您知道怎麼做才能完成IPO的資訊或資安稽核嗎?當IT人聽到IPO一詞,腦海裡可能會浮現Input、Process、Output三個字?然而對發展中企業來說,IPO是一項非常重要的目標與挑戰,畢竟首次公開募股即是正式登上公開資本市場,可獲得市場投資人的支持並募集更充裕的資金,也能像當年的亞洲藏壽司(2754)一樣,上櫃消息一出便為自家公司創造一大波聲量。
相較於一般私人企業,上市上櫃公司將受到政府與投資人的嚴格監督,並承擔更多的社會責任,一言一行皆由大眾檢視,故預計IPO的企業也可藉由合規的機會進行大改造,以利數位轉型與強化企業韌性。
資安好重要?企業在IPO前需要了解的資訊稽核
想要一帆風順地達成IPO的目標絕非一蹴可幾,企業需先花上至少半年的籌備期以通過興櫃審核,登錄為興櫃企業後還要經過政府規定之六個月以上的興櫃掛牌期,方有資格成為上市櫃的一員,而審查內容將包含前一年或是更早之前的相關歷史資料,若無提前兩年做好準備,恐在最後關頭被缺漏的資料搞得人仰馬翻。
在此整理了有關資訊領域的查核項目,多數為管理措施與制度的訂立及檢討,提供企業於IPO資訊稽核前逐一對照,預先完備相關事宜。
組織面
- 公司及資訊部門組織架構圖
- 資訊部門管理辦法
- 資訊部門年度計劃與編列預算
- 資訊部門工作執掌規範
- 核心系統運維之主責人員
管理面
- 內稽內控相關辦法
- 到職、在職及離職管理流程
- 一般與特權帳號管理流程
(延伸閱讀:3W管理法是什麼?一起杜絕駭客共享特權帳號) - 重訊發布核定流程與主責人員
- 資訊委外合約規範
- 系統相關文件
- 程式開發增修管理流程
- 程式更版上線管理流程
- 資料修改管理流程與修改歷程
- 系統變更權限申請流程
資產面
- 網路拓樸圖
- 軟硬體設備採購流程
(延伸閱讀:資訊採購大變動!瞧瞧您的資安符合標準嗎?) - 資訊資產管理、維護流程
- 資訊資產維護合約
- 電腦系統維護紀錄
- 電腦機房管制辦法
- 穩壓或不斷電機房設備
資安面
- 資通安全政策
(延伸閱讀:如何強化資安策略?勤業眾信:保有隨時應變的資安韌性) - 資安專責人員
- 資安防護控制措施
- 系統異常事件日誌
- 備份、備援機制
(延伸閱讀:被忽視的非惡意威脅:做好資料備份不怕天降水難) - 緊急應變計劃
- 災害復原演練
- 定期資安宣導課程
- 定期人員專業課程訓練
(延伸閱讀:資安教育訓練課程:改變使用者行為建立正確資安觀念)
不做會落漆?資安不該只是應付資訊稽核的道具
「資安」在IPO的審查當中扮演了相當重要的角色,不光是為了防堵越發洶湧的駭客組織與惡意攻擊,其中資產管理、程式更新、人員到離職等看似與資安沒有直接關係的流程,皆以「營運不中斷」的前提,守衛社會大眾及投資人權益。
因此,縱然準備IPO的歷程又長又艱辛,企業面對資訊稽核的結果也絕對不可馬虎,需顧全大局考量最佳的措施與解決方案,覆核並運用到實際情境中,方可負起相對應的企業責任,甚至可以直接參考ISO27001的規範,讓企業資安盡可能到位,以利規避風險,達成永續經營之願景。(延伸閱讀:ISO 27001 資安認證顧問服務:從輔導到取得認證,一次解決您所需要的準備)
資訊稽核很難嗎?千萬別靠想像去忖度IPO審查的嚴謹與否,若突然遭受稽核未通過或審查卡關的情況,除了補件費時、拖延審查進度外,更可能影響公司整體的運營計劃。
IPO興許是企業擴大發展的小小一步,卻也是對社會、對投資人許下或達成承諾的大大一步,再次建議有IPO念頭的企業,可先制定相關管理流程、辦法,平時便穩紮穩打地累積資料文件,直到真正面臨審查時即可過五關斬六將,從容踏入公開資本市場。
