【資訊安全】資訊安全整體執行情形聲明書

依據《金融控股公司及銀行業內部控制及稽核制度實施辦法》第38–1條、《保險業內部控制及稽核制度實施辦法》第6–1條和《證券暨期貨市場各服務事業建立內部控制制度處理準則》第36–2條的規定，金融機構每年應將前一年度資訊安全整體執行情形，由資訊安全專責單位主管與董（理）事長（主席）、總經理、總稽核聯名出具「資訊安全整體執行情形聲明書」（以下簡稱「聲明書」），並於會計年度終了後三個月內提報董（理）事會。

雖然主管機關有提供聲明書的格式，但是對於如何評估應加強事項卻沒有硬性規定。金融機構可以委託外部顧問（例如會計師事務所）協助彙整資訊安全整體執行情形，並提供諮詢服務，外部顧問的諮詢報告也會做為聲明書的附件備查。然而外部顧問的方法論各有不同，主管機關也會針對聲明書的完整性提出意見。本文依據筆者從客戶處蒐集的回饋意見或金檢意見，針對聲明書的製作方式分享幾點心得或建議。

一般來說，聲明書報告會包含幾個部分，例如適用法規、方法論說明、年度查察作業、查察作業發現事項、年度完成事項等。

各類金融機構有各自適用的法規，例如金控公司及銀行業適用《金融控股公司及銀行業內部控制及稽核制度實施辦法》，建議在聲明書報告詳述適用的法規及條文。更理想的做法是，針對適用法規逐條說明現行控制措施。以《保險業內部控制及稽核制度實施辦法》為例，第6條要求保險業者應建立14項控制作業，建議金融機構逐條說明對應的控制措施，例如建立管理程序等。主管機關曾建議某機構加強說明法規及現行管理措施的連結性。

儘管各家顧問公司的方法論不同，但是建議在聲明書報告中說明如何採集證據，例如檢視管理程序、訪談相關人員、抽樣表單或紀錄等。檢視管理程序的證據力較弱，建議輔以訪談或抽樣，主管機關曾就某顧問公司僅檢視管理程序提出質疑。此外，建議在報告中說明決定將議題呈現在聲明書的評估方式，例如發生可能性、影響性、有無補償措施等。

主管機關要求金融機構定期辦理各項稽核或查核，例如銀行業針對資訊單位每年至少應辦理一次一般查核及一次專案查核，建議在聲明書報告中臚列年度的查察作業，作為合規的證明。若查察作業有提出發現事項，金融機構應完成改善、制定改善計畫或建立補償措施，顧問公司得依據方法論評估是否將發現事項呈現在聲明書中。

年度完成事項則是金融機構展現成果的機會，舉凡導入解決方案（例如建立DDoS防護機制）、引進管理制度（例如ISO 27001）、舉辦教育訓練或辦理各項資安檢測（例如APP基本資安檢測），金融機構可以利用這個區塊，向主管機關或高階管理層報告年度施政績效。

以上簡單介紹「資訊安全整體執行情形聲明書」，若有說明未盡事宜，或有任何指教，歡迎於下方留言，謝謝！