稽核工作底稿.docVIP

稽核工作底稿 稽核範圍： 稽核執行期間： 年 月 日~ 年 月 日 出具稽核報告： 年 月 日 章節 敘述 符合度 說明與結果 非常 尚屬 不盡 不適用 4 資訊安全管理系統 4.1 通則 　 　 　 　 　 　 4.1.1 組織應建立、維持並持續改善一個文件化的資訊安全管理系統，該文件化的資訊安全管理系統應涵蓋組織整體之作業及風險。 4.2 建立及管理資訊安全管理系統目標 　 　 　 　 　 4.2.1 建立資訊安全管理系統 　 組織應執行下列作業： 　 a) 依照組織的業務特性、位置、資產及技術來定義資訊安全管理系統的範圍與範圍之界線； 　 b) 依照組織的業務特性、位置、資產及技術來制定資訊安全政策； 　 1)包含建立一套有明確目標、總體指導原則與行動規範的資訊安全架構 　 2)需考量業務需求、法律規範與組織相關合約中之條款 　 3)需符合風險管理相關結果 　 4)需建立風險評估之標準 　 5)需由管理階層核准 　 c) 制訂組織之風險評鑑程序； 　 1)需辨識出適合資訊安全管理制度之風險管理方法與業務資訊安全、法律與相關標準之要求 　 2)發展組織辨識可接受風險之標準並辨識出組織可接受風險值 　 d) 辨識風險； 　 1)辨識範圍內之資訊資產與其權責單位/人員 　 2)辨識資訊資產所面臨之威脅 　 3)辨識資訊資產可能為威脅所利用之弱點 　 4)從機密性、完整性與可用性辨別出失去資訊資產之衝擊 　 e)分析與評估風險 　 　 　 　 　 　 1)從機密性、完整性與可用性考量資訊資產損失對組織之衝擊 　 　 　 　 　 　 2)評估安全事件中影響之資訊資產之威脅、弱點、衝擊與現有控制 　 　 　 　 　 　 3)建立風險等級 　 　 　 　 　 　 4)決定是否直接接受風險分析結果或需建立風險評估標準 　 　 　 　 　 　 f)風險控管 　 　 　 　 　 　 1)適當的控制措施，以降低風險 　 　 　 　 　 　 2)謹慎、客觀的接受風險，並使其符合組織政策與風險評鑑標準 　 　 　 　 　 　 3)規避風險 　 　 　 　 　 　 4)轉嫁風險，如：保險等 　 　 　 　 　 　 g)實施風險控管措施；控制目標與控制措施應符合風險評估與風險改善程序，並應考量可接受風險值、法律、相關標準之要求 　 　 　 　 　 　 h)需由管理階層確認殘餘風險 　 　 　 　 　 　 i)由管理階層授權實施ISMS 　 　 　 　 　 　 j)適用性聲明 　 　 　 　 　 　 1)說明控制目標、控制措施與其原由 　 　 　 　 　 　 2)控制目標與現行控制措施 　 　 　 　 　 　 3)排除於本文與附錄條文之項目 　 　 　 　 　 4.2.2 建置及運作ISMS 　 　 　 　 　 　 組織應執行下列作業： 　 a) 擬定風險改善計畫；風險改善計畫應制訂適當之管理措施、責任及管理資訊安全風險之優先順序。 　 b) 執行風險改善計畫以達成制訂之控制目標； 　 c) 建立組織選擇之控制以符合控制目標； 　 d)訂定評估選擇控制點有效性之指標並說明如何產生結果之程序 　 e) 進行教育訓練及認知推廣活動； (See 5.2.2 Training, Awareness and Competency) add item D 　 f) 管理作業； 　 g) 管理資源； (See 5.2 - Resource Management); 　 h) 建立安全事件回應程序及其他相關控制。 4.2.3 監督及檢視ISMS 　 　 　 　 　 　 組織應執行下列作業： 　 a) 執行監控程序及其他控制以： 　 1)當作業發生錯誤時，主動偵測出作業錯誤； 　 2)主動辨識失敗及成功的安全漏洞及事件； 　 3)使管理階層有判斷指定專人負責或由資訊技術執行之安全活動是否如預期般確實執行； add item AC 　 4)執行監控安全事件並藉由指標量測來預防事件再次發生； 　 5)辨別修補安全漏洞的措施是否有效。 　 b) 進行ISM