電信事業資訊安全管理要點.docVIP

附件五： 資訊安全管理內部稽核表 公司名稱 單位名稱 單位主管 評估日期： 評估人員 評估日期： 聯絡窗口 電話： 傳真： Email： 備註：內部稽核表之查核項目如有未建立或未落實等情況，請答「否」，並填寫「資訊安全管理矯正／預防措施一覽表」（附件八）及「資訊安全管理矯正／預防措施單」(附件九)，便於後續加強管理。 資訊安全管理內部稽核表(1) 頁次： 1/16 檢 查 項 目 是 否 不適用 1. 資訊安全政策訂定 是否訂有資訊安全政策？ □ □ □ 資訊安全政策文件是否由管理階層核准，並正式發布且轉知所有員工？ □ □ □ 是否訂有資訊安全政策的說明文件及資料(如作業程序、資訊安全控管文件、使用者應遵守的安全規則)？ □ □ □ 資訊安全政策文件是否包括資訊安全定義、目標、涵蓋範圍、實施內容、執行組織、權責分工、員工責任、事件通報程序、處理流程等？ □ □ □ 資訊安全政策文件是否就一般使用人員與專責人員之權責分項說明？ □ □ □ 是否指定專人或專責部門進行資訊安全政策的維護及檢討？ □ □ □ 是否定期或有重大變更時對資訊安全管理系統政策、目標之適切性及有效性，定期作必要之審查及調整？ □ □ □ 資訊安全政策是否由管理階層每年至少審查一次？ □ □ □ 是否定期對單位人員及資訊設備進