IPO 專審的資安題:委員要的不是沒生過病的人,是一份誠實的健檢報告

by Lin Albert
IPO 專審的資安題:委員要的不是沒生過病的人,是一份誠實的健檢報告

專審前的最後一次輔導會議。券商的承辦把一份問卷推過桌面:「這是照審查實務整理的題目,資安這部分,麻煩公司先準備。」

老闆翻到資安那一頁,眉頭皺起來。特權帳號多久覆核一次?系統變更的核准紀錄調得出來嗎?上一次還原演練是什麼時候?最近三年有沒有資安事件、怎麼處置的?

十題,答得出來的不到一半。老闆壓低聲音問旁邊的 IT 主管:「我們……有被駭過嗎?」

IT 主管想了想:「應該沒有。」

「應該」這兩個字,就是專審資安題的標準錯誤答案。

一、你以為考的是「有沒有被駭過」——那你連題目都看錯了

多數準 IPO 公司對資安題的想像是這樣的:委員問「你們有沒有被駭過」,答「沒有」就過關,答「有」就完蛋。所以整個準備方向變成「證明我們很安全」——設備清單、防火牆規格、資安保險,全部堆上去。

方向錯了。把這篇的定律先立在這裡:

IPO 的資安題不是你有沒有被駭過,是駭了你知不知道、說不說得清楚。

想一層就懂:沒有任何一家公司敢保證「絕對不會被駭」,審查的人也知道。所以「有沒有被駭過」根本不是一個能鑑別好壞的問題——真正能鑑別的是下一句:「你怎麼知道?」

答「沒有被駭過」的公司,如果拿不出監控與日誌的紀錄,那個「沒有」是猜的——你不是沒生病,你是沒做檢查。反過來,答「有過一次事件」但能攤開完整處置軌跡的公司——什麼時候發現、怎麼判斷嚴重性、怎麼通報、怎麼補洞、事後改了哪些控制——在審查眼中,內控成熟度反而高得多。

這跟我們在九大循環講過的是同一件事:制度寫得再漂亮沒用,抽一筆交易,單據兜得回去才算數——軌跡才是真話。資安題只是把同一把尺,量到了資訊系統上。

二、健檢報告的邏輯:審查在怕什麼

用一個比喻把整件事講清楚:專審要的不是一個從沒生過病的人,是一份誠實、完整、有追蹤紀錄的健檢報告。

一家經營了十幾二十年、準備上市的公司,就像一個四十歲的人。四十歲的身體多少有點狀況——血脂偏高、一顆待觀察的結節,正常。審查不會因為你有紅字就把你刷掉;真正怕的是另外兩種人:

  • 從來沒做過健檢的——「我很健康」是感覺,不是數據。對應到資安:沒有監控、沒有日誌、沒有演練,「我們沒被駭過」等於「我沒檢查所以不知道」。
  • 報告是考前一晚補寫的——數據漂亮得不像真的,日期全擠在送件前三個月。對應到資安:制度是顧問剛寫好的、一年份的覆核紀錄是上週一次補簽的。審查看的是「有效運作」,運作要有期間,期間騙不了人。

一份過得了關的健檢報告,三個特質:誠實(檢查真的做了、數據是真的)、完整(該查的項目都在)、有追蹤(紅字有沒有複檢、有沒有改善紀錄)。把這三個詞翻回內控語言,就是資安合規三層人、制度、軌跡——下面的自檢清單照這三層排。

三、這題是怎麼進考卷的

把查得死的說死,查不死的講明白。

依證交所《有價證券上市審查準則》,申請上市的公司須有效執行書面會計制度、內部控制制度與內部稽核制度;審查過程中,會計師出具的內部控制審查意見是審查依循的依據之一(見證交所《審查有價證券上市作業程序》)。同時,承銷商依《股票初次上市之證券承銷商評估報告應行記載事項要點》出具評估報告,評估過程要作成工作底稿、至少保存五年——換句話說,券商問你的每一題,背後都有一張他自己要簽名負責的底稿。他不是在刁難你,他是在幫他自己留軌跡。

而資安為什麼會出現在考卷上?因為金管會 2021 年底把資安寫進了《公開發行公司建立內部控制制度處理準則》第 9 條之 1——上市櫃公司分級設置資安主管與專責人力(金管會新聞稿),一般上市櫃的死線 2023 年底早就過了。你申請上市,申請的就是成為這條規定的適用對象:掛牌那天不是寬限期的起點,所以審查階段被問「你的資安編制、制度與軌跡準備好了沒」,是再自然不過的事。制度面對照的基準,則是證交所與櫃買發布的《上市上櫃公司資通安全管控指引》(指引有修正版本,以資安專區現行版本為準)。

至於專審現場會怎麼問、問到多深——這裡要誠實掛繩:專審與承銷商評估的資安問法沒有公版考古題,個案差異大,依產業(電子業被問供應鏈、電商被問個資)、依系統複雜度、依有沒有出過事而各不相同(截至撰稿,以承銷商與審查實務為準)。以我這些年陪公司走 IPO 輔導的經驗,資安題的比重明顯在增加,而且問法越來越像開場那份問卷——不問設備型號,問紀錄調不調得出來。

四、工具一:專審資安自檢清單

照三層排。用法一句話:右欄任何一題你在會議室裡答不出來,中欄就是你要去生出來的東西——注意,是「讓紀錄長出來」,不是「補寫紀錄」。

專審會要的證據 常見答不出的題
資安主管派令、編制核准紀錄 「資安主管是誰?專職還是兼任?」
兼任時的補償控制設計(稽核介入、或 IT 以外的檢視點) 「變更是他做的、覆核也是他——這樣算控制嗎?」
資安治理對上匯報紀錄(會議紀錄、董事會報告) 「董事會上一次聽取資安報告是什麼時候?」
制度 內控制度裡的資安章節與修訂紀錄 「你們內控制度哪一章管資安?最近一次修訂是何時?」
制度 管控指引逐條對照表+缺口列管清單 「指引哪些條目前做不到?缺口有沒有列管與時程?」
制度 資安事件通報處置程序+演練紀錄 「出事誰判斷嚴重性?程序演練過嗎?有紀錄嗎?」
軌跡 特權帳號清冊(含服務帳號、介接帳號)+定期覆核紀錄 「特權帳號有幾個?上一次覆核是什麼時候?」
軌跡 系統與介接變更的申請—測試—核准軌跡 「隨便抽一筆上線變更,核准紀錄調得出來嗎?」
軌跡 還原演練成功紀錄、日誌留存與時間線重建能力 「你怎麼知道你沒被駭過?」——正確答案是一疊監控紀錄,不是一句「應該沒有」

五、工具二:送件前 12 個月資安整備時間軸

先講一個經驗值:軌跡需要期間,期間沒有捷徑。 審查看內控看的是「有效運作」,不是「制度存在」——上個月才上線的覆核制度只有一次覆核紀錄,說服力跟沒有差不多。下面的時間軸是我依輔導實務整理的節奏(各案送件時程與券商要求不同,以你的承銷團隊為準):

時間 該完成的事 產出的證據
送件前 12–10 個月 對照第 9 條之 1 確認資安編制、指派主管與核定編制 派令、組織圖、核准紀錄
前 10–8 個月 拿管控指引逐條對內控制度、補寫資安章;訂事件通報處置程序 對照表、缺口清單、修訂後制度與通過紀錄
前 8–6 個月 軌跡起跑:特權帳號清冊建立+第一輪覆核;變更管理流程上線 清冊、覆核紀錄、變更單軌跡
前 6–4 個月 還原演練並留紀錄;日誌留存到位、做一次時間線重建測試;內稽把資安納入稽核計畫並執行 演練報告、日誌樣本、稽核報告
前 4–2 個月 內稽缺失改善與追蹤;與承銷商、會計師對焦資安問卷;模擬答詢 改善追蹤表、對焦會議紀錄
前 2–0 個月 證據卷宗化:清單每一題對應一份調得出來的紀錄;資安事件揭露口徑定稿 專審應答卷宗

倒過來讀更有感:如果你的送件時程只剩六個月,而前三行還是空白——你缺的不是文件,是回不去的時間。這種時候與其趕工補寫,不如跟承銷團隊誠實討論時程,因為補寫的紀錄被看破一題,其他九題的可信度一起陪葬。

六、這條軌跡,最後還是回到 ERP

自檢清單「軌跡」那三行,仔細看會發現:特權帳號、變更核准、日誌時間線——大部分證據的產地,就是你的 ERP 和它周邊的系統。這也是為什麼我們一直說,準 IPO 公司的 ERP 議題從來不是功能夠不夠炫,是軌跡留不留得下來(這一題在 ERP 與 IPO 那篇有完整展開)。九大循環的自動控制蓋在 ITGC 上,ITGC 的證據躺在系統裡。

健檢報告不是用寫的,是系統平常就在幫你量的血壓。平常有在量,送件前只是把報告印出來;平常沒在量,送件前才發現連血壓計都沒有。

【給決策者的備忘錄】
如果你翻開券商問卷的資安頁也答不出一半,先別慌——這代表你還有時間把檢查做完,而不是在專審會議室裡被抽考。三件事照順序做:對號入座把人補齊、拿指引把制度補章、讓軌跡開始累積天數。專審的資安題淘汰的從來不是「體檢有紅字的公司」,是「連報告都拿不出來的公司」。

如果你想知道你們公司距離「一份拿得出手的健檢報告」還缺哪幾頁——特權帳號怎麼盤、變更軌跡怎麼留、十二個月的節奏怎麼排——歡迎與我們聯繫。我們不賣體檢儀器,我們陪你把報告一頁一頁做出來。

本文所述審查與評估實務為經驗性歸納,個案適用以主管機關最新法令、證交所/櫃買現行章則及承銷商、簽證會計師意見為準。

延伸閱讀

You may also like

Leave a Comment