最近工作上經常遇到一個情況:大部分客戶不太喜歡資安稽核,因為會總覺得稽核就是來找麻煩、增加工作量。 不過,如果換個角度想,稽核其實有很多面向:除了檢查問題、增加負擔之外,也可以透過稽核活動,推動政策落實與流程改進。當然,稽核有好有壞,主要看執行方式與目的。 接下來就淺談 第一方稽核、第二方稽核及第三方稽核 的差別。 稽核比較表 稽核類型 誰來稽核 稽核對象 主要目的 特點 第一方稽核 公司內部人員 自己的組織 自我檢視,確認內部流程是否符合規範 內部自我檢查,重點是持續改進 第二方稽核 客戶或合作夥伴 供應商或合作單位 檢視合作方是否符合規範,提出改善建議 具有利害關係,可邀請外部專業協助 第三方稽核 獨立驗證機構(如 SGS、BSI) 申請認證的公司 確認公司符合標準規範,取得正式認證 公正獨立,結果具公信力,無利益關聯 第一方稽核 定義 :公司內部人員稽核自己組織,用來自我檢視是否符合既定規範,並進行改善。 特點 :重點是 自我檢討與持續改進 。 第二方稽核 定義 :客戶或合作夥伴對供應商進行稽核,檢視是否符合相關規範,並提出改善建議。 特點 :稽核者對被稽核者有一定利害關係,可以邀請外部專業團隊協助執行。 第三方稽核 定義 :由完全獨立、具有公信力的驗證機構執行稽核,檢查公司是否符合標準規範,例如 ISO 27001。 特點 :第三方沒有與公司直接利害關係,稽核結果對外具公信力,是正式認證的依據。 雖然三方稽核概念差異不大,但實務執行感受不同。 對於第一方、第二方稽核 :有時會讓人困惑或猶豫,甚至覺得麻煩,但其實是改善流程、落實政策的好機會。 第三方稽核 :過程單純,結果依標準而定,不帶人情與內部利益考量。 最後,分享這篇筆記給大家,如果你對第一方、第二方、第三方稽核有不同看法或經驗,歡迎留言討論!