電腦稽核/Journal of Information Communication and Technology Auditing
中華民國電腦稽核協會,正常發行
選擇卷期
- 期刊
在標準化之過程中,每一分標準的頒布是因或是果,是一個標準化趨勢之契機或是成績,標準化之過程是瞭解標準的「為何」暨「如何」等探索時代脤動之綱目,「標準」從長遠的角度來看,是標準化過程中之里程碑。 隨著個人資料保護法在2010年5月26日之公布,個人資料保護的資訊安全管理議題已成為眾所矚目之焦點;根基於此,本文以國際標準組織(International Organization for Standardization,簡稱ISO)已頒布與進行中的資訊安全管理系統(Information Security Management System,簡稱ISMS)之標準及標準化的工作項目為核心,探討並提出合規於個人資料保護之ISMS標準化以及擴增控制措施實作的方法。
- 期刊
近年來,由於資訊技術及資訊處理環境不斷的變化,除了應用資訊技術提升業務執行的效率,資訊安全的議題也逐漸成為組織關注的焦點,為了因應組織對於資訊安全的需求,學者們提出許多風險評鑑方法,不單單以技術角度審視資安風險,而是透過全方位的視角考量組織可能面臨到的資訊安全疑慮。這些評估方法的目標為分析組織內可能會遭遇的資訊安全風險,並利用風險評鑑的結果了解哪些資產與風險需要優先進行處理,藉以降低潛在威脅發生的機率及可能造成的衝擊程度。本研究將詳細介紹五種風險評鑑方法:CORAS、OCTAVE、IS risk analysis based on a business model、ISRAM及ISO 27005,其中某些方法需要軟體套件或系統的支援,以提升風險分析過程的效率,最後將針對這些風險評鑑方法進行比較,透過比較的結果,當組織欲導入風險評鑑時,可視實際運作情形選擇適當的評鑑方法,以降低不必要的成本支出。
- 期刊
多數企業已採用複雜的資訊系統用以協助企業流程活動,對於稽核工作帶來重大的影響,導致企業採用電腦輔助稽核技術查核及監控內部控制有效性的需求大為增加。然而,為了有效運用電腦輔助稽核技術,目前仍然缺乏適用於電腦輔助稽核程序的塑模工具。故本研究目的為:以風險管理與稽核觀點,修訂原UML圖形以成為適合於稽核程序的塑模工具。 本研究採用三種UML圖形來輔助電腦稽核分析與設計程序。其中順序圖的時間順序概念適用於表達企業流程的次序,本研究並以註解方式表達控制點。另外,本研究設計之稽核類別圖可用於描述稽核過程中重要表單及欄位之間的關聯性,而稽核活動圖則可用以表達稽核邏輯與分析稽核程序,使其更為簡潔且易於瞭解。 最後,本研究透過問卷調查,分析確認專業人員(如資訊、審計或電腦稽核人員)對於本研究稽核分析圖形之易於瞭解性、易用性及使用效益上的認知。分析結果顯示,本研究稽核分析圖形對於電腦稽核程序的分析與維護具有正向的使用效益。
- 期刊
隨著數位化時代的來臨,資訊科技在組織中扮演不可或缺的角色。由於企業對資訊科技倚賴程度的提高,相對地資訊安全管理議題也愈受重視。早期資訊安全威脅多來自如駭客或網站攻擊等外部因素,但近年來,不僅外部攻擊數量未見減少,內部威脅亦不斷增加。資訊安全治理的推動,可降低組織資訊安全風險,強化資訊防衛能力。而資訊安全管理系統運作模式,首重風險評鑑,但實務上在進行風險評鑑時,常受限於稽核員的主觀判斷或缺乏較客觀的評量模式。因此,本文透過文獻探討與專家問卷篩選出教育體系資訊安全稽核表,藉由調查各大專院校資安負責人對本稽核表項目的看法後得到稽核表各項目重要程度之標準值(高、中、低),接著以此稽核表為基礎發展出引用NIST SP800-30、ISO/IEC TR 13335-3風險評量方法之兩階段資訊安全風險評鑑機制,以通用稽核工具Excel將此風險評鑑機制實作成「資訊安全稽核風險試算表」。本文旨在提出一適用於教育體系資訊安全內部稽核之風險評鑑參考模式。
- 期刊
組織想要發揮效能、創造價值以達組織之願景及使命,重要的關鍵在於其策略的關聯與落實程度,而績效考核即為協助組織用以檢視其成效的工具。唯對許多推行績效考核的組織而言,由於未充份瞭解想要從績效考核中獲得什麼訊息、達到什麼目的,致考核過程中,或因考核的標準不盡合理、指標不夠健全,反使績效考核未達其原始用意,甚或流於形式。 經探討個案會計師事務所現有績效考核表之問題,分析其主要問題如下:(1)績效衡量指標缺乏較客觀之評分依據,致過多主觀評量,使評分方式難以一致;(2)指標與組織策略目標整合度不足,部分指標甚與策略無關;(3)部分衡量指標不符層級所需,致績效結果參考有限,或不足反應現況。(4)用以鼓勵學習與成長的部分,因缺乏明顯策動效果,致淪為加分工具;(5)無法充分利用既有資料,發揮資訊效果。 為改善個案會計師事務所現有績效考核表之問題,本研究以平衡計分卡為架構,重新檢視個案會計師事務所之現況與需求,找出支撐其策略議題所需配合之策略目標及行動,以重新規劃績效考核表,進步整合零散資訊,以提供組織最大效益。 本研究進一步規劃出更具操作性、鑑別性與完整性之績效考核表,以作為組織未來衡量之依據。並獲得以下成效:(1)重新檢視對組織而言最迫切需要改善之問題;(2)指標項目係依組織策略目標發展而成,並用以衡量目標內容,使指標與策略目標有更緊密之結合;(3)藉由從上到下的目標推展,使「指標-單位-人員」間的關聯更加密切;(4)各指標項目的評量均加入較明確之衡量標準或依據,使評分方式更具一致性及參考性。(5)強化資訊的時效性與利用率,以提供組織初期決策支援的基本運作概念。
- 期刊
組織對資訊科技的依賴及程度是與日俱增,建構一個有系統且全面的資訊安全管理機制,已成為企業與政府首要任務。本研究參考創新擴散理論發展出組織採行與應用資訊安全管理系統認證之關鍵因素模式,使用「組織特性」、「環境特性」、「資訊安全管理系統特性」等三個構面來探討影響組織採行與應用資訊安全管理系統認證之關鍵因素,利用問卷調查法,主要針對已通過和依規定必須通過資訊安全管理系統認證的政府組織以及各大企業為調查對象。研究結果顯示,「高階主管支持」、「產業競爭強度」、「教育訓練」、「相對優勢」、「相容性」和「成本」等六個因素會影響組織採行資訊安全管理系統認證;目前取得認證通過的組織陸續增加中,本研究結果可提供各產業組織未來導入資訊安全管理系統認證時之參考。
- 期刊
本研究透過回顧歷來重要之遠距醫療與遠距照護的文獻,簡述其演進過程。並針對效能評估的議題,進行深入的探討,歸納整理評估或測量的面向,界定為三大面向與八個指標,分別為技術面:包括系統品質,社會心理面:體制信任與隱私風險,管理面:服務品質、成本效益、滿意程度、使用意向、健康影響等。本研究之研究對象係以台灣中部曾經使用遠距照護系統的某鄉村社區居民為調查樣本,以訪員面訪方式進行調查,共獲得210份有效問卷。本研究發展之本土中文化多面向評估量表,預試問卷原為29題,經過相關之心理計量考驗之後,刪除3題,最後版本共計26題項。量表經過探索性因素分析與驗證性因素分析後,確定為八個因素,符合原預期之八個指標,並可解釋77.870%的解釋量。本量表證實具有良好信度與效度,確立了量表之適切性與可行性,可作為未來進一步研究之基礎。期望藉由本文之探討,激發學術理論與臨床實務的深入之探究與洞見,共同型塑與創造在地「安全、安心、安老」的照護網絡之美好願景。
- 期刊
當今資訊系統普及環境下,稽核人員為執行稽核任務,多須使用電腦與接觸資訊,衍生兼涉稽核與電腦、資訊相關之倫理議題。現行雖已有稽核人員之相關職業道德規範,亦有電腦及資訊之倫理守則,惟尚無完整涵蓋稽核與資訊專業特性之整合性電腦稽核專業倫理規範,可供遵循。 職是之故,本研究以「中華民國電腦稽核協會」草擬之「電腦稽核人員專業倫理規範」版本為基礎,採德爾菲研究法,進一步收集外部專家意見,發展「電腦稽核專業倫理規範」。本研究共進行二回合專家意見收集,所得回饋意見之結果分析,顯示已獲得專家共識,達到收斂效果。 本文主要記錄前述規範發展過程,本研究也是學界應用知識管理於解決實務問題之案例。本研究發展之規範,可供從業人員執行電腦稽核工作時之自律依據,亦可供後續研究專業倫理規範之參考。本文最後並提出後續研究之建議與本規範在實務管理之意涵。
- 期刊
本文對鑑識會計之定義、服務內涵、國外相關證照及學校課程等作一簡介,希望能促進電腦稽核界,對此一領域的了解與重視,進一步於提出兩點建議,一、應加強有關鑑識會計偵辦技巧,二、應加入鑑 會計實務專業人才組織與取得專業認證,或可對於日後政府與學界發展方向有所助益。