资通安全外部稽核自我评审表-农委会.PDF

附表三 資通安全外部稽核（自我評審）表 受查單位： 稽查日期： 年 月 日 自我評審 查核員評量 查 核 項 目 不 完整性 不 是 否 適 非 尚 不 適 用 常 屬 盡 用 1 資訊安全政策 □ □ □ □ 1.1管理階層是否瞭解資訊安全目的並予支持？ □ □ □ □ □ □ □ 1.2貴機關之資訊安全政策文件是否由管理階層核准並正式發 □ □ □ □ □ □ □ 布且轉知所有員工？ 1.3貴機關是否訂有資訊安全政策的說明文件及資料(如作業 □ □ □ □ □ □ □ 程序、資訊安全控管文件、使用者應遵守的安全規則)？ 1.4資訊安全政策文件是否包括資訊安全定義、目標、涵蓋範 □ □ □ □ □ □ □ 圍、實施內容、執行組織、權責分工、員工責任、事件通 報程序、處理流程等？ 1.5資訊安全政策文件是否就一般使用人員與專責人員之權責 □ □ □ □ □ □ □ 分項說明？ 1.6是否指定專人或專責單位進行資訊安全政策的維護及檢討 □ □ □ □ □ □ □ 工作？ 1.7資訊安全政策是否定期評估，並作必要調整？ □ □ □ □ □ □ □ 1.8是否定期對單位人員及資訊設備進行安全評估，以確定其 □ □ □ □ □ □ □ 是否遵守機關資訊安全政策及相關規定？ 1.9是否訂有違反資訊安全規定之處理程序？ □ □ □ □ □ □ □ 1.10與外單位簽訂資料存取之契約中是否包含資料保護、服務 □ □ □ □ □ □ □ 水準、智慧財產權、事故發生處理方式等條款？ 1.11委外契約中有關安全需求內容是否包含法律需求(如電腦 □ □ □ □ □ □ □ 處理個人資料保護法)、界定雙方有關人員權責、使用何 種實體與邏輯安全控管措施、對委外廠商稽核權、得依實 際需要隨時修改安全控管措施及作業程序等？ 2 建立資訊安全組織 □ □ □