最近被沙賓法案稿的人仰馬翻, 這時後還不到會計師的正式稽核, 不敢想像到時後的風聲鶴立景象, 倒是先說說沙賓的十項資訊稽核流程內容, 這次確實學到不少稽核要領.
- 資訊處理部門之功能及職責劃分
- 應用系統開發與維護作業
- 通訊與操作管理作業
- 資訊安全管理作業
- 存取控制
- 變更管理
- 事故與問題管理
- Infrastructure支援性管理
- 營運持續管理
- 委外服務管理
其中的職責劃分對公司的衝擊最大, 尤其對於User 和開發人員的權限要求和公司的低成本策略是背到而馳地. 針對關鍵性系統需要定出 DataOwner 角色. 資訊單位需要確實區分出應用系統開發人員, 應用系統測試人員, 應用系統管理人員, 資料庫管理人員, 作業系統管理人員,網路管理人員, 備份管理人員, 機房管理人員和資訊資產管理人員.工作職能應適當劃分,部分工作職掌不宜兼具相衝突職能,例如:
- 正式區資料庫應由獨立專責人員負責
- 應用系統開發人員不應兼具正式資料庫直接存取職能。
- 應用系統開發人員不應兼具正式區應用系統管理(包含系統過版和系統授權管理)職能。
- 應用系統開發人員不應兼具伺服器管理職能。
單單這幾點就會讓人抓俇, 一般資訊單位的人力安排多是傾向多工制, 越精簡越好, 但是對上沙賓就會碰上不少軟釘子, 需要學會隨機應變.難怪外國公司的資訊單位需要這樣多人, 不是沒有原因的.營運持續管理也是需要大投資, 需要建立災害復原演練機制, 新增設備是免不了的.在事故與問題管理上, 可以運用到 ITIL 的管理流程, 實在很棒. 在應用系統開發與維護作業和變更管理上, 需要注重由使用者提出申請,同時軟體版本管控和需求的可追蹤性.
|
字體:小 中 大
