资讯安全管理内部稽核表.docVIP

附件五： 資訊安全管理內部稽核表 公司名稱 單位名稱 單位主管 評估日期： 評估人員 評估日期： 聯絡窗口 電話： 傳真： Email： 備註：內部稽核表之查核項目如有未建立或未落實等情況，請答「否」，並填寫「資訊安全管理矯正／預防措施一覽表」（附件八）及「資訊安全管理矯正／預防措施單」(附件九)，便於後續加強管理。 資訊安全管理內部稽核表(1) 頁次： 1/16 檢 查 項 目 是 否 不適用 1. 資訊安全政策訂定 是否訂有資訊安全政策？ □ □ □ 資訊安全政策文件是否由管理階層核准，並正式發布且轉知所有員工？ □ □ □ 是否訂有資訊安全政策的說明文件及資料(如作業程序、資訊安全控管文件、使用者應遵守的安全規則)？ □ □ □ 資訊安全政策文件是否包括資訊安全定義、目標、涵蓋範圍、實施內容、執行組織、權責分工、員工責任、事件通報程序、處理流程等？ □ □ □ 資訊安全政策文件是否就一般使用人員與專責人員之權責分項說明？ □ □ □ 是否指定專人或專責部門進行資訊安全政策的維護及檢討？ □ □ □ 是否定期或有重大變更時對資訊安全管理系統政策、目標之適切性及有效性，定期作必要之審查及調整？ □ □ □ 資訊安全政策是否由管理階層每年至少審查一次？ □ □ □ 是否定期對單位人員及資訊設備進行安全評估，以確定其是否遵守資訊安全政策及相關規定？ □ □ □ 是否訂有違反資訊安全規定之處理程序？ □ □ □ 資訊安全管理內部稽核表(2) 頁次： 2/16 檢 查 項 目 是 否 不適用 2. 資訊安全權責分工 管理階層是否瞭解資訊安全目的予以支持並承諾？ □ □ □ 是否指定高級主管人員或成立跨部門組織負責推動、協調及監督資訊安全管理事項？ □ □ □ 是否指定專人或專責部門負責規劃、執行與控管資訊安全工作？ □ □ □ 是否指定部門辦理風險評估、安全分級、系統安全控管措施？ □ □ □ 是否訂定員工資訊安全作業程序與權責規範？ □ □ □ 是否訂定各項資訊設備的安全作業程序？ □ □ □ 是否訂定資訊安全狀況授權處理層級？ □ □ □ 是否對資訊計畫內容進行資訊安全政策符合性檢查？ □ □ □ 開放給外部機構之資料存取，是否辦理風險評估？ □ □ □ 開放給外部機構之資料存取，是否訂定控管程序？ □ □ □ 開放給外部機構之資料存取，於契約中是否訂定雙方權利義務及違約處分方式？ □ □ □ 簽訂資料存取之契約中是否包含資料保護、服務水準、智慧財產權、事故發生處理方式等條款？ □ □ □ 委外契約中有關安全需求內容是否包含法律需求(如電腦處理個人資料保護法)、界定雙方有關人員權責、使用何種實體與邏輯安全控管措施、對委外廠商稽核權、得依實際需要隨時修改安全控管措施及作業程序等？ □ □ □ 因業務需要開放給外部機構(含其他公司、上下游業者、顧問、維護廠商、委外承包商、臨僱人員)使用之資訊，其存取權限是否嚴加控管？ □ □ □ 資訊安全管理內部稽核表(3) 頁次: 3/16 檢 查 項 目 是 否 不適用 3. 人員管理及資訊安全教育訓練 員工應盡之安全責任是否納入其工作說明書或系統文件？ □ □ □ 對人員之進用及調派，是否作適當之安全評估？ □ □ □ 員工或第三方使用者是否簽署保密協議並均知保密事項？ □ □ □ 對於可存取機密性、敏感性資訊或系統之員工以及配賦系統存取特別權限之員工是否有妥適分工與分散權責？ □ □ □ 管理階層是否有要求員工、承包商及第三方使用者，執行所制訂的政策及程序？ □ □ □ 員工是否瞭解單位資訊安全政策及應負之資安責任？ □ □ □ 員工(含第三方使用者)是否依職務層級進行適當的資訊安全認知教育與訓練？ □ □ □ 是否訂有員工辦理或違反組織安全政策與程序獎懲規定？ □ □ □ 針對人員(含第三方使用者)之調動、離職或退休，是否立即取消或調整其識別碼、通行碼、存取權限及安全責任？ □ □ □ 員工離職或第三方使用者於聘雇終止時，是否依規定繳回其使用或保管之資訊資產並移除其存取權限？ □ □ □ 是否對員工品德、行為、家庭狀況等加以考核？ □ □ □ 是否隨時公告資訊安全相關訊息？ □ □ 下班後員工是否將經辦之機密性或敏感性資料，妥善收藏？ □ □ 是否對員工的私人資訊設備作必要之安全控管程序？ □ □ 資訊安全管理內部稽核表(4) 頁次： 4/16 檢 查 項 目 是 否 不適用 4. 系統安全管理 是否訂有資訊處理設備之操作程序及管理責任？ □ □ □ 是否建立系統變更之管理程序？ □