IT管理階層及IT安全的責任之在於確保科技風險的適當管理。這些風險來自於以各種方式配置及使用IT資產,例如系統架設錯誤或存取限制使用的軟體等。不過,這些風險可以透過偵測弱點、評估其潛在影響,以及在必要時採行改正措施等方式,予以辨認及補救。 弱點管理係指一個機構用於辨認、評估 …
繼續閱讀 »方法與準則
GTAG-5 :隱私風險之管理與稽核
做為公司經營者或管理者,希望滿足客戶和員工的需求與期望,以各種隱私政策和公告來實現對客戶和員工所做出的各項承諾,並遵守現行隱私資訊之安全法律規範,公司的客戶、供應商、和商業夥伴想要確保他們的個人資料會受到保護,而且只被用於他原本收集的用途,只有隱私管理好的公司,才能贏得來自 …
繼續閱讀 »GTAG-4 :IT稽核之管理
資訊科技(IT)正在改變內部稽核職能的性質。隨著新的風險產生,需要新的稽核程序以便適當管理這些風險。本指引的目的,在於協助內部稽核主管(CAE)更有效及有效率的規劃與管理內部稽核職能,其含蓋如何界定IT、評估IT相關風險、界定IT稽核範圍、執行IT稽核、管理IT稽核職能及因 …
繼續閱讀 »GTAG-3 :持續性稽核:對確認、監控、與風險評估之意義
傳統上,內部稽核的控制測試已在回顧和週期性的基礎上進行,往往是在營業活動發生後的好幾個月,這些測試程序往往是根據抽樣方法,以及包括營運作業活動,例如:檢查政策、程序、核准和調節,然而今天,大家瞭解到這種方法只能讓內部稽核人員做到範圍狹窄的評估,且常常是為時已晚不能找出營運績 …
繼續閱讀 »GTAG-2 :變更及修補管理之控制
現今關於IT變更控制議題已異乎尋常地變得重要。具有能有效地挑戰IT管理階層的知識不僅是有益的,而且是必要的,因為每個『IT風險』產生若干程度之營運風險,故稽核長需完全瞭解變更管理議將變得非常重要。 變更及修補管理在此定義為組織IT部門行用來管理正式營運系統之強化、更新、遞增 …
繼續閱讀 »GTAG-1 :資訊科技風險與控制
資訊科技控制是無法單獨存在,它們組合成一個連續緊密相關聯的防護體,不過,也可能因為中間連結的薄弱而容易受到危害,因而造成作業錯誤及管理上的越權,從簡單到高度技術的區域等各個資訊領域都會發生,當然也可能存在於動態環境裡,資訊科技控制有兩個重要的要素:營運控制的自動化及資訊技術 …
繼續閱讀 »醫療機構如何透過e化方案持續評估營運風險與監控內部管理作業
近年來,醫療機構經營環境隨著時代的變遷與資訊科技不斷地演進,為提昇醫療品質及降低營運成本,各家醫療機構每年皆須投入大量資源進行醫療與醫務行政管理全面資訊化工作,但也同時衍生出許多醫院行政管理弊端,促使政府必須重新制定新的醫療管理制度與法令規範,此正衝擊整個醫療體系,如何在艱 …
繼續閱讀 »GTAG-全球科技稽核指引介紹
一、什麼是 GTAG? GTAG – Global Technology Audit Guide 提供稽核主管、審計委員會及高階經理人容易去瞭解資訊科技稽核的指引 提供快速辨別新資訊科技議題的方法 從全方位角度,產生資訊科技稽核指引 二、GTAG 的主要使用者是 …
繼續閱讀 »