內部稽核表 - 圖書館.doc-得力文库

资源描述

《內部稽核表 - 圖書館.doc》由会员分享，可在线阅读，更多相关《內部稽核表 - 圖書館.doc（20页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.01紀錄編號：填表日期：年月日評分標準說明： A：相關資訊安全管理制度規範已建立，且落實執行 B：相關資訊安全管理制度規範未建立，但已實施替代性資安控管措施 C：相關資訊安全管理制度規範已建立，但未落實執行 D：相關資訊安全管理制度規範未建立，且未實施替代性資安控管措施 E：不適用稽核項目稽核項目規範本文規範本文稽核評分稽核評分條款條款章節章節依據條文依據條文A B C D E稽核發現與說明稽核發現與說明陸、關於適用性聲明(Statement of Applicability)本標準之設計為適用於教育

2、體系與相關單位，但鑑於類型、規模、資源、業務性質等因素，若本標準列出之任何條款無法適用於某單位時，可考慮予以排除，但必須在不影響該單位提供資訊安全能力與責任之情況下，並提出理由。在建置完該單位之 ISMS 後，必須提出符合的適用性聲明，其中應包含選擇之控制目標與控制措施項目與理由，以及排除條款之內容、理由，作為稽核時的依據。資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.02條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與說明稽核發現與說明A B C D E捌、關於資訊安全管理系統 (ISMS)建置步驟捌、三ISMS 之建立：依據該單位之類型、

3、規模、資源、業務性質等特性，定義 ISMS 之範圍；考慮相關法律、法規，以及合約之要求，於適度評估風險及應對措施後，訂出經由管理階層核准之 ISMS 政策，並擬定一份適用性聲明書文件。捌、四ISMS 之實施與操作：施行單位應確實實施控制措施，以符合控管的目標，並執行訓練與認知計畫，確保偵測安全事件的能力，以及迅速回應和應對處理的時效。捌、五ISMS 之監控及審查：施行單位應針對 ISMS 進行監控程序與其他控制措施，即時鑑別資安事件的發生、處理順序與解決方法；定期審查 ISMS 之有效性（建議一學年至少一次），並將相關有顯著影響之活動與事件記錄下來。捌、六ISMS 之維持及改

4、進：施行單位應定期實行改進活動，採取適當的矯正與預防措施，並得到管理階層之同意，並確保各項措施達到預期目標。玖、關於資訊安全管理系統 (ISMS)建置需求玖、七文件要求：關於 ISMS 文件化（電子檔案或紙本），必須包含安全政策、安全目標、ISMS 範圍、適用性聲明、資安事件記錄，以及其他有助於提升 ISMS 成效之文件；上述之文件需接受保護與管制，並定期的審查及更新，確保文件之最新版本；任何過期文件需保留或銷毀，應予以適當的鑑別。資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.03條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與

5、說明稽核發現與說明A B C D E玖、八管理階層責任：施行單位之管理階層，最為重要的是給予承諾及實際的支持，並適度的提供資源以助 ISMS 程序的進行，必要時審查 ISMS 的控制措施與有效性；另外，確保於 ISMS 範圍內之員工，具備足夠之能力及認知，並定期進行教育訓練。玖、九管理階層審查：管理階層應在規劃期間內，審查該單位的 ISMS 與適用範圍，確保其持續的適用性、適切性及有效性；其中應審查包含變更需求與改進時機，並將其結果確實文件化。玖、十ISMS 之改進：ISMS 的改進是持續的，必須藉由各資安事件與審查結果，做出適度的反應與改進，持續系統之有效性；另外，對應的矯正措施以及

6、防範未然的預防措施，亦須予以制定並文件化。資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.04稽核項目稽核項目控制目標與控制項目控制目標與控制項目稽核評分稽核評分條款條款章節章節依據條文依據條文 A B C D E稽核發現與說明稽核發現與說明A5資訊安全政策訂定與評估A.5.1資訊安全政策訂定與評估A.5.1.1資訊安全政策制定資訊安全政策應參考資安相關法令及施行單位業務上的需求，並經由管理階層核准，以適當方式向所有員工公佈與宣導，在必要時告知相關單位及合作廠商，以利共同遵守。 A.5.1.2資訊安全政策評估面對資安事件的發生、資安相關法令

7、與其他影響因素的改變時，資訊安全政策應進行即時的評估，並定期審查政策的可行性與有效性。 A6資訊安全組織A.6.1 資訊安全組織推動與權責A.6.1.1 資訊安全組織推動以及權責之分配由管理階層舉辦定期之資訊安全會報，召集相關單位代表進行工作與責任的分屬，確保資安相關計畫的進行，並展現管理階層的支持。 A.6.1.2資訊設施使用之授權資訊處理設備的移轉（包含新設備），應由權責主管人員進行授權、移交的程序，確保該設備後續的順利運作及責任所屬。資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.05條款條款章節章節依據條文依據條文稽核評分稽

8、核評分稽核發現與說明稽核發現與說明 A B C D E A.6.1.3保密條款之簽訂施行單位之員工（包含正職員工、臨時雇員）應簽署獨立或包含保密條款之合約，確保其了解應有之資安責任與相關限制。 A.6.1.4跨單位合作及協調為確保資訊安全作業的順利運行，需與執法機關、主管機構、資訊服務廠商及電信公司建立適當的溝通管道。 A.6.1.5資訊安全諮詢與顧問在必要時，須向單位內部專業人員或外部專業諮詢人員徵詢、協調資訊安全建議。 A.6.1.6資訊安全政策的獨立檢視機關制訂之資訊安全政策，應進行獨立及客觀的評估。 A.6.2施行單位外部人員存取安全管理A.6.2.1施行單位外

9、部人員存取之安全掌控面對外部人員存取施行單位資訊處理設施的可能風險，應視狀況採取適當的安全控制措施，並條列安全規定於正式合約中。 A.7資訊資產分類與管制A.7.1資訊資產分類與責任分屬A.7.1.1資訊資產目錄建立應製作所有資訊資產之清冊，並定期維護、更新。 A.7.1.2資訊安全等級分類資訊資產應進行分級與標示，並考量重要資產的需求，於必要時制定保護措施及處理流程。資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.06條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與說明稽核發現與說明 A B C D E A.8人員安全管理與教育訓

10、練A.8.1聘任前之處理A.8.1.1所屬角色與責任施行單位之員工、廠商及第三方使用者的資訊安全角色及責任應適需求以書面或其他方式清楚定義，並與資訊安全政策一致。 A.8.2聘用中之處理A.8.2.1資訊安全教育訓練施行單位內所有員工、合作廠商與第三方使用者應接受適當之資安訓練與有關資安政策、程序之宣導課程。 A.8.2.2違反規定之處理依據既定之條款或合約，違反施行單位之資訊安全政策與程序之人員，應予以適當之懲處。 A.8.3結束聘任或改變職務A.8.3.1結束聘用之處理負責執行結束聘用或改變職務之權責，其職掌應清楚定義並指派。 A.8.3.2資產繳回離職時，應有正式的資

11、產繳回程序，顯示其已繳回單位資產。 A.8.3.3存取權移除所有員工、合約商及第三方使用者的存取權限應根據既有的規範或協定進行移除或改變。 A.9實體與環境安全A.9.1區域之安全資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.07條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與說明稽核發現與說明 A B C D E A.9.1.1實體環境安全施行單位應採用適當防護措施保障資訊處理設施所在區域（機房設備、人員辦公區域）的安全。 A.9.1.2人員進出控制施行單位應實施控制措施，確保只有授權人員可以進出安全區域。 A.9.1.3資訊

12、處理設施安全在資訊處理設施所在區域工作，應採取適當的控制措施與指引，確保該區域的安全性。 A.9.2 設備之安全A.9.2.1設備安置地點之保護措施施行單位應安置或保護設備，降低環境之威脅、災害，以及未授權存取所造成的可能損失。 A.9.2.2電源供應施行單位應保護資訊處理設備，降低電力故障或異常的影響。 A.9.2.3電纜線安全防護施行單位應保護通訊纜線及資訊處理設備之電源，降低受竊聽或破壞的可能損失。較適用於第一群不適用A.9.2.4設備之維護資訊處理設備應予以適當的維護，確保其持續運作。 A.9.2.5設備報廢與再使用資訊處理設備在報廢或再使用的過程中，應避免內存資

13、料的外洩，進行必要之清除動作。資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.08條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與說明稽核發現與說明 A B C D E A.9.2.6預防未經授權之移動施行單位所屬之設備、資訊或軟體未經授權禁止移動。 A.10通訊與作業安全管理A.10.1作業程序與責任A.10.1.1作業程序文件化安全政策所規定之作業程序，應文件化並定期維護。 A.10.1.2作業變更之管理資訊處理設施、系統之變更，應進行管制。 A.10.1.3資訊安全責任之分散職務與責任範圍需予區分，降低資訊或服務遭未授權修

14、改或誤用之機會。較適用於第一群不適用A.10.1.4系統發展、測試及實務作業之分散開發或測試用之設備、軟體轉換至作業狀態，應制定規則分隔開來，並加以文件化。較適用於第一群不適用A.10.2資訊作業委外服務之安全管理A.10.2.1資訊作業服務之管控施行單位執行資訊業務委外時，應與廠商簽訂適當的資訊安全協定及課予相關的安全管理責任，納入契約條款。 A.10.2.2服務之監控與審查施行單位應監視和審查廠商提供的服務，確保服務標準達到協議的要求。資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.09條款條款章節章節依據條文依據條文稽核評

15、分稽核評分稽核發現與說明稽核發現與說明 A B C D E A.10.2.3廠商服務異動面對廠商服務異動的管理程序，應注意相關的系統及程序，確實的掌控以避免導致新資安危機。較適用於第一群不適用A.10.3系統規劃與驗收A.10.3.1系統作業容量之規劃施行單位應適時預估系統容量需求，確保有充分處理資料與儲存的空間。較適用於第一群不適用A.10.3.2新系統上線作業之安全評估新資訊系統、系統升級與新版本正式上線前應予以適當的測試，建立固定的驗收程序。 A.10.4電腦病毒、惡意軟體A.10.4.1電腦病毒及惡意軟體之控制施行單位應進行防備電腦病毒與惡意軟體之偵測及預防的

16、控制措施，以及使用者認知程序。 A.10.5備份作業之管控A.10.5.1資料備份重要資訊與軟體應進行定期的備份。 A.10.6網路安全管理較適用於學術網路系統資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.010條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與說明稽核發現與說明 A B C D E A.10.6.1網路安全規劃與管理應實施網路控制措施，維護網路安全。 A.10.6.2網路服務之安全控制使用公用或私用網路，應評估網路服務提供者之安全措施是否足夠，並提供明確的安全措施說明，另應考量使用該項網路對維持機關資料傳輸機密性、

17、資料完整性及可用性等各種安全影響。 A.10.7儲存媒體的處理與安全A.10.7.1電腦媒體之安全管理電腦儲存媒體、可攜式媒體或印出報表，應制定控管措施。 A.10.7.2電腦媒體處理之安全應訂定電腦媒體的處理作業程序，以降低可能的安全風險。 A.10.7.3資料檔案之保護重要資料檔案應進行控管，並安全的保存。 A.10.7.4系統文件之安全重要系統文件應受到保護，避免未授權之存取。 A.10.8資訊與軟體交換A.10.8.1資訊與軟體交換安全政策與協定單位間交換資訊與軟體的行為（具機密性或敏感性內容）應有安全保護措施及協議規範，必要時制定正式合約。資訊安全管理制度內部稽

18、核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.011條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與說明稽核發現與說明 A B C D E A.10.8.2電子郵件安全管理應制定電子郵件使用政策，並實施控制措施降低安全風險。 A.10.8.3電子辦公系統安全視需求應制定並實施控制措施，以管制和電子辦公系統有關之單位及安全風險。 A.10.8.4對外公告資訊之管理對外公告資訊前應有正式授權程序，並避免未授權之竄改。 A.10.9系統存取及應用之監督A.10.9.1事件記錄建立及製作例外事件及資訊安全事項的稽核軌跡，並保存一段的時間，以作為日後調查及監

19、督之用。 A.10.9.2系統使用之監控為確保使用者只能執行授權範圍內的事項，應建立系統使用監督程序。 A.10.9.3記錄的保護單位應保護未授權的變更及防止記錄設備操作發生問題。 A.10.9.4系統管理者與作業人員之記錄應忠實紀錄系統管理者與作業人員之相關操作記錄。 A.10.9.5系統錯誤事項之紀錄系統發生錯誤之事項時，應予以忠實的記錄，並進行適當的處理程序。資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.012條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與說明稽核發現與說明 A B C D E A.10.9.6系統時

20、鐘應予同步應定期校正系統作業時間，維持系統稽核紀錄的正確性及可信度，最為事後法律上或是紀律處理上的重要依據。 A.11存取控制安全A.11.1使用者存取控制A.11.1.1使用者註冊管理應制定正式使用者註冊、註銷流程和條款，以供存取資訊系統及服務。 A.11.1.2系統存取特別權限管理限制與控管特許權限的分配及使用方式。較適用於第一群不適用A.11.1.3一般通行碼之控管應建立使用者通行碼之管理制度。 A.11.1.4系統存取權限之評估施行單位應定期審查使用者存取權限。較適用於第一群不適用A.11.2使用者責任A.11.2.1桌面淨空安全管理應考量採用辦公桌面的淨空政策，

21、以減少文件及儲存媒體等在正常的辦公時間之外遭未被授權的人員取用、遺失、竄改或是被破壞的機會。 A.11.3網路存取控制措施A.11.3.1網路服務之限制施行單位須清楚限定使用者只能直接存取准許使用之服務。資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.013條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與說明稽核發現與說明 A B C D E A.11.3.2遠端使用者身分鑑別遠端連線使用者之存取需進行身分鑑別。較適用於第一群不適用A.11.3.3診斷埠(Diagnostic Ports) 存取控制診斷埠的存取行為必須嚴密控管。

22、較適用於第一群不適用A.11.3.4網路分隔控制網路應視需求控制措施，將資訊服務、使用者及各資訊系統區隔。較適用於第一群不適用A.11.3.5網路連線控制使用者連線能力應視需求予以限制。較適用於第一群不適用A.11.3.6網路路由控制共享網路應有路由控制措施，確保電腦連線及資訊流依循應用系統之存取控管政策。較適用於第一群不適用A.11.4作業系統存取控制A.11.4.1系統登入程序使用者存取電腦系統應經由安全的系統登入程序。 A.11.4.2使用者通行碼管理應以安全有效的使用者通行碼管理系統鑑別使用者身份。 A.11.4.3系統公用程式管理系統上公用程式的使用，

23、應予限制並控管。較適用於第一群不適用資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.014條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與說明稽核發現與說明 A B C D E A.11.4.4連線作業時間之控制必要時限制使用者在高風險應用系統的連線作業時間。較適用於第一群不適用A.11.5應用系統的存取控制較適用於行政資訊系統A.11.5.1資訊存取限制依資訊存取規定，配予應用系統的使用者與業務需求相稱的資料存取及應用系統的使用權限。 A.11.5.2機密及敏感性系統之獨立作業必要時對機密性及敏感性系統，考量建置獨立的或是專

24、屬的電腦作業環境。較適用於第一群不適用A.11.6行動式電腦作業與遠距工作管理較適用於第一群A.11.6.1行動式電腦作業控制必要時應針對行動式電腦設施制定適當的控制措施及政策。較適用於第一群不適用A.11.6.2遠距工作管理施行單位應制定遠距工作活動的政策、流程及標準，控管相關活動的進行。較適用於第一群不適用A.12系統開發與維護之安全資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.015條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與說明稽核發現與說明 A B C D E A.12.1系統安全要求較適用於行政資訊系統

25、較適用於第一群A.12.1.1安全需求分析及規格訂定應詳述新系統或既有系統之各項控制措施要求。較適用於第一群不適用A.12.2應用系統安全較適用於行政資訊系統A.12.2.1資料輸入之驗證輸入應用系統之資料須確認其正確性與適當性。 A.12.2.2系統內部作業處理之驗證系統需建立確認檢查機制，以偵知所處理資料的塗改。 A.12.2.3訊息真確性之鑑別必要時應採用訊息鑑別機制，保護訊息內容的完整性。較適用於第一群不適用A.12.2.4資料輸出控管應用系統的資料輸出需經過確認，確保處理程序的正確性與適當性。 A.12.3加密控制措施較適用於第一群資訊安全管理制度內部

26、稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.016條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與說明稽核發現與說明 A B C D E A.12.3.1資料加密必須發展加密控制措施保護資訊之政策。較適用於第一群不適用A.12.3.2憑證機構之技術安全以一套公認之標準、流程及方法為金鑰管理系統之基礎，支援加密技術之運用。較適用於第一群不適用A.12.4系統檔案安全A.12.4.1作業軟體控制需建立作業系統各個軟體實施的管制程序，避免軟體影響作業系統之完整。 A.12.4.2系統測試資料之保護系統之測試資料須予以保護與控管。較適用於第一群不

27、適用A.12.4.3原始程式庫資源之存取控制原始程式庫 (Source Library)的存取必須採取嚴格的控制措施，避免在存取原始程式庫的程序中，造成原始程式庫的損毀。較適用於第一群不適用A.12.5開發與支援作業的控制較適用於第一群A.12.5.1變更作業之控制程序實施變更作業應依循嚴格的變更管制措施。較適用於第一群不適用A.12.5.2作業系統變更之技術評估應用系統必須有所變更時，需進行必要之技術審核及測試。較適用於第一群不適用資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.017條款條款章節章節依據條文依據條文稽核評分稽

28、核評分稽核發現與說明稽核發現與說明 A B C D E A.12.5.3套裝軟體變更限制避免修改套裝軟體，有必要修改時需採取嚴格管制。較適用於第一群不適用A.12.5.4資訊洩漏控制預防施行單位資訊遭洩漏的危機，制定適當的控管措施。較適用於第一群不適用A.12.5.5軟體委外開發軟體之委外、使用需採取適當之管制及檢查。較適用於第一群不適用A.12.6系統弱點管理較適用於第一群A.12.6.1系統弱點控制應及時取得有關針對系統弱點的資訊，並評估該弱點暴露的程度及所造成的可能危機。較適用於第一群不適用A.13 資訊安全事件之反應及處理A.13.1資訊安全事件與弱點之

29、通報A.13.1.1資訊安全事件與弱點通報資安事件需即刻進行通報。 A.13.2資訊安全事件之管理資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.018條款條款章節章節依據條文依據條文稽核評分稽核評分稽核發現與說明稽核發現與說明 A B C D E A.13.2.1資安事件處理責任與程序建立應建立處理資訊安全事件之作業程序，並課予相關人員必要的責任，以便迅速有效處理機關資訊安全事件。 A.13.2.2從資安事件中學習監控並紀錄事件的過程與結果，必要時進行檢討會議，討論改善之事宜。 A.13.2.3資安事件證據之收集電腦稽核軌跡及相關的證據

30、，應以適當的方法保護。 A.14 業務永續運作管理較適用於第一群A.14.1永續運作管理之規劃較適用於第一群A.14.1.1業務永續運作之規劃程序施行單位應建立業務永續運作之程序及架構，鑑定測試及維護之優先順序，訂定與維護永續運作之計畫。較適用於第一群不適用A.14.1.2永續運作計畫之測試及更新永續運作計畫應進行測試與維護，確保該計畫的有效性。較適用於第一群不適用A.15相關法規與施行單位政策之符合性A.15.1法規之遵守資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.019條款條款章節章節依據條文依據條文稽核評分稽核評分稽核

31、發現與說明稽核發現與說明 A B C D E A.15.1.1適用法規之鑑別蒐集相關法律條文（智慧財產權、資料隱私保護及其他相關法規）、管理規定及合約要求，了解與資訊處裡設施、軟體系統的關係，並予以書面或其他方式留存。 A.15.1.2適用法規之遵循需制定適當的流程與管制，保護重要紀錄，並確保遵守智慧財產權、個人資料保護及隱私等條文規範，防止資訊處理設施遭不當之使用。 A.15.2安全政策與技術符合性之檢驗A.15.2.1確保遵守安全政策與規範確保單位內所有區域或作業流程皆定期審查及確保遵守安全政策及規範。 A.15.2.2資訊系統符合性審查為確保資訊系統之運行符合既定之安全實施標準，應進行定期的審查，並予以書面或其他方式留存。 A.15.3系統稽核的考量A.15.3.1系統稽核控制為避免作業系統稽核造成系統中斷的危險，應進行審慎、一致的規劃；必要時可向外部專家顧問尋求協助。 A.15.3.2系統稽核工具之保護系統稽核之相關工具需建立適當的保護措施，並視需求設立備援及緊急應變方案。資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.020資訊安全組組員：資訊安全組組長：

展开阅读全文