资通安全公司自我检查表-ISACA国际电脑稽核协会.DOCVIP

資通安全公司自我檢查表 檢 查 項 目 是 否 不適用 工作底稿索引 1 資訊安全政策 1.1管理階層是否瞭解資訊安全目的並予支持？ 1.2貴機關之資訊安全政策文件是否由管理階層核准並正式發布且轉知所有員工？ 1.3貴機關是否訂有資訊安全政策的說明文件及資料(如作業程序、資訊安全控管文件、使用者應遵守的安全規則)？ 1.7資訊安全政策是否定期評估，並作必要調整？ 1.8是否定期對單位人員及資訊設備進行安全評估，以確定其是否遵守機關資訊安全政策及相關規定？ 1.11委外契約中有關安全需求內容是否包含法律需求(如電腦處理個人資料保護法)、界定雙方有關人員權責、使用何種實體與邏輯安全控管措施、對委外廠商稽核權、得依實際需要隨時修改安全控管措施及作業程序等？ 2 建立資訊安全組織 2.1是否指定高級主管人員或成立跨部門組織負責推動、協調及監督資訊安全管理事項？ 2.2是否指定專人或專責單位負責規劃、執行與控管資訊安全工作？ 2.3是否指定單位辦理風險評估、安全分級、系統安全控管措施？ 2.8單位內因業務需要開放給外單位(含其他機關、上下游業者、顧問、維護廠商、委外承包商、臨僱人員)使用之資訊，其存取權限是否嚴加控管？ 3 人員安全與管理 3.1對人員之進用及調派，是否作適當之安全評估？ 3.8是否依員工職務層級進行適當的資訊安全講習？ 3.11是否對員工的私人資訊設備作必要之安全控管程序？ 4 資產分類與控管 4.2是否建置資產清冊且隨時更新？ 4.3資訊是否分級(區分機密性、敏感性及一般性)？是否建立資訊安全等級之分類標準？ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ 檢 查 項 目 是 否 不適用 工作底稿索引 5實體及環境安全管理 5.1資訊設備之設置是否作安全上之考量？ 5.6電源之供應及備援電源是否作安全上考量？ 5.8設備之維護是否由授權之維護人員執行？ 5.9攜帶型的電腦設備是否訂有嚴謹的保護措施(如設通行碼、檔案加密、專人看管)並落實執行？ 5.11電腦機房及重要地區，對於進出人員是否作必要之限制及監督其活動？ 5.16是否制訂資訊安全緊急應變處理程序？有否定期演練及測試？ 5.19個人電腦及終端機不使用時是否有關機、、 6 通訊與操作管理 6.4是否訂有資訊安全事件通報程序並確實依規定通報？ 6.8系統開發及正式作業是否在不同的處理器、不同的系統環境處理？ 6.10是否與業者簽訂適當的資訊安全協定，賦與相關的安全管理責任，並納入契約條款？ 6.14是否全面使用防毒軟體並即時更新病毒碼？ 6.19是否對重要的資料及軟體定期作備份處理？ 6.24是否定期檢討電腦網路安全控管事項之執行？ 6.25是否使用網路防火牆(Fire Wall)？ 6.28對於敏感性資訊之傳送是否採取資料加密等保護措施？、 □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ 檢 查 項 目 是 否 不適用 工作底稿索引 7 存取控制 7.1是否訂有資訊存取控制政策及相關說明文件？ 7.8是否依網路型態(Internet、Intranet、Extranet)訂定適當的存取權限管理方式？ 7.22是否於不使用時用上鎖或密碼等管制措施不讓電腦或終端機遭非法使用？ 7.23應用系統是否具有作業結束後或在一定期間未操作時即自動登出之保護機制？ 7.28是否依環境或業務需要，於網路防火牆作適當之設定？ 7.29是否依業務性質或任務分配來建置邏輯性網域的存取權限機制(如虛擬私有網路VPN)？ 7.35是否管制使用者的連線功能(如網路通訊閘道所設定的規則)？ 7.36是否針對電子郵件、單雙向檔案傳輸、互動式存取與存取時段做通盤連線控管考量？ 7.50軟體安裝完畢後是否立即更新廠商所預設之密碼？ 7.56是否保存系統公用程式使用紀錄？ 7.59是否指定專人管理應用程式原始碼、資料庫及執行檔？ 7.64機密及敏感性資料的處理是否於獨立或專屬的電腦作業環境中執行？ 8 系統開發與維護 8.1應用系統在規劃分析時是否將安全需求納入考量？ 8.5有無建立應用程式執行碼的更新紀錄？ 8.6系統變更後是否立即更新系統文件？ 8.11系統變更後，是否主動公告異動的範圍、時間、可能的影響？ 8.17是否定期對使用軟體實施病毒偵測？ 9 永續經營管理 9.1是否已擬訂關鍵性業務及其風險評估、衝擊影響、優先順序？ 9.5是否定期作風險評估並調整永續經營政策？ 9.7是否建立資訊