|
一、臺中縣政府(以下簡稱本府)及各附屬機關為維護資訊設備、網路、
系統及資料使用安全,並落實執行資訊機密維護及稽核安全稽核工作
,建立安全及可信賴之電子化政府,特訂定本要點。
|
|
二、本府及各附屬機關辦理資訊安全稽核作業依本要點之規定;本要點未
規定者,準用行政院及所屬各機關資訊安全管理要點之規定。
|
|
三、本府政風處及各附屬機關政風單位應會同資訊單位及相關單位實施資
訊安全稽核作業。
|
|
四、資訊安全稽核區分如下:
(一)外部稽核:指由上級機關對所屬機關或邀集專家、學者及相關機關
共同組成跨機關稽核小組規劃辦理之稽核作業。
(二)內部稽核:指本機關對內部單位自行規劃辦理之稽核作業。
|
|
五、實施稽核作業,得調閱有關資料、實地測試及檢查資訊軟、硬體設備
使用情形。必要時,應由資訊相關人員或本府資訊處資訊安全稽核師
(主導稽核師 Lead Auditor) 提供說明及專業諮詢意見。
|
|
六、資訊安全稽核作業實施範圍,應以系統存取控制管理為主,參酌機關
資訊現況,針對下列事項,稽核其系統存取有無異狀及實施情形是否
符合相關法令之規定:
(一)資產管理。
(二)人力資源安全。
(三)實體與環境安全。
(四)通訊與作業安全。
(五)存取控制。
(六)其他資訊安全管理事項。
|
|
七、資訊安全稽核作業程序如下:
(一)綜合分析本機關資訊系統特性、系統存取政策、系統異常存取狀況
及授權規定或其他使用管理規定,據以研(修)訂稽核項目,擬訂
稽核計畫陳報機關首長核可後實施。
(二)計畫內容包括:計畫目的、稽核日期與行程、稽核範圍、稽核對象
、稽核項目、稽核組織與權責、稽核作業方式、評核原則與報告撰
寫及處理等。
(三)依據稽核結果就優缺點及改進措施提出書面報告,陳報機關首長,
並協調缺失單位確實檢討改進,必要時實施複查。
(四)前款報告內容包括:稽核時間、受稽核單位、稽核結果處理及建議
事項等。
|
|
八、本府及各附屬機關得視業務實際需要實施定期與不定期稽核,對不合
於安全規定或有顧慮人員,應調整或調離其職務。
|
|
九、各附屬機關得依據本要點規定,審酌本機關主管業務性質、預算額度
及實際需要,會同資訊及業務相關單位訂定本機關資訊安全稽核作業
之規定。
|