稽核檢核項目
單位主管應掌握事項
資安文件
4.1 確實盤點資產建立清冊(如識別擁有者及使用者等),且鑑別其資產價值?
CC-P-711資訊資產管理程序
4.2 訂定資產異動管理程序,定期更新資產清冊,且落實執行?
CC-P-711資訊資產管理程序
4.3 建立風險準則且執行風險評估作業,並針對重要資訊資產鑑別其可能遭遇之風險, 分析其喪失機密性、完整性及可用性之衝擊?
CC-P-709資訊風險評鑑與管理程序
落實資安
7.12 建立電子資料安全管理機制,包含分級規則(如機密性、敏感性及一般性等)、存取 權限、資料安全、人員管理及處理規範等,且落實執行?
CC-P-709資訊風險評鑑與管理程序
7.16 針對機密及敏感性資料之處理及儲存建立適當之防護措施?針對系統與資料之 完整性建立適當之防護措施?
CC-W-706資料庫管理作業辦法
7.26 針對使用者電腦訂定軟體安裝管控規則?確認授權軟體及免費軟體使用情形?
CC-W-707資訊設備與媒體管理作業辦法
7.19 針對電腦機房及重要區域之安全控制、人員進出管控、環境維護(如溫溼度控制)等 項目建立適當之管理措施,且落實執行?
CC-W-710電腦主機房管理作業辦法
7.20 定期評估及檢查重要資通設備之設置地點可能之危害因素(如火、煙、水、震動、 化學效應、電力供應、電磁輻射或人為入侵破壞等)?
CC-W-710電腦主機房管理作業辦法
7.21 針對電腦機房及重要區域之公用服務(如水電消防通訊)建立適當之備援方案?
CC-W-710電腦主機房管理作業辦法
7.27 個人行動裝置及可攜式媒體訂定管理程序且落實執行,並定期審查、監控及稽核?
CC-W-707資訊設備與媒體管理作業辦法
7.28 網路即時通訊使用原則(如機密公務或因處理公務上而涉及之個人隱私資訊,不得 使用即時通訊軟體處理及傳送等)?
CC-W-707資訊設備與媒體管理作業辦法
7.29 即時通訊軟體使用規範,包含安全環境設定、通訊群組管理規範、資安事件通報 規範等?
CC-P-703人事安全管理程序
教育訓練
3.7 資訊人員每2年接受3小時以上之資通安全專業課程訓練或資通安全職能訓練,且 每年接受3小時以上之資通安全通識教育訓練?
CC-P-703人事安全管理程序
3.8 一般使用者及主管每年接受3小時以上之資通安全通識教育訓練?
分支主題 1
CC-P-703人事安全管理程序
7.18 每半年進行1次社交工程演練?針對開啟郵件、點閱郵件附件或連結之人員加強 資安意識教育訓練?
配合教育部辦理 / -45月時會發公文,第一次在56月,第二階在1011月
採購規範
5.1 訂定資訊作業委外安全管理程序,包含委外選商及監督相關規定,確保委外廠商執行 委外作業時,具備完善之資通安全管理措施或通過第三方驗證?
CC-P-708資訊作業委外管理程序
5.4 針對委外業務項目進行風險評估,以強化委外安全管理?
CC-P-708資訊作業委外管理程序
5.6 依資通系統分級,於徵求建議書文件(RFP)相關採購文件中明確規範防護基準需求?
CC-P-708資訊作業委外管理程序
配合稽核
6.3 訂定內部資通安全稽核計畫,包含稽核目標、範圍、時間、程序、人員等,且落實 執行?
CC-P-706資訊安全稽核程序
6.4 規劃及執行稽核發現事項改善措施,且定期追蹤改善情形?
CC-P-707資訊安全矯正與預防程序
一般人員應辦事項
工作事項
3.4 訂定人員之資通安全作業程序及權責?是否明確告知保密事項,且簽署保密協議?
CC-P-703人事安全管理程序
3.5 人員瞭解機關之資通安全政策,以及應負之資安責任?
CC-P-703人事安全管理程序
3.7 資訊人員每2年接受3小時以上之資通安全專業課程訓練或資通安全職能訓練,且每年接受3小時以上之資通安全通識教育訓練?
CC-P-703人事安全管理程序
3.8 一般使用者及主管每年接受3小時以上之資通安全通識教育訓練?
CC-P-703人事安全管理程序
7.18 每半年進行1次社交工程演練?針對開啟郵件、點閱郵件附件或連結之人員加強資安意識教育訓練?
配合教育部辦理 / -45月時會發公文,第一次在56月,第二階在1011月
資安通報時機事項
通報時機
1.公務電子郵件遭遇到侵害權益、假冒來源、內容有惡意連接時
2公務上使用通訊軟體未重視資安問題,像是群組傳遞敏感資料時
3公務電腦遭遇無法解決的病毒、木馬,或有人使用可疑的免費共享軟體時
4各單位機房的門禁出問題或發生重大異常事件,辦公室的敏感資料外流時
工作事項
3.3 指定專人或專責單位負責資訊服務請求/事件處理、維運及檢討,且有適切分工?
CC-P-705資訊安全事件安全通報處理程序
9.6 訂定資安事件處理過程之內部及外部溝通程序?
CC-P-705資訊安全事件安全通報處理程序
系統委外開發事項
工作事項
5.1 訂定資訊作業委外安全管理程序,包含委外選商及監督相關規定。
CC-P-708資訊作業委外管理程序
5.7 對於核心資通系統之委外廠商,針對其人員(如能力、背景等)及開發維運環境之資通安全管理進行評估?
CC-P-7108資訊作業委外管理程序
系統開發 SSDLC
工作事項
8.2 資通系統開發過程依安全系統發展生命週期(SSDLC)納入資安要求?
CC-P-712資訊應用系統安全管理程序
8.8 資通系統開發委外辦理,將系統發展生命週期各階段安全需求納入委外契約?
CC-P-712資訊應用系統安全管理程序
資訊安全維護計畫
落實稽核
6.3 訂定內部資通安全稽核計畫,包含稽核目標、範圍、時間、程序、人員等,且落實 執行? (A級機關:每年2次;B級機關:每年1次;C級機關:每2年1次)
CC-P-706資訊安全稽核程序
6.4規劃及執行稽核發現事項改善措施,且定期追蹤改善情形?
CC-P-707資訊安全矯正與預防程序
6.1訂定、修正及實施機關資通安全維護計畫,且每年向上級或監督/主管機關提出 資通安全維護計畫實施情形?
要等到組織辦法與教育部頒布有關私立大學資通安全維護計畫
6.2 落實管理階層(如機關首長、資通安全長等)定期(每年至少1次)審查ISMS,以確保 其運作之適切性及有效性?
CC-P-702資訊安全組織規程
資安長應知事項
工作事項
1.1 界定機關之核心業務,完成資通系統盤點分級,每年至少檢視1次分級妥適性?
CC-P-709資訊風險評鑑與管理程序
1.2 將全部核心資通系統納入資訊安全管理系統(ISMS)適用範圍?
CC-P-716組織全景評鑑管理程序
1.3 鑑別可能造成營運中斷事件之機率及衝擊影響,且進行BIA?訂定RTO及RPO?
CC-P-710資訊業務持續營運管理程序
1.7 制定業務持續運作計畫,並定期辦理全部核心資通系統之業務持續運作演練?
CC-P-710資訊業務持續營運管理程序
1.4 設置資通系統之備援設備,當系統服務中斷時,於可容忍時間內由備援設備取代 提供服務?
CC-W-708資訊業務災害復原作業辦法
1.5 定期執行重要資料之備份作業,且備份資料異地存放?存放處所環境符合實體安全 防護?
CC-W-704備份管理作業辦法
1.6 訂定備份資料之復原程序,且定期執行回復測試,以確保備份資料之有效性? 復原程序定期檢討及修正?
CC-W-708資訊業務災害復原作業辦法
1.8 針對重要業務訂定適當之變更管理程序,且落實執行,並定期檢視、審查及 更新程序(如業務調整後對外資訊更新等)?
ISMS流程
1.9 每年辦理1次資安治理成熟度評估?
放到要點辦法實施後再議
2.1 訂定資通安全政策及目標,由管理階層核定,並定期檢視且有效傳達其重要性?
健行科技大學資通安全暨個資保護推動委員會設置辦法
2.2 訂定資通安全之績效評估方式(如績效指標等),且定期監控、量測、分析及檢視?
CC-P-702資訊安全組織規程
2.3 有文件或紀錄佐證管理階層對於ISMS建立、實作、維持及持續改善承諾及支持?
CC-P-702資訊安全組織規程
2.5 指派副首長或適當人員兼任資通安全長,負責推動及督導機關內資安事務?
健行科技大學資通安全暨個資保護推動委員會設置辦法
2.4 成立資通安全推動組織,負責推動、協調監督及審查資通安全管理事項? 推動組織層級之適切性,且業務單位是否積極參與?
健行科技大學資通安全暨個資保護推動委員會設置辦法
2.6 訂定機關人員辦理業務涉及資通安全事項之考核機制及獎懲基準?
CC-P-703 人事安全管理程序 5.1.2與5.1.5
2.7 建立機關內、外部利害關係人清單,並定期檢討其適宜性?
廠商聯絡清單,系內緊急應變小組連絡清單
3.1 資安經費占資訊經費比例?資訊經費占機關經費比例?資安經費符合業務需要?
?
項目紀錄文件
雲端連接
主要主題 4
主要主題 5
大分類
資通安全稽核檢核項目
中分類
紀錄文件