资通安全外部稽核（自我评审）表.doc

表三　　資通安全外部稽核（自我評審）表 受查單位：　　　　　　　　　　　　　　　　　　　　稽查日期：　年　月　日 查　　　核　　　　項　　　　目 自我評審 查核員評量 是 否 不適用 完整性 不 適 用 非 常 尚 屬 不 盡 11 資訊安全政策 1.1管理階層是否瞭解資訊安全目的並予支持？ 1.2貴機關之資訊安全政策文件是否由管理階層核准並正式發布且轉知所有員工？ 1.3貴機關是否訂有資訊安全政策的說明文件及資料(如作業程序、資訊安全控管文件、使用者應遵守的安全規則)？ 1.4資訊安全政策文件是否包括資訊安全定義、目標、涵蓋範圍、實施內容、執行組織、權責分工、員工責任、事件通報程序、處理流程等？ 1.5資訊安全政策文件是否就一般使用人員與專責人員之權責分項說明？ 1.6是否指定專人或專責單位進行資訊安全政策的維護及檢討工作？ 1.7資訊安全政策是否定期評估，並作必要調整？ 1.8是否定期對單位人員及資訊設備進行安全評估，以確定其是否遵守機關資訊安全政策及相關規定？ 1.9是否訂有違反資訊安全規定之處理程序？ 1.10與外單位簽訂資料存取之契約中是否包含資料保護、服務水準、智慧財產權、事故發生處理方式等條款？ 1.11委外契約中有關安全需求內容是否包含法律需求(如電腦處理個人資料保護法)、界定雙方有關人員權責、使用何種實體與邏輯安全控管措施、對委外廠商稽核權、