叡揚資通安全稽核系統協助機關建立資安病歷

中央社：https://www.cna.com.tw/postwrite/Detail/262825.aspx#.Xa1x2ZMzaPR

(中央社訊息服務20191021 16:23:42)《資通安全管理法》於今年一月一日正式開始實施，第一年先以公務機關作為實施對象，再逐步擴張至關鍵基礎設施服務提供者及公設財團法人。依據相關規定，機關要執行許多繁重的資通安全作業，而年底將辦理的資安稽核，對於許多機關而言，頗有不知如何回應之苦。

其實辦理資通安全法所規定的種種常規作業並非立法本旨，立法的最高目的還是在避免發生資安事件；如果不幸發生了，則務必於最短時間之內找出根因，並將問題修補。常規作業的種種設計都在避免資安事件的發生，如果仍然發生，則表示常規作業中仍有瑕疵，或是新型態攻擊手法為常規作業所未能預期，此時，檢視常規作業的內容，是縮小問題範圍，精準定義問題，迅速找出根因的必要參照。就像醫師看診先看病歷，深入瞭解病人生活形態及病史一樣，資安稽核就是在為機關的資安防護工作建立總體檢記錄及總病歷，以便資安事件發生時，迅速發掘出問題所在。如果只是把稽核視為一次上級檢查，就是浪費了一整年的作業。

依據《資通安全管理法》及其子法的規範，資通安全作業必須包括法規所規定的所有事項、全機關參與、依照PDCA流程進行，並且留下完整記錄備查。所以資安稽核，不論是內稽或是外稽，也就是針對機關之資安防護作業是否按照上述要求所對應的一套評核方式。設計的目標，是希望「稽核/管理/營運」三者能依照相同的方法同步進行，以發揮團體作戰綜效。

為此，行政院頒訂本年度《資通安全稽核項目檢核表》供公務機關參酌辦理，該表依據十二個檢核主題分類，共計108項檢核項目，內容涵蓋廣泛，深入機關每位成員及資通訊每一節點。但是徒表無以自行，如何將組織、流程、品質、時間等維度透過該表結合，最終達到「稽核/管理/營運」三合一的目的，才是真正的挑戰。

所幸，叡揚資訊即時推出「資通安全稽核系統」，該系統脫胎自叡揚資訊的「醫院評鑑系統」，以《資通安全稽核項目檢核表》為底，將全法規義務、全PDCA管理、全組織參與、全文件追蹤系統化，讓機關從政策制訂、流程管理、計畫排定、作業分工、任務交辦、進度追蹤、內部稽核、情境回報、即時查找到各類報表產出等，完全搞定！只要同仁按照自訂資通安全維護計畫忠實執行，即時填報，運用這套系統就可以讓整個機關的資安作業以最少的負擔，達到最大的效果。

叡揚資訊董事長張培鏞常引用「醫院評鑑系統」的成功勉勵員工，強調該系統將日常營運融入年度評鑑，是一種「平時如戰時」的最上乘資訊工具運用方式。如今這套系統如實移轉成為「資通安全稽核系統」，必定也能讓資安管理工作全年無休，時時備戰；在資安事件發生時，藉助已建檔資料的追蹤，必能在最短時間內協助主管機關發掘根因，有效降低資安危害風險，達成資安防護最佳化的目標，是機關建立資安體檢總病歷，尋找資安事件根因的必備輔助工具。