1、資訊安全管理制度內部稽核表文件編號 HCHS-ISMS-D-047 機密等級 限閱 版本 1.01紀錄編號: 填表日期: 年 月 日評分標準說明:A:相關資訊安全管理制度規範已建立,且落實執行B:相關資訊安全管理制度規範未建立,但已實施替代性資安控管措施C:相關資訊安全管理制度規範已建立,但未落實執行D:相關資訊安全管理制度規範未建立,且未實施替代性資安控管措施E:不適用稽核項目 規範本文稽核評分條款章節 依據條文 A B C D E 稽核發現與說明陸、 關於適用性聲明(Statement of Applicability)本標準之設計為適用於教育體系與相關單位,但鑑於類型、規模、資源、業務性
2、質等因素,若本標準列出之任何條款無法適用於某單位時,可考慮予以排除,但必須在不影響該單位提供資訊安全能力與責任之情況下,並提出理由。在建置完該單位之 ISMS 後,必須提出符合的適用性聲明,其中應包含選擇之控制目標與控制措施項目與理由,以及排除條款之內容、理由,作為稽核時的依據。 資訊安全管理制度內部稽核表文件編號 HCHS-ISMS-D-047 機密等級 限閱 版本 1.02條款章節 依據條文稽核評分 稽核發現與說明A B C D E捌、 關於資訊安全管理系統 (ISMS)建置步驟捌、三ISMS 之建立:依據該單位之類型、規模、資源、業務性質等特性,定義 ISMS 之範圍;考慮相關法律、法規
3、,以及合約之要求,於適度評估風險及應對措施後,訂出經由管理階層核准之ISMS 政策,並擬定一份適用性聲明書文件。 捌、四ISMS 之實施與操作:施行單位應確實實施控制措施,以符合控管的目標,並執行訓練與認知計畫,確保偵測安全事件的能力,以及迅速回應和應對處理的時效。 捌、五ISMS 之監控及審查:施行單位應針對 ISMS 進行監控程序與其他控制措施,即時鑑別資安事件的發生、處理順序與解決方法;定期審查 ISMS 之有效性(建議一學年至少一次) ,並將相關有顯著影響之活動與事件記錄下來。 捌、六ISMS 之維持及改進:施行單位應定期實行改進活動,採取適當的矯正與預防措施,並得到管理階層之同意,並
4、確保各項措施達到預期目標。 玖、 關於資訊安全管理系統 (ISMS)建置需求玖、七文件要求:關於 ISMS 文件化(電子檔案或紙本) ,必須包含安全政策、安全目標、ISMS 範圍、適用性聲明、資安事件記錄,以及其他有助於提升 ISMS 成效之文件;上述之文件需接受保護與管制,並定期的審查及更新,確保文件之最新版本;任何過期文件需保留或銷毀,應予以適當的鑑別。 資訊安全管理制度內部稽核表文件編號 HCHS-ISMS-D-047 機密等級 限閱 版本 1.03條款章節 依據條文稽核評分 稽核發現與說明A B C D E玖、八管理階層責任:施行單位之管理階層,最為重要的是給予承諾及實際的支持,並適度
5、的提供資源以助 ISMS 程序的進行,必要時審查 ISMS 的控制措施與有效性;另外,確保於 ISMS 範圍內之員工,具備足夠之能力及認知,並定期進行教育訓練。 玖、九管理階層審查:管理階層應在規劃期間內,審查該單位的 ISMS與適用範圍,確保其持續的適用性、適切性及有效性;其中應審查包含變更需求與改進時機,並將其結果確實文件化。 玖、十ISMS 之改進:ISMS 的改進是持續的,必須藉由各資安事件與審查結果,做出適度的反應與改進,持續系統之有效性;另外,對應的矯正措施以及防範未然的預防措施,亦須予以制定並文件化。 資訊安全管理制度內部稽核表文件編號 HCHS-ISMS-D-047 機密等級
6、限閱 版本 1.04稽核項目 控制目標與控制項目稽核評分條款章節 依據條文 A B C D E 稽核發現與說明A5 資訊安全政策訂定與評估A.5.1 資訊安全政策訂定與評估A.5.1.1 資訊安全政策制定資訊安全政策應參考資安相關法令及施行單位業務上的需求,並經由管理階層核准,以適當方式向所有員工公佈與宣導,在必要時告知相關單位及合作廠商,以利共同遵守。 A.5.1.2 資訊安全政策評估面對資安事件的發生、資安相關法令與其他影響因素的改變時,資訊安全政策應進行即時的評估,並定期審查政策的可行性與有效性。 A6 資訊安全組織A.6.1 資訊安全組織推動與權責A.6.1.1 資訊安全組織推動以及權
7、責之分配由管理階層舉辦定期之資訊安全會報,召集相關單位代表進行工作與責任的分屬,確保資安相關計畫的進行,並展現管理階層的支持。 A.6.1.2 資訊設施使用之授權資訊處理設備的移轉(包含新設備) ,應由權責主管人員進行授權、移交的程序,確保該設備後續的順利運作及責任所屬。 資訊安全管理制度內部稽核表文件編號 HCHS-ISMS-D-047 機密等級 限閱 版本 1.05條款章節 依據條文稽核評分 稽核發現與說明A B C D EA.6.1.3 保密條款之簽訂施行單位之員工(包含正職員工、臨時雇員)應簽署獨立或包含保密條款之合約,確保其了解應有之資安責任與相關限制。 A.6.1.4 跨單位合作及
8、協調為確保資訊安全作業的順利運行,需與執法機關、主管機構、資訊服務廠商及電信公司建立適當的溝通管道。 A.6.1.5 資訊安全諮詢與顧問在必要時,須向單位內部專業人員或外部專業諮詢人員徵詢、協調資訊安全建議。 A.6.1.6 資訊安全政策的獨立檢視機關制訂之資訊安全政策,應進行獨立及客觀的評估。 A.6.2 施行單位外部人員存取安全管理A.6.2.1 施行單位外部人員存取之安全掌控面對外部人員存取施行單位資訊處理設施的可能風險,應視狀況採取適當的安全控制措施,並條列安全規定於正式合約中。 A.7 資訊資產分類與管制A.7.1 資訊資產分類與責任分屬A.7.1.1 資訊資產目錄建立應製作所有資訊
9、資產之清冊,並定期維護、更新。 A.7.1.2 資訊安全等級分類資訊資產應進行分級與標示,並考量重要資產的需求,於必要時制定保護措施及處理流程。 資訊安全管理制度內部稽核表文件編號 HCHS-ISMS-D-047 機密等級 限閱 版本 1.06條款章節 依據條文稽核評分 稽核發現與說明A B C D EA.8 人員安全管理與教育訓練A.8.1 聘任前之處理A.8.1.1 所屬角色與責任施行單位之員工、廠商及第三方使用者的資訊安全角色及責任應適需求以書面或其他方式清楚定義,並與資訊安全政策一致。 A.8.2 聘用中之處理A.8.2.1 資訊安全教育訓練施行單位內所有員工、合作廠商與第三方使用者應
10、接受適當之資安訓練與有關資安政策、程序之宣導課程。 A.8.2.2 違反規定之處理依據既定之條款或合約,違反施行單位之資訊安全政策與程序之人員,應予以適當之懲處。 A.8.3 結束聘任或改變職務A.8.3.1 結束聘用之處理負責執行結束聘用或改變職務之權責,其職掌應清楚定義並指派。 A.8.3.2 資產繳回 離職時,應有正式的資產繳回程序,顯示其已繳回單位資產。 A.8.3.3 存取權移除 所有員工、合約商及第三方使用者的存取權限應根據既有的規範或協定進行移除或改變。 A.9 實體與環境安全A.9.1 區域之安全資訊安全管理制度內部稽核表文件編號 HCHS-ISMS-D-047 機密等級 限閱
11、 版本 1.07條款章節 依據條文稽核評分 稽核發現與說明A B C D EA.9.1.1 實體環境安全施行單位應採用適當防護措施保障資訊處理設施所在區域(機房設備、人員辦公區域)的安全。 A.9.1.2 人員進出控制施行單位應實施控制措施,確保只有授權人員可以進出安全區域。 A.9.1.3 資訊處理設施安全在資訊處理設施所在區域工作,應採取適當的控制措施與指引,確保該區域的安全性。 A.9.2 設備之安全A.9.2.1 設備安置地點之保護措施施行單位應安置或保護設備,降低環境之威脅、災害,以及未授權存取所造成的可能損失。 A.9.2.2 電源供應 施行單位應保護資訊處理設備,降低電力故障或異
12、常的影響。 A.9.2.3 電纜線安全防護施行單位應保護通訊纜線及資訊處理設備之電源,降低受竊聽或破壞的可能損失。較適用於第一群 不適用A.9.2.4 設備之維護 資訊處理設備應予以適當的維護,確保其持續運作。 A.9.2.5 設備報廢與再使用資訊處理設備在報廢或再使用的過程中,應避免內存資料的外洩,進行必要之清除動作。 資訊安全管理制度內部稽核表文件編號 HCHS-ISMS-D-047 機密等級 限閱 版本 1.08條款章節 依據條文稽核評分 稽核發現與說明A B C D EA.9.2.6 預防未經授權之移動施行單位所屬之設備、資訊或軟體未經授權禁止移動。 A.10 通訊與作業安全管理A.1
13、0.1 作業程序與責任A.10.1.1 作業程序文件化安全政策所規定之作業程序,應文件化並定期維護。 A.10.1.2 作業變更之管理資訊處理設施、系統之變更,應進行管制。 A.10.1.3 資訊安全責任之分散職務與責任範圍需予區分,降低資訊或服務遭未授權修改或誤用之機會。較適用於第一群 不適用A.10.1.4 系統發展、測試及實務作業之分散開發或測試用之設備、軟體轉換至作業狀態,應制定規則分隔開來,並加以文件化。較適用於第一群 不適用A.10.2 資訊作業委外服務之安全管理A.10.2.1 資訊作業服務之管控施行單位執行資訊業務委外時,應與廠商簽訂適當的資訊安全協定及課予相關的安全管理責任,
14、納入契約條款。 A.10.2.2 服務之監控與審查施行單位應監視和審查廠商提供的服務,確保服務標準達到協議的要求。 資訊安全管理制度內部稽核表文件編號 HCHS-ISMS-D-047 機密等級 限閱 版本 1.09條款章節 依據條文稽核評分 稽核發現與說明A B C D EA.10.2.3 廠商服務異動面對廠商服務異動的管理程序,應注意相關的系統及程序,確實的掌控以避免導致新資安危機。較適用於第一群 不適用A.10.3 系統規劃與驗收A.10.3.1 系統作業容量之規劃施行單位應適時預估系統容量需求,確保有充分處理資料與儲存的空間。較適用於第一群 不適用A.10.3.2 新系統上線作業之安全評
15、估新資訊系統、系統升級與新版本正式上線前應予以適當的測試,建立固定的驗收程序。 A.10.4 電腦病毒、惡意軟體A.10.4.1 電腦病毒及惡意軟體之控制施行單位應進行防備電腦病毒與惡意軟體之偵測及預防的控制措施,以及使用者認知程序。 A.10.5 備份作業之管控A.10.5.1 資料備份 重要資訊與軟體應進行定期的備份。 A.10.6 網路安全管理較適用於學術網路系統資訊安全管理制度內部稽核表文件編號 HCHS-ISMS-D-047 機密等級 限閱 版本 1.010條款章節 依據條文稽核評分 稽核發現與說明A B C D EA.10.6.1 網路安全規劃與管理應實施網路控制措施,維護網路安全
16、。 A.10.6.2 網路服務之安全控制使用公用或私用網路,應評估網路服務提供者之安全措施是否足夠,並提供明確的安全措施說明,另應考量使用該項網路對維持機關資料傳輸機密性、資料完整性及可用性等各種安全影響。 A.10.7 儲存媒體的處理與安全A.10.7.1 電腦媒體之安全管理電腦儲存媒體、可攜式媒體或印出報表,應制定控管措施。 A.10.7.2 電腦媒體處理之安全應訂定電腦媒體的處理作業程序,以降低可能的安全風險。 A.10.7.3 資料檔案之保護重要資料檔案應進行控管,並安全的保存。 A.10.7.4 系統文件之安全重要系統文件應受到保護,避免未授權之存取。 A.10.8 資訊與軟體交換A.10.8.1 資訊與軟體交換安全政策與協定單位間交換資訊與軟體的行為(具機密性或敏感性內容)應有安全保護措施及協議規範,必要時制定正式合約。
