资讯安全管理制度内部稽核表.pdfVIP

資訊安全管理制度內部稽核表 文件編號 D-039 機密等級 限閱 版本 1.0 紀錄編號： 填表日期： 年 月 日 評分標準說明： A ：相關資訊安全管理制度規範已建立，且落實執行 B ：相關資訊安全管理制度規範未建立，但已實施替代性資安控管措施 C ：相關資訊安全管理制度規範已建立，但未落實執行 D ：相關資訊安全管理制度規範未建立，且未實施替代性資安控管措施 E ：不適用 稽核項目 –規範本文 條款 稽核評分 依據條文 稽核發現與說明 章節   A B C D E 陸、 關於適用性聲明 (Statement of Applicability)   本標準之設計為適用於教育體系與相關單位，但鑑於類型、規 □ □ □ □ □   模、資源、業務性質等因素，若本標準列出之任何條款無法適用 於某單位時，可考慮予以排除，但必須在不影響該單位提供資訊 安全能力與責任之情況下，並提出理由。在建置完該單位之 ISMS 後，必須提出符合的適用性聲明，其中應包含選擇之控制目標與 控制措施項目與理由，以及排除條款之內容、理由，作為稽核時 的依據。 1 資訊安全管理制度內部稽核表 文件編號 D-039 機密等級 限閱 版本 1.0 條款 稽核評分 依據條文 稽核發現與說明 章節   A B C D E 捌、 關於資訊安全管理系統 (ISMS)建置步驟   捌、三 ISMS 之建立：依據該單位之類型、規模、資源、業務性質等特 □ □ □ □ □ 性，定義 ISMS 之範圍；考慮相關法律、法規，以及合約之要求， 於適度評估風險及應對措施後，訂出經由管理階層核准之 ISMS 政策，並擬定一份適用性聲明書文件。 捌、四   ISMS 之實施與操作：施行單位應確實實施控制措施，以符合控 □ □ □ □ □ 管的目標，並執行訓練與認知計畫，確保偵測安全事件的能力， 以及迅速回應和應對處理的時效。 捌、五   ISMS 之監控及審查：施行單位應針對 ISMS 進行監控程序與其 □ □ □ □ □ 他控制措施，即時鑑別資安事件的發生、處理順序與解決方法； 定期審查 ISMS 之有效性（建議一學年至少一次），並將相關有 顯著影響之活動與事件記錄下來。 捌、六   ISMS 之維持及改進：施行單位應定期實行改進活動，採取適當 □ □ □ □ □   的矯正與預防措施，並得到管理階層之同意，並確保各項措施達 到預期目標。 玖、  關於資訊安全管理系統 (ISMS)建置需求   玖、七  文件要求：關於