纪录格式-大叶大学.DOCVIP

資訊安全稽核查檢表 版次：V4.0 記錄編號： 稽核 版次 ISO27001:2013 受稽單位 電算中心 稽核人員 稽核 日期 查核項目 敘 述 適用性 參考文件 補充說明 適用 不適用 CH4 組織全景 4.1 瞭解組織及全景 組織應決定與其目的有關且影響達成資訊安全系統預期成果能力者之內外部議題 V AS-02-011資訊安全全景與範圍程序書 4.2 了解關注方之需要與期望 (a)組織決定資安管理系統關注方 V AS-02-011資訊安全全景與範圍程序書 (b)組織應有對應的要求事項 V AS-02-011資訊安全全景與範圍程序書 4.3 決定資訊安全管理系統之範圍 V AS-02-011資訊安全全景與範圍程序書 4.4 資訊安全管理系統 V AS-02-011資訊安全全景與範圍程序書 CH5 領導作為 5.1 領導及承諾 (a)管理階層確保已建立政策與資訊安全目標並遵循組織策略方向 V AS-02-001資訊安全組織管理程序書 (b)確保管理系統要求事項整合過程之紀錄 V AS-02-001資訊安全組織管理程序書 (c)管理階層提供ISMS所需資源支持 V AS-02-001資訊安全組織管理程序書 (d)管理階層傳達ISMS有效性與重要性並確保達成預期效果 V AS-01-001資訊安全政策 (e)管理階層角色適用其責任範圍，參與並支持 V AS-02-001資訊安全組織管理程序書 5.2 政策 管理階層應確保建立標準涵蓋之資訊安全政策 V AS-02-001資訊安全組織管理程序書 5.3 組織角色、責任及權限 組織內部角色相關責任及權限之指派與傳達，並回報落實績效 V AS-02-001資訊安全組織管理程序書 CH6 規劃 6.1 組織規劃過程應考量的相關議題即要求事項，應具備因應的風險管理機制 V AS-02-004風險評鑑管理程序書 6.2 資訊安全風險評鑑 (a)應訂立並維持風險可接受準則 V AS-02-004風險評鑑管理程序書 (b)確保風險評鑑產生一致性、有效及適於比較的結果 V AS-02-004風險評鑑管理程序書 (c)風險評鑑進行確認為可識別、分析、評估之過程 V AS-02-004風險評鑑管理程序書 (d)組織需定義並應用資訊安全風險處理過程之達成，包含考量風險評鑑結果、選擇適切實作控制措施 V AS-02-004風險評鑑管理程序書 (e)適用性聲明產出與定期檢視合宜性 V AS-02-004風險評鑑管理程序書 (f)擁有風險者對資訊安全風險處理計畫的核准與後續追蹤，並接受剩餘風險 V AS-02-004風險評鑑管理程序書 (g)資安目標即達成規劃應符合資安政策並可量測 (h)組織對於資安目標與達成之規劃應確認責任指派文件化資訊之要求 V AS-02-004風險評鑑管理程序書 有效性量測表 CH7 支援 7.1 資源 組織應提供PDCA過程所需的資源 V AS-02-005人員安全管理暨教育訓練程序書 7.2 能力 人員必要能力的評估、養成、強化皆須保存適切的文件化資訊作為勝任之證據呈現 V AS-02-005人員安全管理暨教育訓練程序書 7.3 認知 人員任職相關遵循守則應提及資安政策、有效貢獻、未遵循ISMS要求事項之可能後果，並定期宣導 V AS-02-005人員安全管理暨教育訓練程序書 7.4 溝通或傳達 組織應決定內外部溝通傳達之需要與管道，其過程文件化 V AS-02-013資安溝通程序書 7.5 制定及更新 制定及更新文件化資訊應確保符合標準要求，包含:識別敘述、格式、合宜性與適切性的審查核准 V AS-02-002文件控管程序書 7.6 文件化資訊之控制 確保文件之使用、派送、保存、變更等相關作業皆受到適切保護 V AS-02-002文件控管程序書 CH8 運作 8.1 運作規劃及控制 確保規劃之要求事項之行動與計畫實作落實已達成預定資訊安全目標，並將紀錄文件化 V AS-02-012 通訊與作業管理程序書 8.2 變更管理 應控制所規畫之變更並審查非預期變更之後果，必要時採取行動 V AS-02-012 通訊與作業管理程序書 8.3 風險管理 組織依規劃期間、人員提議、發生重大變更等情況皆須調整並實作對應風險處理計畫，並文件化資訊過程 V AS-02-004風險評鑑管理程序書 CH9 績效評估 9.1 監督、量測、分析、