GTAG-6 :資訊科技弱點之管理與稽核

GTAG-5IT管理階層及IT安全的責任之在於確保科技風險的適當管理。這些風險來自於以各種方式配置及使用IT資產,例如系統架設錯誤或存取限制使用的軟體等。不過,這些風險可以透過偵測弱點、評估其潛在影響,以及在必要時採行改正措施等方式,予以辨認及補救。

弱點管理係指一個機構用於辨認、評估及補救IT弱點(可能造成企業風險或安全風險之IT資產或流程的弱點或暴險)的各種流程及科技。根據美國國家弱點資料庫,每年大約會發現5,000個新的弱點,而其中40%的弱點具有”高度嚴重性"(亦即其可能造成機構重大的混亂)。

本指引之制訂在於協助內部稽核主管在評估機構弱點管理流程時,向其IT安全人員提出正確的問題。同時建議特定的管理實務,以協助機構達成及維持較高水準的效果及效率,並列示優良及不良的弱點管理結果。

關於 David Chuang

CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員