資安稽核是評估組織資訊安全措施和政策是否符合標準的關鍵程序。109至112年的內部稽核揭示了一些常見問題,可能對組織資訊安全構成風險。在本頁面中,我們將按角色分類,包括系統管理者、一般使用者/主管和系統開發者,介紹常見問題和解決方案。
請參考閱讀重點說明,並選擇對應的角色查看更多:
稽核是一種抽查過程,當團隊在接受稽核時,即使被記錄為缺失的項目沒有包含稽核常見問題TOP10的項目,也並不表示自身的風險不存在。
我們必須明白,即使這些缺失未被記錄,相關的風險並未因此而消失,我們應該關注並警覺自身潛在的隱患。
從各角色的圖表中可以看到某些項目逐年減少,顯示其他團隊在這方面已經取得了顯著的成果與進展。在這種情況下,我們應該反思並評估自己在類似領域是否也有相應的改進。
例如:從上方系統管理者的圖表可以看到【資產盤點清冊與更新】的缺失數逐年減少,我們也應該更加關注並積極改進這一類型的缺失。
查核項目每年度可能都會做一些調整。如果出現了新的項目,或者之前不在前十名中但今年卻上榜的常見問題,這些都需要多加關注。通常,這些變化會成為當年稽核的重點,所以我們應該特別留意這些動向。這有助於持續自我檢視,也更好地因應當年不同的風險挑戰。
例如:從上方系統管理者的圖表可以看到【身分驗證管理】是2022年新上榜的稽核缺失項目。