资通安全自我检查表.PDFVIP

資通安全自我檢查表 受查單位： 查日期： 年 月 日稽 自我評審 查核員評量 查 核 項 目 不 完整性 不 是 否 適 非 尚 不 適 用 常 屬 盡 用 11 資訊安全政策 □ □ □ □ 1.1管理階層是否瞭解資訊安全目的並予支持？ □ □ □ □ □ □ □ 1.2貴機關之資訊安全政策文件是否由管理階層核准並正式發□ □ □ □ □ □ □ 布且轉知所有員工？ 1.3貴機關是否訂有資訊安全政策的說明文件及資料(如作業□ □ □ □ □ □ □ 程序、資訊安全控管文件、使用者應遵守的安全規則)？ 1.4資訊安全政策文件是否包括資訊安全定義、目標、涵蓋範□ □ □ □ □ □ □ 圍、實施內容、執行組織、權責分工、員工責任、事件通 報程序、處理流程等？ 1.5資訊安全政策文件是否就一般使用人員與專責人員之權責□ □ □ □ □ □ □ 分項說明？ 1.6是否指定專人或專責單位進行資訊安全政策的維護及檢討□ □ □ □ □ □ □ 工作？ 1.7資訊安全政策是否定期評估，並作必要調整？ □ □ □ □ □ □ □ 1.8是否定期對單位人員及資訊設備進行安全評估，以確定其□ □ □ □ □ □ □ 是否遵守機關資訊安全政策及相關規定？ 1.9是否訂有違反資訊安全規定之處理程序？ □ □ □ □ □ □ □ 1.10與外單位簽訂資料存取之契約中是否包含資料保護 、服務□ □ □ □ □ □ □ 水準、智慧財產權、事故發生處理方式等條款？ 1.11委外契約中有關安全需求內容是否包含法律需求(如電腦□ □ □ □ □ □ □ 處理個人資料保護法)、界定雙方有關人員權責、使用何 種實體與邏輯安全控管措施 、對委外廠商稽核權 、得依實 際需要隨時修改安全控管措施及作業程序等？ 2 建立資訊安全組織 □ □ □ □ 2.1是否指定高級主管人員或成立跨部門組織負責推動、協調□ □ □ □ □ □ □ 及監督資訊安全管理事項？ 2.2是否指定專人或專責單位負責規劃、執行與控管資訊安全□ □ □ □ □ □ □ 工作？ 2.3是否指定單位辦理風險評估、安全分級、系統安全控管措□ □ □ □ □ □ □ 施？ 2.4是否訂定規範員工的資訊安全作業程序與權責(含經管使□ □ □ □ □ □ □ 用設備及作業須知)？ 2.5是否訂定各項資訊設備的安全作業程序？ □ □ □ □ □ □ □ 2.6是否訂定有關資訊安全狀況授權處理層級？ □ □ □ □ □ □ □ 2.7是否對資訊計畫內容進行資訊安全政策符合性檢查？ □ □ □ □ □ □ □ 2.8單位內因業務需要開放給外單位(含其他機關、上下游業□ □ □ □ □ □ □ 者 、顧問 、維護廠商 、委外承包商、臨僱人員)使用之資訊， 其存取權限是否嚴加控管？ 2.9單位內開放給外單位作資料存取是否辦理風險評估？ □ □ □ □ □ □ □ 2.10單位內開放給外單位作資料存取是否訂定控管程序？□ □ □