304                                  蔡崇熙    資訊查核作業與管理



            (二) 引進風險管理觀念，擴大資訊查核範圍。

                 風險管理指對機關或團體資產可能之弱點產生威脅，以致造成或產生資產傷害或損失之
            謂，風險種類包括作業、營運、財務、科技，而其威脅又包括內在弱點及外在威脅。資訊查
            核最重要目標為防患未然，防微杜漸，透過資訊查核措施協助機關儘快找出缺失安全漏洞，
            分析風險類別，依風險評鑑方法評定風險輕重緩急管制風險，由此觀之，風險管理與資訊稽
            核其實是一體兩面，所探討的面向不完全相同，但其重點仍在機關安全。本局未來資訊查核
            可以結合風險管理之方法論，分析資訊作業弱點及威脅，可以更深入瞭解資訊作業死角找出

            具威脅性之弱點。
            (三) 引用ISO27001（資訊安全管理國際標準）規範辦理資訊查核。
                 ISO27001資訊管理重點在於「資訊環境診斷」、「弱點掃瞄」、「資產評監」及「風險
            評估」，主要規範組織建立、實現、經營、監控、檢閱，保持和改善一個資訊安全管理系統
            的一個模式。但是，資訊查核作業係檢查某一時點之結果，對於長時間之作業過程查核較不

            易發覺缺失，而ISO 27001規定共有11個領域、39個控制項、133個控制措施，規範整個資訊
            管理作業過程要符合規定，加以ISO27001規定資安政策、資產、實體、人力、環境、通訊、
            營運之安全管理，所以，資訊查核與ISO27001二者是相輔相乘，本局雖為資安C級單位，但
            資訊查核仍可以引用ISO之方法論充實資訊查核內容。
            (四) 加強資訊安全宣導工作，建立資訊倫理。
                 所謂資訊倫理，依據維基百科（Wikipedia）說明：「資訊倫理是與資訊利用和資訊科

            技相關的價值觀。」及「資訊倫理是人類產生、傳播、整理、保存、檢索及利用資訊時的行
            為準則。」，包括隱私權（Privacy）、正確性（Accuracy）、所有權（Property）、使用權
            （Accessibility）四大議題，這四大議題與資訊安全息息相關，已經是現代人生活上每日不
            離身之重要切身觀念，變成日常生活習慣，「耳提面命」是成為習慣較佳方式，所以，加強
            辦理教育訓練宣導資訊安全重要性，邀請專家學者就資訊倫理方面提供不同面向之觀念，傳

            授員工無論是個人或工作上資訊安全方面知識，讓資訊安全成為工作上的習慣性，加強資訊
            安全宣導工作，防堵資訊安全漏洞，減少在資訊查核方面缺失，讓資訊查核工作變為無形，
            達到資安最終目標。


                                                      六、結語



                 資訊服務唯有做到使用者安心，管理者放心，才是永恆的答案，亦是資訊應用理想境
            界。惟今處在資訊科技爆發年代，戒慎恐懼求平安屬不易，藉助資訊查核保心安一定要的。
                 本局歷經10餘年來資訊查核，確實改變同仁對資訊軟、硬設備之應用產生應有的觀念與
            質變，帶來整體資訊管理與資訊安全相對的穩定，資訊查核肯定是保護資訊安全管理的一種

            有效管理手段，也是一種互相學習成長的媒介，尤其實地查核在彼此面對面溝通當下，找問
            題最直接，瞭解問題的原委與癥結最有效，亦是徹底解決的捷徑。
                 近年來資訊查核整體缺失率趨勢集中於資訊安全類（如圖6），此缺失主因係當事者個
            人疏忽或為圖使用方便所造成者居多約佔95%；「不會」者約佔5%，本缺失已列入持續改善
            事項。若從業務性質區分技術類單位佔86.4%與行政類單位佔13.6%（如表3）；所以，資訊
            查核缺失比率無關乎專業、學歷，僅在乎個人處事態度與認知而已，其實要做好資訊安全管

            理也不難，端賴各位同仁對本局資訊規定盡本分，同心協力為資訊安全把關，一定可發揮本