卫生署所属事业别资讯内控内稽.DOCVIP

衛生署所屬事業別資訊內控內稽 及資訊（安全）檢查作業參考指引草案 公聽會後草案內容意見審查表 請勾選貴單位所屬醫院等級 □醫學中心 □區域醫院 ■地區醫院 (適用醫學中心、區域醫院與地區醫院) 檢核項目 備註 ISO 27001:2005 Control objectives and controls 適用性 1、 風險評鑑與管理 （資訊安全組織、業務及資訊單位） 4.2 Establishing and managing the ISMS 1.1是否鑑別適用範圍內之所有資訊資產以及其擁有者、管理者、使用者？ A 7.1.2 Ownership of assets 應該建立一份與資訊系統有關的資訊資產目錄，訂定資訊資產的項目、擁有者及安全等級分類等。 資訊資產參考項目如下： 資訊資產：資料庫及資料檔案、系統文件、使用者手冊、訓練教材、作業性及支援程序、營運永續運作計畫、預備作業計畫等。 軟體資產：應用軟體、系統軟體、發展工具及公用程式等。 實體資產：電腦及通訊設備、磁性媒體資料及其他技術設備。 技術服務資產：電腦及通信服務、其他技術性服務（電源及空調）。 適用■ 不適用□ 可參考□ 1.2是否定義風險評鑑的方法論？該方法論並確保產出可比較與可再產生的結果。 4.2.1 Establish the ISMS 適用■ 不適用□ 可參考□ 1.3是否鑑別所有資產可能遭遇之威脅？ 4.2.1 Establish the ISMS 適用■ 不適用□ 可參考□ 1.4是否鑑別所有資產可能之脆弱點？ 4.2.1 Establish the ISMS 適用■ 不適用□ 可參考□ 1.5是否鑑別資產可能因威脅發生而喪失機密性、完整性、可用性與適法性之衝擊？ 4.2.1 Establish the ISMS 適用■ 不適用□ 可參考□ 1.6是否評鑑因發生安全事件而可能對組織造成之傷害及產生之後果？ 4.2.1 Establish the ISMS 適用■ 不適用□ 可參考□ 1.7是否評鑑安全事件發生之可能性或機率？ 4.2.1 Establish the ISMS 適用■ 不適用□ 可參考□ 1.8是否評鑑所有資產可能發生之風險值？ 4.2.1 Establish the ISMS 適用■ 不適用□ 可參考□ 1.9是否確定組織可接受風險之等級？所鑑別出風險之可接受等級是否由管理階層決定？ 4.2.1 適用■ 不適用□ 可參考□ 1.10是否評鑑出所有可降低風險之控制措施？ 4.2.2 各種安全風險如損害、偷竊或竊聽等，可能會因不同的安置地點而有所不同；在決定最適當的安全措施時，應該將不同地點的安全風險納入考量。 適用■ 不適用□ 可參考□ 1.11對於需要控管之風險是否依其重要性決定其處理之優先順序？ 4.2.2 適用■ 不適用□ 可參考□ 1.12是否制定風險處理計畫並根據該計劃導入控制措施以降低風險？ 4.2.2 適用■ 不適用□ 可參考□ 1.13是否建立系統異常、病毒及入侵等資安事件之監控機制？ A 10.4.1 Control against malicious code 系統發生作業錯誤時，應迅速報告權責主管人員，並採取必要的更正行動。 使用者對電腦及通信系統作業錯誤的報告，應正式記錄，以供日後查考。 應建立明確的系統作業錯誤報告程序，以及相關的作業規定，要項如下： 應檢查錯誤情形的紀錄，確保系統作業錯誤已經改正。 應檢查更正作業是否妥適，確保更正作業未破壞系統原有的安控措施，及確保更正作業係依正當的授權程序辦理。 網路使用者如偵測到電腦病毒入侵或其他惡意軟體，應立即通知網路管理者；網路管理者亦應將已遭病毒感染的資料及程式等資訊隨時提供使用者，以避免電腦病毒擴散。 電腦設備如遭病毒感染，應立即與網路離線，直到網管人員確認病毒已消除後，才可重新連線。 為使電腦病毒影響正常運作之程度降至最低，應建立妥適的營運永續運作計畫，將必要的資料及軟體備份，事前訂定回復作業計畫。 適用■ 不適用□ 可參考□ 1.14是否有書面的風險評鑑報告？ 4.2.2 適用■ 不適用□ 可參考□ 1.15是否有訂定文件管制程序以確保所有與資訊安全管理系統相關之文件及紀錄皆受到適當之保護與管制？ A 10.10.2 Monitoring system use 適用■ 不適用□ 可參考□ 1.16所鑑別出風險之可接受等級是否由管理階層決定？ 4.2.1 Establish the ISMS 適用■ 不適用□ 可參考□ 2、安全政策（資訊安全組織及資訊單位） 5.1 Information security policy 適用■ 不適用□ 可參考□ 2.1是否已規劃並定義出符合組織需要之資訊安全管理系統之適用範圍？ A 5.1.1 Inform