教育机构资安验证中心稽核查检表.docVIP

文件名稱 稽核查檢表(稽核員或稽核觀察員使用) 文件編號 EDU-ISCB-B-02-17 機密等級 敏感 版次 V1.0 報告/紀錄編號 201105311552572 （粗線框內資料由教育機構資安驗證中心填寫。） 第 PAGE 17頁/共 NUMPAGES 43頁 教育機構資安驗證中心 稽核查檢表(稽核員或稽核觀察員使用) 驗證申請單位： 大學甄選入學委員會 驗證地址： 新嘉義縣民雄鄉大學路168號 驗證標準： 教育體系資通安全管理規範（中華民國96 稽核日期： 中華民國 100 年 6 月 16 日至17日 驗證範圍： 機房處理大學甄選入學業務活動之維運作業及繁星推薦與個人申請系統(報名、分發階段)之維護作業。 查檢項目 條款章節 條文 筆記/記錄 稽核發現 陸、 關於適用性聲明(Statement of Applicability) 本標準之設計為適用於教育體系與相關單位，但鑑於類型、規模、資源、業務性質等因素，若本標準列出之任何條款無法適用於某單位時，可考慮予以排除，但必須在不影響該單位提供資訊安全能力與責任之情況下，並提出理由。在建置完該單位之ISMS後，必須提出符合的適用性聲明，其中應包含選擇之控制目標與控制措施項目與理由，以及排除條款之內容、理由，作為稽核時的依據。 CAC-ISMS-D-014適用性聲明書(100.3.1)所列A.10.8.1與A12.3.2不適用。 ?主要不符合事項 ： ?次要不符合事項： ?觀察事項： ?確認符合要求。 捌、 關於資訊安全管理系統(ISMS)建置步驟 捌、三 ISMS之建立：依據該單位之類型、規模、資源、業務性質等特性，定義ISMS之範圍；考慮相關法律、法規以及合約之要求，於適度評估風險及應對措施後，訂出經由管理階層核准之ISMS政策，並擬定一份適用性聲明書文件。 CAC-ISMS-A-001資訊安全政策(99.12.15)相當詳細。 量化指標：可用性98%；營運中斷2次/季；中斷時間4小時 風險值=資產價值*威脅*弱點。可接受風險值9，有9項12件資產超過可接受風險 ?主要不符合事項 ： ?次要不符合事項： ?觀察事項： ?確認符合要求。 捌、四 ISMS之實施與操作：施行單位應確實實施控制措施，以符合控管的目標，並執行訓練與認知計畫，確保偵測安全事件的能力，以及迅速回應和應對處理的時效。 CAC-ISMS-B-011安全事件管理程序書 CAC-ISMS-D-042資訊安全事件報告單 風險改善計畫表 ?主要不符合事項 ： ?次要不符合事項： ?觀察事項： ?確認符合要求。 捌、五 ISMS之監控及審查：施行單位應針對ISMS進行監控程序與其他控制措施，即時鑑別資安事件的發生、處理順序與解決方法；定期審查ISMS之有效性(建議一學年至少一次)，並將相關有顯著影響之活動與事件記錄下來。 CAC-ISMS-D-005資安管審會議紀錄CAC-ISMS-D-004ISMS有效性量測表 ?主要不符合事項 ： ?次要不符合事項： ?觀察事項： ?確認符合要求。 捌、六 ISMS之維持及改進：施行單位應定期實行改進活動，採取適當的矯正與預防措施，並得到管理階層之同意，並確保各項措施達到預期目標。 矯正預防處理單由資安稽核小組組長或組員或負責人追蹤，一個月內追蹤查核，寫結果。 CAC-ISMS-D-005資安管審會議紀錄 ?主要不符合事項 ： ?次要不符合事項： ?觀察事項： ?確認符合要求。 玖、 關於資訊安全管理系統(ISMS)建置需求 玖、七 文件要求：關於ISMS文件化(電子檔案或紙本)，必須包含安全政策、安全目標、ISMS範圍、適用性聲明、資安事件記錄以及其他有助於提升ISMS成效之文件；上述之文件需接受保護與管制，並定期的審查及更新，確保文件之最新版本；任何過期文件需保留或銷毀，應予以適當的鑑別。 CAC-ISMS-B-002文件管理程序書 文件存放地點？ CAC-ISMS-D-006文件調閱申請單 ?主要不符合事項 ： ?次要不符合事項： ?觀察事項： ?確認符合要求。 玖、八 管理階層責任：施行單位之管理階層，最為重要的是給予承諾及實際的支持，並適度的提供資源以助ISMS程序的進行，必要時審查ISMS的控制措施與有效性；另外，確保於ISMS範圍內之員工，具備足夠之能力及認知，並定期進行教育訓練。 管理階層：甄選入學委員會總幹事 CAC-ISMS-D-005資安管審會議紀錄 CAC-ISMS-D-019教育訓練簽到表 ?主要不符合事項 ： ?次要不符合事項： ?觀察事項： ?確認符合要求。 玖、九 管理階層審查：管理階層應在規劃期間內，審查該單位的ISMS與適用範圍，確保其持續的適用性、適切性及有效性；其中應審查包含變更需求與改進時機，並將其結果確實文件化。 CAC-ISM