國際電腦稽核協會ISACA 提出「數位信任生態系 ( Digital trust ecosystem )」框架,ISACA是以數位信任為主軸,並以此主軸為基礎來發展治理、管理、稽核、資安,希冀讓大家能落實數位信任生態系每個環節的信任度。
2022 年國際電腦稽核協會ISACA 提出「數位信任生態系 ( Digital trust ecosystem )」框架,於去年(2023)更是主要推動數位信任生態的概念,ISACA目前做所有與資訊相關的服務與作業是以數位信任為主軸,並以此主軸為基礎來發展治理、管理、稽核、資安,希冀讓大家能落實數位信任生態系每個環節的信任度。
ISACA擁有多項的著名資訊治理與管理框架,其中ITAF(國際資訊稽核實務準則)是全面整合的資訊稽核框架,ITAF則以ISACA資訊稽核專業實務指引為基礎,為資訊稽核和從事確保業務人員提供,獲取有關資訊稽核執行和有效稽核報告編製方面的唯一資訊來源的參考指引。因此ITAF國際資訊稽核實務準則顧名思義,是對企業資訊稽核的計畫、執行、確保或是報告指引與技術支援的一個遵循的標準。這篇文章,我們將分享上下兩篇,上篇以ITAF(國際資訊稽核實務準則)的通用標準來分享,下篇將以ITAF的執行標準為分享的內容。
以稽核專案管理為始
在多年稽核專案管理經驗過程中,莊盛祺表示,對台灣企業客戶進行電腦稽核或資安查核,客戶常會問是否有標準、規範或是檢查表可以作為他們日常查核的依據與標準作業程序的遵循等類似問題,但是通常即使他們團隊提供相關查核發現與結論,然而這些稽核報告都無法滿足企業最主要的營運目標。因此莊盛祺語重心長的表示,當對企業啟動稽核工作規劃時,要以企業營運目標為主要的查核目標,實質落實ITAF(國際資訊稽核實務準則)各項重點觀念。
莊盛祺強調,國際電腦稽核協會ISACA著重企業身體力行,實際操作,因此ISACA將國際資訊稽核實務準則 (ITAF)、2019年Cobit框架的內容,以及ISACA職業道德規範,這三者串聯起來,其目的是要讓大家能夠了解其彼此的交互關係,且可以從情理法三面向,進行與發揮資訊稽核的精神。
ITAF(國際資訊稽核實務準則)標準分為三類,分別為「通用標準」,主要敘述資訊確保產業的指導原則 ; 「執行標準」,主要敘述涉及到資訊稽核業務工作的執行面,例如規劃、監督、稽核與風險評估等,以及「報告標準」,主要敘述報告的類型、溝通方式及所溝通的資訊。針對ISACA ITAF標準下之電腦稽核實務,超過20年以上的稽核顧問一職的中華民國電腦稽核協會講師莊盛祺,同時為兆益數位總經理,他將於後面內容進行精闢與重點分享。
ITAF(國際資訊稽核實務準則)通用標準
稽核組織章程
現階段企業概況來說,企業內部稽核組織章程是否有明定,是企業非常關注與期待,因為這會牽動到日後進行實務上操作,目標是否清晰且明確。而以目前企業組織架構來看,稽核單位隸屬於董事會下面,