|
一、臺中市政府(以下簡稱本府)為維護資訊設備、網路、系統及資料使用安全,並落實執行資訊機密維護及資訊安全稽核工作,建立安全及可信賴之電子化政府,特訂定本要點。
|
|
二、本府各機關辦理資訊安全稽核作業依本要點之規定;本要點未規定者,準用行政院及所屬各機關資訊安全管理要點之規定。
|
|
三、各機關政風單位應會同資訊及相關單位實施資訊安全稽核作業。
|
|
四、實施稽核作業,得調閱有關資料、實地測試及檢查資訊軟、硬體設備使用情形。必要時,應由資訊相關人員或資訊安全稽核師(主導稽核師Lead Auditor)提供說明及專業諮詢意見。
|
|
五、資訊安全稽核作業實施範圍,應以系統存取控制管理為主,參酌機關資訊現況,針對下列事項,稽核其系統存取有無異狀及實施情形是否符合相關法令之規定:
(一)資產管理。
(二)人力資源安全。
(三)實體與環境安全。
(四)通訊與作業安全。
(五)存取控制。
(六)其他資訊安全管理事項。
|
|
六、資訊安全稽核作業程序如下:
(一)綜合分析機關資訊系統特性、系統存取政策、系統異常存取狀況及授權規定或其他使用管理規定,據以研(修)訂稽核項目,擬訂稽核計畫陳報機關首長核可後實施。
(二)計畫內容包括:計畫目的、稽核日期與行程、稽核範圍、稽核對象、稽核項目、稽核作業方式、評核原則與報告撰寫及處理等。
(三)依據稽核結果就優缺點及改進措施提出書面報告,陳報機關首長,並協調缺失單位確實檢討改進,必要時得實施複查。
(四)前款報告內容包括:稽核時間、受稽核單位、稽核結果處理及建議事項等。
|
|
七、各機關得視業務實際需要實施定期與不定期稽核,對於未符安全規定或有顧慮人員,應調整或調離其職務。
|