案件代码： 资讯安全管理系统验证机构 见证评鉴查检表 受评机构稽核 .doc

案件代碼： 資訊安全管理系統驗證機構 見證評鑑查檢表 受評機構稽核小組人員姓名： 受評機構人員於稽核小組中擔任之角色： □稽核員執行稽核作業標準為ISO/IEC 27001：2013年版 條文要求 稽核員查核情形 4. 組織全景 4.1 瞭解組織及其全景 組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部 及外部議題。 備考：決定此等議題，係指建立於CNS 31000[5]5.3中所考量之組織內部及外部全景。 4.2 瞭解關注方之需要及期望 組織應決定下列事項。 (a)與資訊安全管理系統有關之關注各方。 (b)此等關注方對資訊安全之要求事項。 備考：關注方之要求事項可能包括法律及法規要求，以及契約義務。 4.3 決定資訊安全管理系統之範圍 組織應決定資訊安全管理系統之邊界及適用性，以建立其範圍。 於決定範圍時，組織應考量下列事項。 (a)4.1中所提及之內部及外部議題。 (b)4.2中所提及之要求事項。 (c)組織履行之活動與其他組織履行之活動間的介面及相依性。 範圍應以文件化資訊提供。 4.4 資訊安全管理系統 組織應依本標準之要求事項，建立、實作、維持及持續改善資訊安全管理系統。 5.領導作為 5.1 領導及承諾 最高管理階層應藉由下列事項，展現對資訊安全管理系統之領導及承諾。 (a)確保已建立資訊安全政策及資訊安全目標，並與組織之策略方向相容。 (b)確保資訊安全管理系統要求事項整合入組織之各項過程。 (c)確保資訊安全管理系統所需之資源可取得。 (d)傳達有效之資訊安全管理的重要性，以及符合資訊安全管理系統要求事項之重要性。 (e)確保資訊安全管理系統達成其預期成果。 (f)指導及支援人員，以促進資訊安全管理系統之有效性。 (g)宣導持續改善。 (h)當適用其他相關管理角色之責任範圍時，加以支持以展現其領導權。 5.2 政策 最高管理階層應建立包含下列事項之資訊安全政策。 適合於組織之目的。 包括資訊安全目標(參照6.2) 或提供設定資訊安全目標使用之框架。 包括對滿足相關於資訊安全之適用要求事項的承諾。 包括對持續改善資訊安全管理系統之承諾。 資訊安全政策應符合下列項目。 以文件化資訊提供。 於組織內傳達。 適用時，提供給關注方。 5.3 組織角色、責任及權限 最高管理階層應確保資訊安全相關角色之責任及權限已指派並傳達。最高管理階層應指派下列責任及權限。 (a) 確保資訊安全管理系統符合本標準之要求事項。 (b) 向最高管理階層報告資訊安全管理系統之績效。 備考：最高管理階層亦可指派報告組織內資訊安全管理系統績效之責任及權限。 6. 規劃 6.1 因應風險及機會之行動 6.1.1 一般要求 於規劃資訊安全管理系統時，組織應考量 4.1 所提及之議題及 4.2 所提及之要求事項，並決定需因應之風險及機會，以達成下列事項。 (a)確保資訊安全管理系統達成其預期成果。 (b)預防或減少非所欲之影響。 (c)達成持續改善。 組織應規劃下列事項。 (d)因應此等風險及機會之行動。 (e)執行下列事項之方法。 (1)將各項行動整合及實作於其資訊安全管理系統過程之中。 (2)評估此等行動之有效性。 6.1.2 資訊安全風險評鑑 組織應定義及應用資訊安全風險評鑑過程於下列事項中。 (a)建立及維持包括下列準則之資訊安全風險準則。 (1)風險接受準則。 (2)履行資訊安全風險評鑑之準則。 (b)確保重複之資訊安全風險評鑑產生一致、有效及適於比較之結果。 (c)識別資訊安全風險。 (1)應用資訊安全風險評鑑過程，以識別資訊安全管理系統範圍內與漏失資訊之機密性、完整性及可用性相關聯之風險。 (2)識別風險擁有者。 (d)分析資訊安全風險。 (1)評鑑若6.1.2(c)(1)中所識別之風險實現時，可能導致之潛在後果。 (2)評鑑6.1.2(c)(1)中所識別之風險發生的實際可能性。 (3)決定風險等級。 (e)評估資訊安全風險。 (1)以6.1.2(a)中所建立之風險準則，比較風險分析結果。 (2)訂定已分析風險之風險處理優先序。 組織應保存關於資訊安全風險評鑑過程之文件化資訊。 6.1.3 資訊安全風險處理 組織應定義並應用資訊安全風險處理過程，以達成下列事項。 (a)考量風險評鑑結果，選擇適切之資訊安全風險處理選項。 (b)對所選定資訊安全風險處理選項，決定所有必須實作之控制措施。 備考：組織可依要求設計控制措施，或由任何來源識別之。 (c)比較上述 6.1.3(b