叡揚資通安全稽核系統 協助機關管理資安稽核文件

民國 108 年是我國「資安法元年」，公務機關於今年適法以來，接受稽核的單位多 有適法前後作業強度確實提高許多的感覺;行政院資通安全處處長簡宏偉也強調，隨著資安人力逐漸擴充，教育訓練逐漸落實，未來資安工作將會更加精進，希望逐年擺脫形式主義， 朝落實法規的方向努力。

眾所皆知，資安稽核是資安治理中極為重要的一 環，資安稽核不是應付檢查，而是透過全方位的 觀點協助機關檢視資安計畫完善程度及計畫實施 品質。從這個角度看，資安稽核的四方關係人: 稽核、驗證、輔導、合規，雖然各有其獨特的角色與使命，其實是一個協力作業團隊的一員;而且除合規單位須自始至終參與團隊作業外，其餘三者是以一種接力的方式傳遞其貢獻。

由於這種接力合作的形式，團隊成員在彼此溝通及作業銜接時必須通過一個共同介面， 來串接不同角色不同階段的努力成果，這個介面最主要就是「文件」。機關辦理資通安全時，無論其所遵循的規範或框架是資安法、ISO 27001 或是 NIST 的《Framework for Improving Critical Infrastructure Cybersecurity》，不約而同都強調「文件化」 的重要性，正可以證明此點，實因在現有技術下，文件依然是無可避免的主要介面形式。

資安文件並非隨意編纂即可，必須能夠讓團隊成員隨時掌握「全法規義務」、「全 PDCA 流程」、「全組織參與」，以及「全文件管理」， 而且達到「平時如戰時」，唯有符合這樣規範的文件編纂，才能協助團隊以簡馭繁，落實資安工作。

叡揚資訊的資通安全稽核系統脫胎自醫院評鑑系統，正是一套從知識管理設計理念出發，結合文件與管理功能的平台，可協助驗證、輔導、稽核、合規等單位建立共同文件介面，有效輔助機關辦理資安治理，提升治理效率。

全法規義務

資通安全稽核系統運用【條文樹】的設計，可透過層級式的「目錄 → 子目錄 → 條文」的架構，將合規項目以邏輯化的方式陳列，無一遺漏。目前本公司提供二種預設版型，分別以行政院頒佈的《108 年資通安全實地稽核項目檢核表》及《ISO/CNS 27001(2013 年版)控制 措施》作為底版，合規單位可依據相關條文進行分工交辦稽催，並建立佐證資料提供驗證稽核，無法規遺漏之虞。如果認為在上述二套模版之外仍有自辦事項，隨時可增減目錄、子目 錄或條文，操作簡易。

全 PDCA 流程

運用【具體措施】的逐項安排，可以清楚呈現合規單位處理每一個條文的方法論，不但便於輔導顧問進行輔導工作，也讓驗證機構及稽核機關一目瞭然合規單位之思路及作業流程，綜觀其得失，並檢視 PDCA 流程的完整性。搭配每一個具體措施的【相關佐證】，可將 PDCA 流程的縱深、循環、層次展開，在進入細部檢視作業內容前，便可視覺化地全面掌握合規單位之作為。合規單位則透過【具體措施及相關佐證】，進行編輯，準備佐證資料，掌握最新動態，只要依循年度資安計畫辦理，並立即將新產出之文件登載於系統，即可做到「平時如戰時」，隨時處於「稽核完備」的狀態。正式稽核時，反而無須另外增加作業，平常以對。

此外，尚可運用【交辦查詢】落實分工、稽催及進度追蹤。交辦可於年度計畫開始時依據計畫整批交辦，也可以在年中隨時依照需求增減交辦，凡交辦必留下痕跡。管理者可於權限範圍內隨時檢視交辦事項進度，一旦交辦設定清楚，系統自動把關，無須額外操心。也可以透過系統紀錄內部【預評】的一切，落實自我查核機制，或是委外辦理自評，完整保留預評委員意見，如不幸發生資安事件，這些紀錄以及交辦稽催軌跡，都會是縮小檢查範圍，發掘根因的重要線索。

全組織參與

可自行設定「條文負責人」、「督導主管」、 「協同負責人」、「 協同督導主管」等角色， 避免出現責任推諉，各部門明確分工合作，共同完成條文的落實。並可整批設定角色權限， 或是逐條設定角色單一項次權限，賦予不同使用者各別角色任務權限，以避免資訊不當外洩或遭竄改。

全文件管理

重要佐證文件可上傳至系統後端資料庫，達到無紙化文件管理。事實上，透過系統介面將所有文件功能化建置，使其發揮充分支援資安作業，輔助團隊合作的功效，遠比靜置後端資料庫更為重要。

實地稽核時，所有佐證資料透過平板電腦，隨時隨地呈現佐證數據，提供給委員參考，節省紙本翻閱時間。佐證資料可共享，減少重複性。使用本系統輔助資安作業，不但讓機關分工明確、 效率提升，稽核需要用到的文件可以集中管理，版本清楚，準備進度一目瞭然，既方便受稽單位作業，也能讓輔導、驗證及稽核單位最大化其效能。