什麼是 IT 一般控制措施 (ITGC)？

資訊科技 (Information Technology,IT) 是每個組織的基礎組成部分，其涵蓋使用者直接互動的解決方案與系統，還有那些在幕後運作、僅在發生中斷或事故時才會讓人意識到的解決方案與系統（例如網路與網頁伺服器）。IT 一般控制措施(IT General Control,ITGC) 提供了一套指引，規範如何使用與管理 IT 資源，並針對企業安全提供指導方針，藉此防範網路安全威脅。

實施 IT 一般控制措施可確保使用者依賴的 IT 資源，以及維持組織運作所需的關鍵 IT 基礎結構達到安全且最佳化的狀態。

儘管組織已具備部分的 IT 一般控制措施，但仍需從整體觀點考量，藉此確保企業持續營運與法規遵循。下列為 IT 一般控制措施的回顧，有助於團隊圍繞強健的 IT 一般控制措施策略凝聚起來。

IT 一般控制措施的定義

IT 一般控制措施，指的是治理組織如何取得、建置、部署、使用及維護技術的內部原則。IT 一般控制措施的關鍵功能包含：

• 對實體設施的存取控制
• 軟體實施
• 使用者帳戶建立
• 資料管理
• 運算基礎結構
• 應用程式
• 資料安全

IT 一般控制措施亦涵蓋系統開發的安全及法規遵循層面，例如生命週期與變更管理控制措施、備份與復原，以及營運控制措施。

對於某些組織來說，IT 一般控制措施是確保營運效率與網路安全的指導方針，而對於其他組織而言則是必須依循的規範，像是金融服務與醫療保健領域的組織，就必須建立並維持 IT 一般控制措施，藉此遵循適用的規章（例如《健康保險可攜與責任法》(HIPAA)、《支付卡產業資料安全標準》(PCI DSS) 及《沙賓法案》(SOX)）。

IT 一般控制措施為何重要？

• 主動解決漏洞
• 確保資料的機密性、完整性及可用性
• 治理 IT 系統組織的營運方式
• 協助組織滿足法規遵循要求
• 提高財務報告的可靠度與準確度
• 確保系統經過正確測試及實施
• 將詐騙風險最小化
• 減緩未經授權的存取、資料外洩及營運中斷發生
• 保護企業商譽
• 為安全系統與網路定期更新提供保證
• 降低內部或外部發生外洩及不符合法規情事的機會
• 保護客戶資訊

ITGC 範例與組成要素

程式與資料的存取控制

存取控制措施定義了哪些人員可以存取及使用哪些資料與系統。防止未經授權的存取，便能降低資料外洩與未經授權資料操作的風險。有效的存取控制措施包含：

• 生物辨識驗證
• 全磁碟加密
• 最小權限存取(principle of least privilege,PoLP)
• 多因子驗證(Multi-Factor Authentication,MFA)
• 密碼管理
• 密碼輪替
• 強式密碼

變更管理控制措施

變更管理控制措施提供了適用於實行 IT 系統及服務變更的指導方針，能夠將中斷的風險最小化。納入變更管理控制措施考量的變更類型，包含新增、修改或移除任何可能直接或間接影響服務的 IT 基礎結構或程式碼。變更管理控制措施亦涵蓋變更內容的計畫與文件記錄，以提供變更過程的背景資訊並確保透明化。

電腦作業控制措施

電腦作業控制措施可確保電腦經過最佳化程式設計，從而滿足儲存、處理及存取資料的需求，並有效率地執行程式。

資料備份與復原控制措施

資料備份與復原控制措施有助於組織將營運中斷的風險最小化。這些控制措施可確保資源（包含資料、企業流程、資料庫、系統及應用程式）皆有備份並能夠迅速還原，藉此加快恢復正常營運的速度。這項 IT 一般控制措施組成要素亦涵蓋適用於定期測試的指導，以確保準備就緒並解決自系統實施以來可能出現的任何問題。

資料保護控制措施

資料保護控制措施包含用來防範各類資料遺失的流程與技術，涵蓋資料竊取、損毀及意外存取與變更。組織應將資料遺失防護系統準備到位並進行最佳化，藉此保護終端、網路及雲端環境。這些系統應採用各種攻擊方法來進行測試，以確保防禦機制能如預期般運作。

事故管理控制措施

組織需要為可能發生的事故擬訂計畫並進行測試，確保在事故發生時能有效且迅速地做出回應。若事故發生，除了進行復原步驟外，還需準備好計畫來記錄事故的詳細資訊，用於識別根本原因並確保事故不再重演。此外，組織也應準備好工具來偵測潛在事故的跡象，以便採取主動回應。

IT 營運控制措施

IT 一般控制措施包含 IT 營運控制措施的具體指引，囊括最佳化部署與管理多種安全解決方案，例如電子郵件篩選、防火牆及防毒軟體。此外，IT 營運控制措施亦涵蓋滲透測試排程及自攜裝置 (Bring Your Own Device,BYOD) 相關的原則。

實體與環境資料中心安全控制措施

雖然人們將大多數網路安全威脅視為數位威脅，但位於資料中心的實體裝置同樣也會帶來風險。IT 一般控制措施包含特定要求，適用於保護資料中心免受未經授權的存取及危害環境的事件發生。

對資料中心的實體存取，通常是透過生物辨識存取技術、按鍵式門禁系統或感應卡來控制，且經常需搭配多因子驗證(Multi-Factor Authentication,MFA)，同時配有現場保全人員及視訊監控。

感測器經常用於監控資料中心環境，當溫度超出範圍或偵測到濕氣時便會觸發警報。

系統生命週期控制措施

系統生命週期控制措施在 IT 一般控制措施中佔有重要地位。這些控制措施囊括應用程式、系統及網路的修補程式與更新管理，亦涵蓋相關的程序與系統監控。

ITGC 實施

依循流程實施 IT 一般控制措施，可確保實施過程順利且準確，並能將可能影響進度及讓團隊成員感到挫折的突發狀況風險最小化。

1. 定義 IT 一般控制措施的範圍。
2. 設計 IT 一般控制措施。
3. 建立一致的法規遵循測試流程。
4. 建立基準。
5. 實施 IT 一般控制措施。
6. 測試 IT 一般控制措施。
7. 評估風險並給予風險評分。
8. 優先執行缺陷的補救措施。
9. 審查測試計畫並根據需求變更進行更新。

ITGC 法規遵循框架

法規遵循框架有助於組織整理並分類適用的 IT 一般控制措施，這不僅能確保適當的控制措施準備到位，還能協助組織為稽核做好準備。

經常使用且與 ITGC 互補並有助於稽核的框架包含 COBIT、COSO、ISO、NIST SP 800-34 及 ITIL。

COSO

反虛假財務報告委員會下屬發起人委員會(Committee of Sponsoring Organizations,COSO) 內部控制框架是最普遍採用的內部控制框架。COSO 針對內部風險管理控制措施的設計與實施提供了具體指導。

COSO 控制框架由五大組成要素構成，共有 17 項準則及 87 個支援要點。COSO 的五大關鍵組成要素為：

1. 控制環境
2. 現有控制活動
3. 資訊與溝通
4. 監控活動
5. 風險評估與管理

COBIT

在 IT 稽核社群內，COBIT(Control Objectives for Information and Related Technology) 是最受歡迎的 IT 控制框架範例。COBIT（資訊及相關科技控制目標）為 ISACA（國際電腦稽核協會）所擁有，並專為 IT 治理與管理而設計。

有些專業人士會將 COBIT 稱為指導方針彙總框架。作為內部控制整合框架，該框架交互參照了許多其他熱門的 IT 框架，使其成為了解決 IT 方面企業風險的 IT 安全框架。

IT 治理協會所建立的資訊科技控制目標 (COBIT) 框架，其目的為概述建議的 ITGC 目標與方法。COBIT 背後的基本前提是 IT 流程應該滿足特定的企業需求，藉此簡化營運並保護企業資料。

五個關鍵的 COBIT 準則如下：

• 從頭到尾覆蓋整個組織。
• 區分治理與管理。
• 滿足利害關係人的需求。
• 採取整體的治理方法。
• 使用單一整合框架。

ISO 27001

國際標準化組織 27001 (ISO 27001) 提供了一套原則與程序，旨在減緩與實施、改善、維護、監控及審查資訊安全管理系統相關的法律、實體及技術風險。該標準採用由上而下的方法，並包含六個步驟：

1. 定義安全原則。
2. 資訊安全管理系統的範圍。
3. 執行風險評估。
4. 管理已識別的風險。
5. 選擇要實施的控制措施。
6. 準備適用性聲明。

NIST SP 800-34

NIST SP 800-34 為《資訊科技系統緊急應變計畫指南》，提供了用於建立資訊系統緊急應變計畫 (Information System Contingency Plan,ISCP) 的七步驟流程。

1. 制定緊急應變計畫原則聲明，賦予組織權責並提供強制執行有效緊急應變計畫的指引。
2. 執行營運衝擊分析 (Business Impact Analysis,BIA)，藉此識別並優先處理關鍵資訊系統與組成要素。
3. 識別並定義事故預防與減緩措施，將系統可用性最佳化並將中斷的風險最小化。
4. 詳細說明緊急應變策略，確保系統與流程在中斷後能夠迅速復原。
5. 建立資訊系統復原計畫，詳細說明如何修復損壞的系統或納入替代解決方案來還原功能流程。
6. 測試計畫並提供模擬演練訓練，為事故做好準備並識別任何差距。
7. 持續更新計畫，確保新系統或變更內容皆有涵蓋在內。

ITIL

資訊科技基礎結構庫 (Information Technical Infrastructure Library,ITIL) 是一套框架，能夠為管理 IT 服務生命週期五階段提供指導與最佳實務：

1. 策略
2. 設計
3. 過渡
4. 營運
5. 持續監控與改善

使用 ITGC 框架執行稽核

使用與 IT 一般控制措施稽核互補的框架執行稽核，其適用的六個關鍵步驟如下。

步驟 1：選擇框架
評估各種框架選項，選擇最符合企業目標與法規遵循需求的框架。如現有框架無法完全符合需求，部分組織會從多個框架中挑選特定要素來指導 IT 一般控制措施的內部稽核。

步驟 2：將內部控制措施映射至框架控制措施
在開始稽核前，必須將組織的內部控制措施映射至框架中所提出的預期控制措施。

步驟 3：執行差距分析
比較內部控制措施與框架控制措施，找出任何缺失或不夠完善的地方。

步驟 4：建立並執行計畫，其中包含說明如何處理差距與不夠完善的地方
需要制定並執行修正計畫來彌補未達到框架預期的領域。此過程可與測試階段同時進行。

步驟 5：測試控制效能
當控制措施準備到位後，就必須進行測試來確認這些措施是否有正確整合並如預期般執行。

步驟 6：監控減緩活動
當控制措施實施後，就必須持續監控來確保這些措施滿足目前的需求，並考量可能影響 IT 一般控制措施的變更內容或新增項目。

ITGC 與安全

IT 一般控制措施支援安全計畫的關鍵領域包含下列內容。

內部人員威脅

IT 一般控制措施包含對資料存取及移動的限制，藉此防止惡意或意外的資料外洩。透過監控員工、合作夥伴、供應商、實習生及承包商，就能瞭解並管理常遭利用的安全弱點。

外部威脅

IT 一般控制措施可確保有助於應對外部威脅的保護機制準備到位。這些措施包含消除系統與應用程式中的已知漏洞、將存取限制為所需的最低限度（即最小權限）、防止橫向移動、強制執行強式密碼管理，以及要求所有員工參加安全意識訓練。

風險減緩

IT 一般控制措施可減緩風險的領域包含財務、營運及商譽。IT 一般控制措施附帶的流程與保護機制，已獲證實能降低這些關鍵領域的風險，其方式為確保組織部署及維護正確的系統與解決方案，從而將攻擊面最小化並確保企業持續營運。

IT 一般控制措施帶來的優勢

IT 一般控制措施是一種已獲證實的方式，能夠提升組織的安全態勢並將整體營運最佳化。採用 IT 一般控制措施所能帶來的優勢如下。

提升安全保障

採用 IT 一般控制措施，其中一項主要原因就是為了安全保障。依循 IT 一般控制措施提供的指導方針與框架，能確保正確的解決方案準備到位，藉此防範網路攻擊及其他數位災害。IT 一般控制措施所採用的系統，包含由零信任架構安全(Zero Trust)準則驅動的身分與存取管理 (Identity and Access Management,IAM)、持續監控、靜態與動態資料加密，以及防毒解決方案。

確保企業持續營運

IT 一般控制措施不僅能保護 IT 服務免於漏洞造成的中斷，還能確保迅速復原。IT 一般控制措施指導安全計畫來預防問題，並協助規畫及測試備份與復原系統。

改善風險管理

IT 一般控制措施能夠降低內部及外部來源網路威脅相關風險的數量與嚴重程度。流程與系統準備到位，即可確保端點裝置（例如筆記型電腦、行動裝置及物聯網 (Internet of Things,IoT) 裝置）得到強化、應用程式會定期修補與更新、存取權限受到嚴格管理，同時員工也會接受安全意識訓練，協助他們識別可能的網路攻擊並避免社交工程手段危害。

增強規章遵循

將 IT 一般控制措施與較大型的 IT 框架（例如 COBIT、COSO 及 ISO 27001）結合使用，能確保組織擁有準備到位的正確系統，藉此滿足大多數法規遵循稽核的要求。

ITGC 最佳實務

若團隊尋求其他方法來加強安全態勢並應對不斷演變的威脅，則 IT 一般控制措施就能提供協助。請考慮採用這些最佳實務。

實施並依循安全框架

安全框架（例如 COBIT、COSO 及 ISO 27001）能協助組織將安全計畫及實務與獲得證實的實施及管理方法保持一致。此外，這些框架也能確保適當的 IT 一般控制措施已準備到位來滿足相關要求，讓組織為法規遵循稽核做好準備。

安裝所有修補程式與更新

所有應用程式、系統及網路的更新皆應定期安裝，藉此防範漏洞造成的風險。網路攻擊者知道這些漏洞，並會利用這些漏洞作為入侵點發動攻擊。IT 一般控制措施包含規定，要求定期更新並持續監控應用程式、系統及網路的修補程式與更新。

將 IT 一般控制措施整合至採購流程中

採購新系統、軟體或服務時，應詢問供應商如何處理安全問題，並評估其使用 IT 一般控制措施的程度。

為團隊成員提供安全意識訓練

員工是網路攻擊者最常利用的攻擊向量(Attack Vector)。只要有一名員工犯錯，攻擊者就有辦法存取 IT 系統。

粗心或不知情的員工經常會落入網路攻擊者的圈套，這些攻擊者會巧妙利用各種手段進行攻擊，包含網路釣魚及其他社交工程活動。

訓練員工對網路攻擊者的手段有所警覺，有助於防止犯錯而免於攻擊者取得存取權限。

此外，員工應接受有關 IT 一般控制措施的訓練與測試，確保員工瞭解這些控制措施的設立原因及遵守方式。無論是透過線上網路研討會還是實體課程訓練，安全意識對於阻止網路攻擊者及充分發揮 IT 一般控制措施的效益而言皆極其重要。

有策略地使用 IT 一般控制措施

先暫時後退一步，考量 IT 一般控制措施的最終目標，接著再建立流程來執行達成這些目標的策略。這種做法可確保組織以最佳方式持續地運用 IT 一般控制措施。

使用 IT 一般控制措施防範網路安全威脅並降低風險

IT 一般控制措施提供了保護數位資產及支援系統免受網路安全威脅所需的結構與策略，同時也能促進風險減緩工作。若投入時間瞭解 IT 一般控制措施的細節，將能使其更容易實施與維護。優先考量 IT 一般控制措施的組織，能夠降低風險並改善整體的網路安全保障。

您可能也會感興趣的內容：