返回
內部稽核表 - 圖書館

內部稽核表 - 圖書館

ID:40271566

大小:239.00 KB

页数:19页

时间:2019-07-30

內部稽核表 - 圖書館_第1页
內部稽核表 - 圖書館_第2页
內部稽核表 - 圖書館_第3页
內部稽核表 - 圖書館_第4页
內部稽核表 - 圖書館_第5页
资源描述:

《內部稽核表 - 圖書館》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.0紀錄編號:╴╴╴╴╴╴╴╴╴填表日期:  年  月  日評分標準說明:A:相關資訊安全管理制度規範已建立,且落實執行B:相關資訊安全管理制度規範未建立,但已實施替代性資安控管措施C:相關資訊安全管理制度規範已建立,但未落實執行D:相關資訊安全管理制度規範未建立,且未實施替代性資安控管措施E:不適用稽核項目–規範本文條款章節依據條文稽核評分稽核發現與說明ABCDE陸、關於適用性聲明(StatementofApplica

2、bility)本標準之設計為適用於教育體系與相關單位,但鑑於類型、規模、資源、業務性質等因素,若本標準列出之任何條款無法適用於某單位時,可考慮予以排除,但必須在不影響該單位提供資訊安全能力與責任之情況下,並提出理由。在建置完該單位之ISMS後,必須提出符合的適用性聲明,其中應包含選擇之控制目標與控制措施項目與理由,以及排除條款之內容、理由,作為稽核時的依據。□□□□□19資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.0捌、關於資訊安全管理系統(ISMS)建置步驟捌

3、、三ISMS之建立:依據該單位之類型、規模、資源、業務性質等特性,定義ISMS之範圍;考慮相關法律、法規,以及合約之要求,於適度評估風險及應對措施後,訂出經由管理階層核准之ISMS政策,並擬定一份適用性聲明書文件。□□□□□捌、四ISMS之實施與操作:施行單位應確實實施控制措施,以符合控管的目標,並執行訓練與認知計畫,確保偵測安全事件的能力,以及迅速回應和應對處理的時效。□□□□□捌、五ISMS之監控及審查:施行單位應針對ISMS進行監控程序與其他控制措施,即時鑑別資安事件的發生、處理順序與解決方法;

4、定期審查ISMS之有效性(建議一學年至少一次),並將相關有顯著影響之活動與事件記錄下來。□□□□□捌、六ISMS之維持及改進:施行單位應定期實行改進活動,採取適當的矯正與預防措施,並得到管理階層之同意,並確保各項措施達到預期目標。□□□□□玖、關於資訊安全管理系統(ISMS)建置需求玖、七文件要求:關於ISMS文件化(電子檔案或紙本),必須包含安全政策、安全目標、ISMS範圍、適用性聲明、資安事件記錄,以及其他有助於提升ISMS成效之文件;上述之文件需接受保護與管制,並定期的審查及更新,確保文件之最新

5、版本;任何過期文件需保留或銷毀,應予以適當的鑑別。□□□□□19資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.0玖、八管理階層責任:施行單位之管理階層,最為重要的是給予承諾及實際的支持,並適度的提供資源以助ISMS程序的進行,必要時審查ISMS的控制措施與有效性;另外,確保於ISMS範圍內之員工,具備足夠之能力及認知,並定期進行教育訓練。□□□□□玖、九管理階層審查:管理階層應在規劃期間內,審查該單位的ISMS與適用範圍,確保其持續的適用性、適切性及有效性;其中應

6、審查包含變更需求與改進時機,並將其結果確實文件化。□□□□□玖、十ISMS之改進:ISMS的改進是持續的,必須藉由各資安事件與審查結果,做出適度的反應與改進,持續系統之有效性;另外,對應的矯正措施以及防範未然的預防措施,亦須予以制定並文件化。□□□□□19資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.0稽核項目–控制目標與控制項目條款章節依據條文稽核評分稽核發現與說明ABCDEA5資訊安全政策訂定與評估A.5.1資訊安全政策訂定與評估A.5.1.1資訊安全政策制定

7、資訊安全政策應參考資安相關法令及施行單位業務上的需求,並經由管理階層核准,以適當方式向所有員工公佈與宣導,在必要時告知相關單位及合作廠商,以利共同遵守。□□□□□A.5.1.2資訊安全政策評估面對資安事件的發生、資安相關法令與其他影響因素的改變時,資訊安全政策應進行即時的評估,並定期審查政策的可行性與有效性。□□□□□A6資訊安全組織A.6.1資訊安全組織推動與權責A.6.1.1資訊安全組織推動以及權責之分配由管理階層舉辦定期之資訊安全會報,召集相關單位代表進行工作與責任的分屬,確保資安相關計畫的進行

8、,並展現管理階層的支持。□□□□□A.6.1.2資訊設施使用之授權資訊處理設備的移轉(包含新設備),應由權責主管人員進行授權、移交的程序,確保該設備後續的順利運作及責任所屬。□□□□□19資訊安全管理制度內部稽核表文件編號HCHS-ISMS-D-047機密等級限閱版本1.0A.6.1.3保密條款之簽訂施行單位之員工(包含正職員工、臨時雇員)應簽署獨立或包含保密條款之合約,確保其了解應有之資安責任與相關限制。□□□□□A.6.1.4跨單位合作及協調為確保資

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。