1. 稽核檢核項目
    1. 單位主管應掌握事項
      1. 資安文件
        1. 4.1 確實盤點資產建立清冊(如識別擁有者及使用者等),且鑑別其資產價值?
        2. 4.2 訂定資產異動管理程序,定期更新資產清冊,且落實執行?
        3. 4.3 建立風險準則且執行風險評估作業,並針對重要資訊資產鑑別其可能遭遇之風險, 分析其喪失機密性、完整性及可用性之衝擊?
      2. 落實資安
        1. 7.12 建立電子資料安全管理機制,包含分級規則(如機密性、敏感性及一般性等)、存取 權限、資料安全、人員管理及處理規範等,且落實執行?
        2. 7.16 針對機密及敏感性資料之處理及儲存建立適當之防護措施?針對系統與資料之 完整性建立適當之防護措施?
        3. 7.26 針對使用者電腦訂定軟體安裝管控規則?確認授權軟體及免費軟體使用情形?
        4. 7.19 針對電腦機房及重要區域之安全控制、人員進出管控、環境維護(如溫溼度控制)等 項目建立適當之管理措施,且落實執行?
        5. 7.20 定期評估及檢查重要資通設備之設置地點可能之危害因素(如火、煙、水、震動、 化學效應、電力供應、電磁輻射或人為入侵破壞等)?
        6. 7.21 針對電腦機房及重要區域之公用服務(如水電消防通訊)建立適當之備援方案?
        7. 7.27 個人行動裝置及可攜式媒體訂定管理程序且落實執行,並定期審查、監控及稽核?
        8. 7.28 網路即時通訊使用原則(如機密公務或因處理公務上而涉及之個人隱私資訊,不得 使用即時通訊軟體處理及傳送等)?
        9. 7.29 即時通訊軟體使用規範,包含安全環境設定、通訊群組管理規範、資安事件通報 規範等?
      3. 教育訓練
        1. 3.7 資訊人員每2年接受3小時以上之資通安全專業課程訓練或資通安全職能訓練,且 每年接受3小時以上之資通安全通識教育訓練?
        2. 3.8 一般使用者及主管每年接受3小時以上之資通安全通識教育訓練?
        3. 分支主題 1
        4. 7.18 每半年進行1次社交工程演練?針對開啟郵件、點閱郵件附件或連結之人員加強 資安意識教育訓練?
      4. 採購規範
        1. 5.1 訂定資訊作業委外安全管理程序,包含委外選商及監督相關規定,確保委外廠商執行 委外作業時,具備完善之資通安全管理措施或通過第三方驗證?
        2. 5.4 針對委外業務項目進行風險評估,以強化委外安全管理?
        3. 分支主題 1
        4. 5.6 依資通系統分級,於徵求建議書文件(RFP)相關採購文件中明確規範防護基準需求?
      5. 配合稽核
        1. 6.3 訂定內部資通安全稽核計畫,包含稽核目標、範圍、時間、程序、人員等,且落實 執行?
        2. 6.4 規劃及執行稽核發現事項改善措施,且定期追蹤改善情形?
        3. 分支主題 1
    2. 一般人員應辦事項
      1. 工作事項
        1. 3.4 訂定人員之資通安全作業程序及權責?是否明確告知保密事項,且簽署保密協議?
        2. 3.5 人員瞭解機關之資通安全政策,以及應負之資安責任?
        3. 分支主題 1
        4. 3.7 資訊人員每2年接受3小時以上之資通安全專業課程訓練或資通安全職能訓練,且每年接受3小時以上之資通安全通識教育訓練?
        5. 3.8 一般使用者及主管每年接受3小時以上之資通安全通識教育訓練?
        6. 分支主題 1
        7. 7.18 每半年進行1次社交工程演練?針對開啟郵件、點閱郵件附件或連結之人員加強資安意識教育訓練?
    3. 資安通報時機事項
      1. 通報時機
        1. 1.公務電子郵件遭遇到侵害權益、假冒來源、內容有惡意連接時
        2. 2公務上使用通訊軟體未重視資安問題,像是群組傳遞敏感資料時
        3. 3公務電腦遭遇無法解決的病毒、木馬,或有人使用可疑的免費共享軟體時
        4. 4各單位機房的門禁出問題或發生重大異常事件,辦公室的敏感資料外流時
      2. 工作事項
        1. 3.3 指定專人或專責單位負責資訊服務請求/事件處理、維運及檢討,且有適切分工?
        2. 9.6 訂定資安事件處理過程之內部及外部溝通程序?
        3. 分支主題 1
    4. 系統委外開發事項
      1. 工作事項
        1. 5.1 訂定資訊作業委外安全管理程序,包含委外選商及監督相關規定。
        2. 5.7 對於核心資通系統之委外廠商,針對其人員(如能力、背景等)及開發維運環境之資通安全管理進行評估?
    5. 系統開發 SSDLC
      1. 工作事項
        1. 8.2 資通系統開發過程依安全系統發展生命週期(SSDLC)納入資安要求?
        2. 8.8 資通系統開發委外辦理,將系統發展生命週期各階段安全需求納入委外契約?
    6. 資訊安全維護計畫
      1. 落實稽核
        1. 6.3 訂定內部資通安全稽核計畫,包含稽核目標、範圍、時間、程序、人員等,且落實 執行? (A級機關:每年2次;B級機關:每年1次;C級機關:每2年1次)
        2. 6.4規劃及執行稽核發現事項改善措施,且定期追蹤改善情形?
        3. 6.1訂定、修正及實施機關資通安全維護計畫,且每年向上級或監督/主管機關提出 資通安全維護計畫實施情形?
        4. 6.2 落實管理階層(如機關首長、資通安全長等)定期(每年至少1次)審查ISMS,以確保 其運作之適切性及有效性?
    7. 資安長應知事項
      1. 工作事項
        1. 1.1 界定機關之核心業務,完成資通系統盤點分級,每年至少檢視1次分級妥適性?
        2. 1.2 將全部核心資通系統納入資訊安全管理系統(ISMS)適用範圍?
        3. 1.3 鑑別可能造成營運中斷事件之機率及衝擊影響,且進行BIA?訂定RTO及RPO?
        4. 1.7 制定業務持續運作計畫,並定期辦理全部核心資通系統之業務持續運作演練?
        5. 1.4 設置資通系統之備援設備,當系統服務中斷時,於可容忍時間內由備援設備取代 提供服務?
        6. 1.5 定期執行重要資料之備份作業,且備份資料異地存放?存放處所環境符合實體安全 防護?
        7. 1.6 訂定備份資料之復原程序,且定期執行回復測試,以確保備份資料之有效性? 復原程序定期檢討及修正?
        8. 1.8 針對重要業務訂定適當之變更管理程序,且落實執行,並定期檢視、審查及 更新程序(如業務調整後對外資訊更新等)?
        9. 1.9 每年辦理1次資安治理成熟度評估?
        10. 2.1 訂定資通安全政策及目標,由管理階層核定,並定期檢視且有效傳達其重要性?
        11. 2.2 訂定資通安全之績效評估方式(如績效指標等),且定期監控、量測、分析及檢視?
        12. 2.3 有文件或紀錄佐證管理階層對於ISMS建立、實作、維持及持續改善承諾及支持?
        13. 2.5 指派副首長或適當人員兼任資通安全長,負責推動及督導機關內資安事務?
        14. 2.4 成立資通安全推動組織,負責推動、協調監督及審查資通安全管理事項? 推動組織層級之適切性,且業務單位是否積極參與?
        15. 2.6 訂定機關人員辦理業務涉及資通安全事項之考核機制及獎懲基準?
        16. 2.7 建立機關內、外部利害關係人清單,並定期檢討其適宜性?
        17. 3.1 資安經費占資訊經費比例?資訊經費占機關經費比例?資安經費符合業務需要?
  2. 項目紀錄文件
    1. 雲端連接
  3. 主要主題 4
  4. 主要主題 5
  5. 大分類
  6. 資通安全稽核檢核項目
  7. 中分類
  8. 紀錄文件