资通安全外部稽核自我评审表.doc

表三　　資通安全外部稽核（自我評審）表 受查單位：　　　　　　　　　　　　　　　　　　　　稽查日期：　年　月　日 查　　　核　　　　項　　　　目 自我評審 查核員評量 是 否 不適用 完整性 不 適 用 非 常 尚 屬 不 盡 11 資訊安全政策 1.1管理階層是否瞭解資訊安全目的並予支持？ 1.2貴機關之資訊安全政策文件是否由管理階層核准並正式發布且轉知所有員工？ 1.3貴機關是否訂有資訊安全政策的說明文件及資料(如作業程序、資訊安全控管文件、使用者應遵守的安全規則)？ 1.4資訊安全政策文件是否包括資訊安全定義、目標、涵蓋範圍、實施內容、執行組織、權責分工、員工責任、事件通報程序、處理流程等？ 1.5資訊安全政策文件是否就一般使用人員與專責人員之權責分項說明？ 1.6是否指定專人或專責單位進行資訊安全政策的維護及檢討工作？ 1.7資訊安全政策是否定期評估，並作必要調整？ 1.8是否定期對單位人員及資訊設備進行安全評估，以確定其是否遵守機關資訊安全政策及相關規定？ 1.9是否訂有違反資訊安全規定之處理程序？ 1.10與外單位簽訂資料存取之契約中是否包含資料保護、服務水準、智慧財產權、事故發生處理方式等條款？ 1.11委外契約中有關安全需求內容是否包含法律需求(如電腦處理個人資料保護法)、界定雙方有關人員權責、使用何種實體與邏輯安全控管措施、對委外廠商稽核權、得依實際需要隨時修改安全控管措施及作業程序等？ 2 建立資訊安全組織 2.1是否指定高級主管人員或成立跨部門組織負責推動、協調及監督資訊安全管理事項？ 2.2是否指定專人或專責單位負責規劃、執行與控管資訊安全工作？ 2.3是否指定單位辦理風險評估、安全分級、系統安全控管措施？ 2.4是否訂定規範員工的資訊安全作業程序與權責(含經管使用設備及作業須知)？ 2.5是否訂定各項資訊設備的安全作業程序？ 2.6是否訂定有關資訊安全狀況授權處理層級？ 2.7是否對資訊計畫內容進行資訊安全政策符合性檢查？ 2.8單位內因業務需要開放給外單位(含其他機關、上下游業者、顧問、維護廠商、委外承包商、臨僱人員)使用之資訊，其存取權限是否嚴加控管？ 2.9單位內開放給外單位作資料存取是否辦理風險評估？ 2.10單位內開放給外單位作資料存取是否訂定控管程序？ 2.11單位內開放給外單位作資料存取於契約中是否訂定雙方權利義務及違約處分方式？ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ 表三　　資通安全外部稽核（自我評審）表 受查單位：　　　　　　　　　　　　　　　　　　　　稽查日期：　年　月　日 查　　　核　　　　項　　　　目 自我評審 查核員評量 是 否 不適用 完整性 不 適 用 非 常 尚 屬 不 盡 3 人員安全與管理 3.1對人員之進用及調派，是否作適當之安全評估？ 3.2對於可存取機密性、敏感性資訊或系統之員工以及配賦系統存取特別權限之員工是否有妥適分工，分散權責？ 3.3對於可存取機密性、敏感性資訊或系統之員工以及配賦系統存取特別權限之員工是否實施人員輪調？ 3.4對於可存取機密性、敏感性資訊或系統之員工以及配賦系統存取特別權限之員工是否有建立人力備援制度？ 3.5針對人員之調動、離職或退休，是否立即取消其各項識別碼、通行碼？ 3.6是否對員工品德、行為、家庭狀況等加以考核？ 3.7員工是否瞭解單位之資訊安全政策？ 3.8是否依員工職務層級進行適當的資訊安全講習？ 3.9是否隨時公告資訊安全相關訊息？ 3.10下班後員工是否將經辦之機密性或敏感性資料，妥善收藏？ 3.11是否對員工的私人資訊設備作必要之安全控管程序？ 3.12單位是否派員參與外界舉辦相關訓練、研討會、產品展示會？ 4 資產分類與控管 4.1重要的資產(含資訊、軟體、實體)是否均指定專人負責？ 4.2是否建置資產清冊且隨時更新？ 4.3資訊是否分級(區分機密性、敏感性及一般性)？是否建立資訊安全等級之分類標準？ 4.4是否配合資訊分級，建立一套符合需要的資訊保