正確的資訊安全管理.docxVIP

資訊安全健檢流程包括了三個部分：安全檢查、弱點評估、健檢報告。正確的資訊安全管理資訊安全管理已是企業經營上重要的一個環節，因資訊安全而外洩重要資料而造成損失已是目前企業首要面對的重要議題，但是我們該怎麼做呢? 以下用一個資訊安全概念的圖表來做說明：資訊安全面對威脅從發現弱點到安全防護，這過程中都會經歷「發現風險」與「風險解決」，而如何發現風險過程中做好把關，就顯得重要。資訊外洩風險衝擊度自我檢查表組織資訊安全管理:1是否聽過個人資料保護法?是 □ 否2單位是否取得ISO 27001 認證?是 □ 否如是，通過認證的範圍為：3是否將資料蒐集及資料處理委外廠商作業?是 □ 否如是，請提供委外之內容詳細資料：4是否曾經就資料保護事宜接受資料保護之主管機關或其他管理者調查或稽核?是 □ 否5是否收集含有消費者個人資料，作業營運作用?6是否針對單位內部已執行個資盤點作業?是 □ 否7是否制訂全公司適用之資訊安全政策並公告周知(含員工、委外廠商、上下游合作廠商)?是 □ 否8是否訂有資訊安全內部稽核計畫(含稽核目標、範圍、時間、程序、人員)，並定期辨理資訊安全內部稽核?是 □ 否9是否指派適當權責之管理階層或成立跨部門單位負責推動、協調及監督資訊安全管理事項?是 □ 否10是否鑑別所有資產可能遭遇之威脅?是 □ 否11是否依據資訊資產對公司的價值、法律要求、敏感性及重要性等項目加以分類?是 □ 否12是否要求所有外包廠商遵守並保護資料之條款?是 □ 否13是否使用防火牆以避免從外部網路及電腦系統連線至內部網路進行未經授權之存取連線?是 □ 否14是否要求遠端使用者於連線至內部網路或電腦系統前經過認證許可?是 □ 否15是否於使用者及重要伺服器主機使用防毒保護及程序?是 □ 否16是否訂定客戶個人資料保護之程序與政策是 □ 否17是否有為了維護資訊安全事宜對其網路及電腦系統實施監控?是 □ 否18是否建置識別並偵測網路安全弱點之程序是 □ 否19是否針對單位內部執行資訊安全總體檢作業?是 □ 否20單位對所有下列物件是否具備並推持備份及回復程序:(一)具特定任務之重要伺服器?是 □ 否(二)資料及資訊資產?是 □ 否「資訊安全檢測服務」申請書申請日期：民國 年 月 日廠商基本資料公司中文全名負責人姓名核准設立日期民國　　　年　　　月　　　日統一編號公司登記地址□□□公司聯絡地址□同上□□□公司聯絡電話（　　）　　　　　　　－公司聯絡人姓名職稱電話（　　）　　　　　　　－ 分機傳真（　　）　　　　　　　－ 行動電話E-mail公司規模總員工數□10人以下□101-200人□11-50人□200人以上 □51-100人 資訊部門人數□10人以下□50-100人□11-30人 □101人以上□31-50人□無設立資訊部門類別□政府單位□金融業□保險業□電信業□傳播媒體□文教業□網路服務業□零售業□倉儲業□房仲業□人力派遺□休閒娱樂□製造業□批發業□營建業□電話行銷□資料處理□客服中心□其他任何持有個人資料商業機關團體□運輸業□醫療事業□航空業□美容美體網站基本資料網站名稱網站網址http://網站營運現況會員總數 筆月平均交易數 筆免費資訊安全檢測說明：申請資訊安全檢測之廠商，可取得以下其中一項目之免費服務。網站安全檢測服務說明：遠端Web資訊安全掃瞄檢測，測後提供中文化電子檢測報表。□檢測網址同上□其他檢測網址：http://資訊安全健檢服務說明：透過資安自評表「健康檢查」目前單位針對個資的防護及處理能力，檢測後透過顧問協助公司面對個資法。□個資自評表申請單位蓋章或簽名