返回
资通安全外部稽核暨自我评审检查表

资通安全外部稽核暨自我评审检查表

ID:45622190

大小:49.86 KB

页数:10页

时间:2019-11-15

资通安全外部稽核暨自我评审检查表_第1页
资通安全外部稽核暨自我评审检查表_第2页
资通安全外部稽核暨自我评审检查表_第3页
资通安全外部稽核暨自我评审检查表_第4页
资通安全外部稽核暨自我评审检查表_第5页
资源描述:

《资通安全外部稽核暨自我评审检查表》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、九十八年度資通安全稽核暨自我評審檢查表填報罩位填報人聯絡電話E-Mail:填報日期:中華民國年)1.風險評鑑與管理(資訊安全組織、業務及資訊單位)自矜営審是否適用1.11.21.31.41.61.71.81.9是否鑑別適用範圍內之所有資訊資產以及其擁有者?是否鑑別所有資產可能遭遇之威脅?是否鑑別所有資產可能之脆弱點?是否鑑別資產可能因威脅發生而喪失機密性、完整性與可用性之衝擊?是否評鑑因發生安全事件而可能對組織造成之傷害及產生之後果?是否評鑑安全事件發生之可能性或機率?是否評鑑所有資產可能發生風險之等級?是否確定組織可接受風險之等級?是

2、否評鑑出所有可降低風險之控制措施?□□□□□□□□□□□□□□□□□□□□□□□□□□□□□1.10對於需要控管之風險是否依其重要性決定其處理之優先順序?1.11是否制定風險處理計畫並根據該計畫導入控制措施以降低風險?1.12是否建立系統異常、病毒及入侵等資安事件之監控機制?1.13是否有書面的風險評鑑報告?1.14是否有訂定文件管制程序以確保所有與資訊安全管理系統相關之文件及紀錄皆受到適當之保護與管制?1.15所鑑別出風險之可接受等級是否由管理階層決定?□□□□□□□□□□□□□□□□□□□□□□□□2.資訊安全政策與安全組織:訊安全

3、組織、人事及資訊單位)2.12.2是否已規劃並定義出符合組織需要之資訊安全管理系統之適用範規劃之資訊安全管理系統是否考量組織之整體業務活動及其相關風險?2・3組織是否訂有資訊安全政策?2.4組織之資訊安全政策文件是否由管理階層核准並正式發布且轉知所有員工?2.5資訊安全政策文件是否包括資訊安全定義、目標、範圍、實施內容、執行組織、權責分工、員工責任、事件通報程序、處理流程及違反安全政策的後果等?2.6是否指定專人或專責單位進行資訊安全政策維護及檢討?2.7組織是否對資訊安全政策、目標之適切性及有效性,定期作必要之審查及調整?2.8是否時

4、公告資訊安全相關訊息?□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□2・9是否指定適當權責之高階主管負責資訊安全管理系統之協調、推動及督導等事項?2.10是否成立跨部門之資訊安全推行組織負責推動、協調監督及審查資訊全管理事項?2.11是否指定專人或專責單位'分

5、別辦理資安政策、計畫、措施之研議'資料、資訊系統之使用管理及保護,資安稽核等資安工作事項?2.12是否依一般使用者、系統管理者、系統擁有者等不同職務分別訂定其安全責任?2.13是否訂定規範員工的資訊安全作業程序與權責(含經管使用設備及作業須知)?2.14是否訂定各項資訊設備的安全作業程序及授權處理層級?2.15重要資訊處理人員是否簽署保密協議並定期審查?2.16是否與相關單位如主管機關、資訊服務廠商、檢警單位、電力單位、電信單位及防救災單位建立聯絡管道?2.17是否與外界資安專家學者、資安於取得資安技術、產品或程序等資訊。2.18是否定

6、期或安實作發生重大變更時'召開管理審查會議,獨立審查資訊安全政策、目標、程序及控制措施?2.19單位內因業務需要開放給外部使用者(含其他機關、往來業者、維護廠商、委外承包商、臨僱人員及一般民眾)之資訊,是否作風險鑑別'並於契約或規定中包含資料保護、資訊保密、服務水準、智慧財產權、事故發生處理及違反處理等條款?2.20委外契約中是否包含法律需求(如電腦處理個人資料保護法)、界定雙方有關人員權責、使用安全控管措施及作業程序、對委外廠商資安稽核權等條文?3・資產管理(資訊及總務單位)3.13.23.33.4是否有資產清冊'清冊並應隨時維護更新

7、?各項資產是否均有明確的管理者及使用者?是否訂有資訊分級(區分機密性、敏感性及一般性)標示與處理之相關規範?資訊是否予以分級並作標示管理?□□□□□□□□□□□□□□□□□□□□□□□□□□□□□4.人力資源安全(人事・資訊及業務單位)□□□□□□□□4.54.64.74.8員工應盡之安全責任是否納入其工作說明書或系統文件?對人員之進用及調派'是否作適當之安全評估?員工或第三方使用者是否簽署保密協議並均知保密事項?對於可存取機密性、敏感性資訊或系統之員工以及配賦系統存取特別權限之員工是否有妥適分工'分散權責?員工是否瞭解單位之資訊安全政

8、策及應負之責任?員工(含第三方使用者)是否依職務層級進行適當的資訊安全教育訓練?是否訂有員工違反組織安全政策與程序之懲處規定?針對人員(含第三方使用者)之調動、離職或退休'是否立即取消或調整其識別碼、通行碼

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。