發現的錯誤遺漏或者安全事件例如由於資料輸入錯誤之

簡單的改正鑑別並從系統或者網路除去未被授權的用戶或者軟體災難恢復計畫

改正之作業流程也會影響預防性或偵測性控制因為它們代表著另一次錯誤遺漏或偽

造的機會

另一種普遍的控制分類是藉著群組所應負之責任以確認控制作業是否被適當地建置

及維護為了評鑑角色及責任之目的將IT控制分類為治理管理及專業技術

治理控制：IT控制在治理層級強調有效的資源管理以及安全準則政策程序在適

當的地方遵循標準規範執行治理控制與董事會或單一委員會所控制或託管之組織運作管理

相結合而且這些控制與由組織目標策略及外在法令所驅動之公司治理相互連接

管理控制：管理對於內部控制的責任通常與全組織及特別注意之關鍵資產敏感資訊和

作業功能所能達到之領域有關管理階層必須確認IT控制應該達成組織所建立之目標並

保證作業可靠及持續這些控制作業被建置是管理階層審慎行動的結果可以辨認組織程

序資產的風險並且頒布技術流程以便降低及管理風險

在治理控制與管理控制之間有一個很重要之區別就是〝noses in,fingers out〞治理責

任是監控而管理責任是控制活動之執行


專業技術控制：這些控制是在組織的IT 基礎設施內使用的技術實現並證明遵循管理

層所預期且基於資訊政策之自動化技術控制能力是組織的一種強有力的資源例如透過防

止未被授權的存取和入侵包含所有變更之證據及其可靠性能夠在資訊完整性上提供信賴

的基礎

IT控制的期望

內部稽核主管基於個人之控制技巧期望發現企業內部定義之IT控制組織階層架構

此架構包含從董事會同意管理層所公布之高階政策一直到應用系統之專業技術控制如圖

1.3 此架構不同的要素不是互相排斥而是互相連結及能夠混合的許多控制形式包含於

這些要素中描述如下

政策(Policies)：所有組織經由策略計畫及政策聲明去定義他們的目的及目標沒有明

確的政策及標準方向組織將會無指引之方向並且無效率運作依據組織大小將需要各種不

同之政策大型組織廣泛地建置IT作業時將需要更多細部及特定的政策 IT政策聲明書

包括但是不局限於︰關於整個企業安全及隱私權之一般政策(包含法令法規要求) 定義資

訊分類及各層級之存取權限定義資料及系統擁有者之觀念(包含新增更新刪除等) 定

義那些使用者可於智慧型工作站上增/刪應用軟體定義人員之管制等

標準(Standards)：標準就是支援政策的需求定義工作方式去達成組織的需求目標具

圖1.3 IT Controls

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

有重要資源的大型組織能夠在適當的位置設計出他們自己的標準作為一個指引內部稽核

主管應重視下列標準是否適當包括系統開發流程系統軟體參數配置應用系統控制資

料結構(含資料定義存取方式隱私之安全控制等) 文件管理等標準

無論是政策或標準皆應經過管理階層核定並用淺顯易懂語言撰寫使得實施的人員可

以有效的運作

組織和管理(Organization and Management)：當組織處理各方面營運作業時組織和管理

在整個IT控制系統中扮演一個主要的角色其包括

責任分工 - 在許多控制中責任分工是一個很重要的因素一個組織的架構不應該允許

對處理資料之各方面責任完全倚賴一個人或者單獨部門例如啟動授權輸入處理以

及檢查資料的功能應該被分開以便保證沒有一個人產生錯誤並省略它或者授權不合常規

情況並遮蔽證據

財務控制 - 因為組織需考量對IT的投資因此預算和其它財務控制是必要的以便確

保技術產生的投資收益被保護或提議節省管理流程需放置於適當之處以便蒐集分析及

報告相關問題資訊令人遺憾的因為不足的計畫使新IT的發展經常遭遇超額費用而

且不能交付預期的成本節約預算的控制能幫助在作業流程中提早鑑定潛在的缺點並且允

許管理層採取積極措施他們也可能產生組織在未來專案所使用的歷史數據資料

變更管理 - 在組織及管理控制要素下能夠規範變更管理流程這些流程應該保證IT環

境系統軟體應用系統和資料之變更應該在適當的權責劃分行為模式下實施以便確認

變更之內容與需求相符並預防利用變更之過程達到舞弊之目的

其他管理控制 - 其他典型管理控制包括新員工的審查績效評估對IT員工提供專

家訓練等控制程序

實體和環境控制(Physical and Environmental Controls)：IT設備對於大多數組織來說代表

相當多的投資它必須被保護預防事件發生或者縝密考量危險及損失實體和環境控制最

初發展是為了保護大型主機電腦之資料中心但現在即使web-based或client-server分散式

網路設備的實體和環境控制一樣重要全部設備皆必須被保護包括對申請允許人員進入的

伺服器和工作站一些典型的實體和環境控制包括︰在一個鎖住的房間限制可存取伺服器


之人員防火偵測設備等

系統軟體控制(System Software Controls)：系統軟體產品使得IT設備能夠被應用系統和

用戶使用這些產品包括作業系統(例如Windows Unix和Linux) 網路和通信軟體防火

牆防病毒產品以及資料庫管理系統(DBMS)例如Oracle和DB2 系統軟體可能非常複雜

並且適用於系統和網路環境之零組件和設備因此在此領域需要IT專家去評估其控制

內部稽核主管在一個管理良好的IT環境中將期望發現一些關鍵的控制包括依據

組織政策訂定之分配與控制的存取權限加強整個系統軟體及其它配置控制的權責劃分施

行入侵及弱點之評估偵測及預防並持續監控規則地進行入侵偵測測試加密服務變

更管理流程等

系統開發及取得控制(System Development and Acquisition Controls)：組織很少對所有應

用系統開發專案採用單一的方法論因此IT稽核人員應該評估組織開發或取得應用系統所

使用之控制方法是否對於該應用系統內部及其所處理之資料提供有效的控制在系統開發及

取得的工作中有些基本的控制點應該被顯現包括使用者需求應該被文件化而且其達成

情形可被量測系統設計應依循正式的流程確認使用者需求及其控制被設計在系統中系

統開發應確認需求及設計特性結合於結構化的行為中測試應該保證個別的系統元件界面

依照所要求運作用戶含蓋於測試的過程並且計畫的功能性已經被提供應用系統維護流

程應該保證在應用系統方面的變更遵循固定模式的控制專案管理工具及控制應被當作開發

作業流程的一部分

基於應用系統的控制(Application-based Controls)：對於整個應用系統內部控制的目標將

保證︰所有輸入的資料是準確的完整的授權的及適當的所有資料如設計運作所有儲

存及輸出的資料是準確的及完整的每一筆維護的紀錄從輸入到輸出皆可被追蹤內部稽

核主管應該期望於應用系統看到某些一般性的控制包括輸出處理輸出完整性控制

(能夠監控資料處理流程並保持儲存資料之連續性及正確性) 稽核軌跡的管理等控制

資訊安全(Information Security)

資訊安全是全部IT控制的組成部分應用於基礎設施和資料並且是大多數其他IT控制

可靠性的基礎其普遍接受的要素是︰

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

機密性(Confidentiality)：機密性的資訊只能被適當地揭露並且必須防止未被授權的

洩露或者攔截其還包括隱私的考量

完整性(Integrity)：資訊的完整性適用於資料被正確及完全的處理包括財務處理和報

告的可靠性

可用性(Availability)：對於企業及其用戶和夥伴來說無論何時何地需要的情況下

資訊必須是可用的包括有能力從資料及IT服務的損害中斷錯誤或者較大的災難中恢

復

IT控制的架構(IT Controls Framework)

IT 控制不是自動的因為超過50年來組織已經使用的資訊技術控制不經常是新系統

硬體或者軟體的預設狀態因此發展和實施控制通常落後於系統所承認的弱點及其所產生

的威脅裡的脆弱的承認更進一步來說 IT控制不能在全部的系統中使用一個廣泛承認

之應用標準來定義為了分類IT控制及其控制目標有許多的框架存在每一個組織應該

使用這些框架大多數應用的組成元素去分類或評估IT控制並提供及文件化自己的內部控

制制度架構包括遵循正確的法令法規與組織的目標及目的相一致保證所有活動遵

循管理政策並與組織的風險胃納一致之可信任的證據

風險胃納(Risk Appetite)與風險容忍度 Risk Tolerance

風險胃納(Risk Appetite)這個與風險管理有關而且頗重要的概念近年來逐漸受到更

多的重視目前對於風險胃納作較完整定義的應屬COSO在其企業風險管理 ERM 架構

中所陳述的追求某目標或願景的公司或個體由較為廣闊基礎下之考慮而願意接受的

風險相對於其另一個名詞風險容忍度 Risk Tolerance 係指相對於所欲達成之

目標而可接受的變異程度在這樣的架構下風險胃納是屬於較上層與較廣闊的概念較

接近對風險正面或間接的涵意也就是考慮由於願意多承擔風險而多希望獲取的報酬而風

險容忍度就屬於較為落實與較為具體的層次更側重風險原本負面與直接的概念亦即所可

容忍的風險舉例說明策略性目標風險胃納及風險容忍度之關係如圖1.4


IT控制的重要性(Importance of IT Controls)

許多問題驅動對IT控制的需要包括控制成本並且保持具有競爭性防止駭客竊取資

訊以及遵循法令規章(如美國於2002年制定之沙賓法案) 一些國家立法和在規章現下

要求組織報告有關內部控制有效性的情況一些有效的IT控制關鍵指標包括︰

有能力執行所計畫的新工作如IT基礎設施升級去支援新產品及服務

及時交付開發的專案計畫且在預算內產出更便宜更好的產品並能夠比競爭對

手提升更優的服務

有能力事先分配資源

持續提供組織企業夥伴及其他外部單位資訊的可用性可靠性以及IT服務

有效控制的管理能明確地溝通

圖1.4 策略性目標風險胃納及風險容忍度之關係

策略性目標業務與國際接軌

衡量國際化業務之成長率

風險胃納 *公司需增加大量人力及設備投資 *不容許業務品質的損害

策略因應業務需求，新業務知識瞭解、新IT技術研發

相關目標衡量 *人員專業訓練訓練時數 *維持業務及設備異常次數運作正常

衡量 *國際化業務之成長率 *業務品質 *專業訓練時數

目標 *國際化業務成長50% *業務及設備正常運作比率99.99% *整年訓練時數50小時

可接受範圍 *國際化業務成長40%-60% *異常次數<=1次 *整年訓練時數>=50小時

風險容忍度

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

有能力快速有效地預防弱點及威脅並能從任何IT服務中斷的情況下恢復

有效地使用客服中心或服務台

從每一位員工至全組織皆具有安全意識文化

雖然IT問題的細節由IT稽核專家進行但稽核主管應在高層次上瞭解此IT問題與其它

IT或非IT控制的相互影響當與其他高階主管如執行長財務長資訊長或董事會討論遵

循或缺乏控制時此瞭解是非常重要的稽核主管應在稽核評估時考量並完全瞭解驅動此

IT控制需求的主要環節問題沒有完整的知識及瞭解是無法抓住此IT控制需求的重要性或

在整個內部控制觀點適當的評估它們

組織中IT的角色(IT Roles in the Organization)

在組織內因為IT控制的責任和擁有權近年來已經出現很多不同的角色在治理的每

個位置管理操作以及技術階級能清楚的描述IT控制的角色和相對的責任以避免混亂

並且保證對於特別問題所應負的責任總而言之在任何組織中使用IT的目標包括依

據組織的策略政策特殊需求及風險胃納提供資訊的有效性及安全的IT服務保護股

東所關切的事項使組織與客戶企業夥伴及其他外部單位維持相互獲益的關係適當地定

義並回應控制的威脅及潛在弱點

在組織內有具體的角色支援這些目標包括

董事會/治理的主體 - 整個董事會有一個重要的角色就是決定並核准策略確定目

標並且保證目標正被滿足支援策略董事會基於它與組織的關係將建立各式各樣

的委員會包含審計委員會(Audit Committee 圍繞於監督財務問題內部控制評

估風險管理和倫理學等) 補償委員會(Compensation Committee 與IT沒有直接

關係但此委員會能夠藉著其核定之補償計畫去改善董事會監督之IT績效) 治

理委員會(Governance Committee 對董事會成員選擇和評估負責並且是董事會

運作的領導) 風險管理委員會(Risk Management Committee 監督所有的風險分

析評估因應及監控) 財務委員會(Finance Committee 評論財務報表現金收

支預測和投資管理此委員會的成員需在IT控制要素下保證資訊的準確用來做關

鍵投資的決定並且產生財務報告)


管理 - 關於IT風險及控制幾個具體的角色已經在大型組織出現包含執行長

(Chief Executive Officer 負責在組織策略及運作控制多方面考量IT) 財務長

(Chief Financial Officer 負責組織所有的財務事情並強烈地瞭解使用IT能夠

管理財務並支援組織的目標) 資訊長(Chief Information Officer 負責組織內所

使用的IT) 安全長(Chief Security Officer 負責整個組織的安全) 首席資訊安

全官(Chief Information Security Officer 是負責整個組織安全的子集) 首席法

律顧問(Chief Legal Counsel 可能是組織或者一個外部法律事務所的員工) 首

席風險管理官(Chief Risk Officer 涉及組織各層級的風險管理)

稽核 - 稽核分為內部稽核及外部稽核人員

無論是否有一具體的內部稽核人員被雇用內部稽核是公司治理過程必要的部分內部

稽核人員對於IT需要一般性的瞭解但其瞭解程度取決於稽核之種類或者是其運作之稽核

監控 IIA對內部稽核人員之IT知識技能定義為3類

第1類：所有專業稽核人員(包括新進人員到稽核主管)必備之IT知識基本的IT知識強調瞭

解觀念例如應用系統軟體作業系統系統軟體及網路管理系統之不同處它亦

包括基本的IT安全及控制組成要素例如周圍實體及環境的安全入侵偵測使用

者帳號驗證及對於應用系統控制等另包括對於上述作業企業是如何控制以及作

業相關支援的系統網路及其資料流程之脆弱點對企業目標的衝擊等因此基

本上它是強調稽核人員有足夠的知識去關注瞭解IT之風險而不需要有很專業的技

術

第2類：適用於稽核的管理層級除了需具備基本的IT知識外稽核人員應瞭解所有的IT

問題及要素充分於稽核計畫中提出如何測試分析報告及追蹤並對於稽核專

案之要素提供專業技能稽核管理人員基本上必須瞭解企業自動化之相關威脅及弱

點瞭解企業控制及IT所應提供之風險降低對IT相關的控制及其弱點提出計畫和

監督的任務並且對企業的應用系統及環境提供更有效率的IT控制保證稽核團隊

有足夠的能力進行稽核作業在稽核測試及評估的過程中確認有效的使用IT工具

同意測試控制與資訊之計畫及技術評估IT脆弱點或控制弱點的稽核測試結果及證

據分析所偵測之症狀及其源頭包括計畫運作變更或其他風險區域基於對

企業保證目標的源頭提出建議而不是僅報導所發現的問題或錯誤

第3類：技術面之IT稽核專家雖然IT稽核人員於管理層級需瞭解支援企業的相關技術及其

威脅脆弱點但IT稽核人員也需要專精於某個技術領域之專家

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

獨立的外部稽核是大多數組織的要求並且每年通常被執行內部稽核部門或審計委員

會考慮的議題包括︰進行財務稽核時評估IT系統及其控制外部稽核人員責任範圍包括

檢查IT系統及其控制符合正式的法令法規要求

分析風險(Analyzing Risk)

風險決定回應

基於設計的風險管理控制作業被選擇及實施當風險經由經驗或正式風險評估被定義

時適當的風險回應將被決定其範圍將從無控制到使用特別的控制措施(包括保險) 將風險

降低至可接受的程度當考量組織因業務類型不同時每個控制的成本效益是無法被證明的

決定適當IT控制的風險考量

風險管理應使用於整個組織內而非僅是IT應用系統 IT不應該被隔離考量而應當

作整個企業流程的一部分在組織內部控制制度架構下考量IT控制妥適性內部稽核主管

應考量管理階層所建立流程是否依據以下情形來決定包括資訊的價值及重要性每一

個企業功能及流程的組織風險胃納與風險容忍度組織所面對的IT風險及提供給使用者的

服務品質 IT基礎設施(由組織體制內之硬體軟體通訊應用系統通訊協定與資料組

成並包括它們實施的實體環境空間以及組織和它的外部環境之間)的複雜度適當的IT

控制及其所提供的獲益過去2年內有傷害的IT事件

風險分析的頻率是重要的並且受技術變化的影響非常大

內部稽核主管及其稽核團隊應該參與分析和評估風險的過程當他們保持其功能的獨立

性和客觀性模式操作時也必須對內部控制框架的有效性提供意見

風險降低策略

通常有幾種方法減輕風險潛在的影響︰

接受風險 - 有些風險是不重要的因為它們的衝擊及發生的機率是低的這樣有認知

接受此風險作為企業的成本是適當的

消除風險 - 對於此類風險與使用一項特別的技術供應商或者賣主是可能有關的此


風險可以透過使用更堅固的產品替換技術和透過尋找更有能力的供應商和

賣主被消除

分擔風險 - 風險降低可以與親近得貿易伙伴和供應商分擔例如轉移實際風險的成本

給保險公司以降低風險

控制/降低風險 - 當其它的選擇已經被刪除合適的控制措施必須被想出並且實施以

防止它自己顯示的風險或者使它的影響減到最小

考量控制的特性

在IT控制評估作業期間有些問題應該被考量包括控制是有效的嗎它取得預期效果

嗎混合預防偵探和改正的控制是有效的嗎證據(稽核或管理軌跡)是否被保留?等問題

IT控制的基線

IT控制最廣泛地應用於全部IT基礎設施上被稱為基線控制確定IT控制的基線不是容

易的因為一般的威脅例如惡意的軟體和駭客更變新技術和應用系統經常穿越組織實

現當選擇一套合適的基線控制時下列問題可以被考量包括IT政策存在嗎對IT和IT

控制的責任被定義指定並接受了嗎基礎設施相關設備及工具是否安全防毒軟體是否實

施及維護防火牆技術是否依據政策實施內外部的脆弱點是否評估完成並定義其風險與

適當地解決是否設置變更及參數管理品質保證流程是否建置結構化的監控及服務量測

措施等問題

監控以及技術(Monitoring and Techniques)

選擇控制架構(Choosing a Control Framework)

控制架構就是使用結構化的方式去分類控制去確認所有的控制範圍皆被適度涵蓋組

織採用一種正式的控制架構對於定義及評估IT控制風險的流程有相當大的幫助這種架構

應該適用並且被使用於整個組織而非僅是內部稽核雖然很多架構存在但是沒有一種架構

包含所有可能的企業類型或實施的技術

選擇或者建置一個控制架構的流程應該包括組織內有直接控制責任的所有位置內部稽

核主管應該參與決定的過程因為內部稽核的功能將評估此架構的合適性

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

內部稽核主管需要有IT風險問題之所有知識以便去評估IT控制的有效性及適當性

而且風險分析及評估之審視作業無法在一次作業中完成特別是使用在IT上因為IT技術

的改變是持續及快速的

COSO (the Committee of Sponsoring Organizations)提供了技術控制的模式如圖1.5

監控IT 控制(Monitoring IT Controls)

管理層負責監控和評估控制而稽核人員的監控和評估作業是獨立進行的以證明管理

層所斷言相關控制的適合性管理層的控制所進行之監控和評估活動應該被在幾個種類內計

畫並處理說明如下︰

進行中的監控(Ongoing Monitoring) -

每日/定期的一些資訊每日必須被檢查以確認控制如所需要的運作

事件引發的在正常的處理作業或者在特殊情況下(例如價值非常大的交易)所導致的差

異或者甚至詐欺

圖1.5 COSO Model for Technology Controls

Monitoring:◎ Monthly metrics from technology performance

◎ Technology cost and control performance analysis

Control Activities:◎ Review board for change management

◎ Comparison of technology initiatives to plan and return on investment

◎ Documentation and approval of IT plans and systems architecture

◎ Compliance with information and physical security standards

Information and Communication:◎ Periodic corporate communications (intranet, e-mail, meetings, mailings)◎ Ongoing technology awareness of best practices◎IT performance survey◎IT and security training◎Help desk ongoing issue resolution

Risk Assessment:◎ IT risks included in overall corporate risk assessment◎ IT integrated into business risk assessments◎ Differentiate IT controls for high risk business areas/functions◎IT Internal audit assessment


連續性的現今的技術有能力對某些敏感的控制提供連續性的監控例如入侵偵測系統

可持續偵測網路事件防火牆等

特別的審視(Special Reviews) -

年度(或每季)控制評估雖然董事會被要求發表關於內部控制的有效性聲明管理層實際

上必須給董事會提供保證並且內部和外部稽核人員必須進行足夠的稽核工作證明這些保證

稽核審視不管新發展的稽核方式增加定期對稽核程式的審視仍然是必須的唯有透

過正式審查基礎設施流程和技術實施內部稽核主管才能評估所有內部控制的可靠性和穩

定性然而在IT快速變動的世界中現在應該依據風險的水平進行稽核審視

評估(Assessment)

使用那一種稽核方法論(What Audit Methodology to Use)

一種廣泛使用稽核方式藉由自動化的系統對重要的商業交易處理流程進行作業分析

在這樣的稽核過程中稽核人員依據控制來定義活動和資訊並且評估現行並提供可靠保護

之控制的能力

有經驗的稽核人員將會發展廣博的內部控制知識以及他們的力量和弱點因此內部的

稽核人員經常對負責設計和實現內部控制的管理層提供諮詢的服務過去的40年期間管

理層及稽核人員皆同意稽核人員貢獻他們的專業技術去發展流程以便確認適當的控制結合

到新的系統中比在稽核後發現控制不足而需增加控制更能對於組織增加價值因此稽核

諮詢及風險為基礎的稽核作業更為廣泛運作

今天沒有具體的稽核方法論可能被認為是唯一當今最佳實務內部稽核人員採用最適

合工作需求的方法和實例例如︰當依據沙賓法案進行評估作業時以系統為基礎的稽核方

式也許是最好的方法舞弊的調查也許需要使用稽核軟體進行資料分析及尋找證據在支援

持主要內部稽核目標所進行之年度稽核作業時最可能依循風險為基礎的方式進行

測試IT控制和連續性的保證(Testing IT Controls and Continuous Assurance)

為評估IT控制技術的適當性規則的審視該控制是否持續符合功能需求是必要的傳

統上內部稽核人員使用的方法是建立可以透過業務系統所處理之測試資料並檢查處理結果來

名人講堂

焦點視界

市場掃描

證交集錦

數字機鋒

統計資料

專題研究


Special Issue

進行確認例如該控制持續接受有效的資料並且拒絕錯誤和無效的項目然而現在因為業

務系統之廣泛性複雜性互動性稽核測試傾向於關注於更特殊之自動化關鍵控制上並分

析那些資料

連續性監控和稽核工具已經被使用多年以前叫作嵌入式稽核軟體依據預先決定的標

準及所能識別的異常報告由業務系統內的程式碼去檢驗被處理的資料這樣監控明顯的好

處是任何差異可以被鑑定並且立即對其採取行動很多專有的業務軟體產品現下提供這樣連

續性監控的功能概念也已經超過商業應用範圍例如大多數防火牆產品和入侵偵測系統

稽核軟體能夠被使用來分析存儲的資料並且檢查它的有效性以確認內部控制運作的持

續性及可靠性例如ACL or Case Ware IDEA能提供精密特別的分析

稽核工具也適用於使風險分析的過程自動化這些工具對於整個內部稽核功能來說非常

珍貴並非僅是IT稽核人員或風險專家沒有自動化的工具的幫助在今天的複雜的IT環

境內進行適當的風險分析是不容易的

審計委員會/管理/稽核界面(Audit Committee/Management/Audit Interfaces)

內部稽核主管就內部控制問題和審計委員會一起討論決定所提供資訊的最佳水

平以達到法規制度政策職責或者其它治理目標評量基準和報告(Metrics and

reporting) 及稽核報告摘要(Audit Report Summaries) 是內部稽核主管就內部控制方

面應當與審計委員會溝通的兩大方面進一步的溝通取決於審計委員會和法規或制度的要

求

評量基準和報告 - 必須對IT控制狀況提供有意義的資訊管理層提供的評量基準和報

告內部稽核主管應能證明其有效性並對其價值作出評估這可以通過對相關控制領域的

稽核測試評估其獨立性和客觀性來實現內部稽核主管應當與各階層管理者審計委員會

等保持聯系對所選的評量基準和報告的有用性和效果性達成一致意見

稽核報告摘要 - 需定期提供給審計委員會它概述了有關 IT控制的調查結果結論和

意見也可以對之前稽核報告同意採取的行動進行報告以及這些行動的目前狀況 IT控

制摘要並不能單獨地提供而是包括在整個ā部控制架構當中的報告的頻率取決於組織的

需要在監控嚴格的環境之下如美國沙賓法案要求每季提供報告其他情況下組織的

治理結構和哲學以及存在多大程度的風險將決定報告的頻率稽核界面如圖1.6


結論(Conclusion)

評估IT控制是一個持續的過程因為企業經營過程不斷地變化技術亦在進步當

新的脆弱點出現時新的威脅也隨之產生而稽核方法也在不斷改進內部稽核主

管應當將有助於企業目標實現的那些IT控制評估提報到最高階的稽核議程內

評估IT控制並不是要決定是否採用了最佳實務控制對於組織的使命目標文

化過程和技術來講都是特定的技術應當以能提供有效的控制為準內部稽核主

管應當確保內部稽核採用合適並且有效的稽核方法 IT稽核是一個持續的學習過

程

內部稽核主管應當了解整個的控制的問題並且能夠與高層管理者和董事會有關的

委員會以一種他們能夠理解並能有效作出回應的方法和形式進行溝通與技術人

員管理層以及董事會的溝通是取得有效IT控制評估的關鍵 (下期待續)

圖1.6 Audit Interfaces

MetricsAssurance

Audit Committee

Audit Reports and Responses

Audit Work Validate Metrics

Special Re

quests

Querie

s

Repo

rt Su

mmari

es Q

pinion

s Plan A

chieve

ment

Repo

rts, Q

pinion

sPlan Status

Plans. Sp

escial

Requests Q

uerie

s

Managem

ent

Chief Audit Executive

IT Audit

Documents

IT控制架構COBIT之探討(上) - TWSE 臺灣證券交易所 · (5) 採用COBIT能夠確保組織沒有違反規則 õ法規和合同義務 ö (6) 一個採用COBIT的組織能夠將自己區別於競爭對手