法規內容:
一、臺中市政府地方稅務局(以下簡稱本局)為提升整體之資訊安全,進而
使內部組織及內部控制達到最佳化,特訂定本計畫。
二、依據(一)財政部財稅資料中心九十七年十月編印之「財稅資訊處理
手冊—稽核管理」。 (二)ISO/IEC 27001 2005(E) Information
Technolog─Security Techniques─Information Security
Management Systems Requirements。 (三)本局「MS-2-04 資訊安
全稽核作業程序書」。
三、範圍 總局及八分局。
四、查核項目 計十一大項,各項查核內容詳「MS-4-19資訊安全管理系統
稽核查檢表」。 (一)資訊安全政策。 (二)組織內部資訊安全。
(三)資產管理。(四)人力資源安全。(五)實體與環境安全。
(六)通訊與作業管理。(七)存取控制。(八)資訊系統取得、開
發與維護。(九)資訊安全事件管理。(十)業務持續運作管理。(
十一)法規遵循。
五、查核時程 (一)每半年執行一次內部稽核。(二)配合驗證公司排
定日期辦理外部稽核。
六、稽核人力及分工
(一) 由本局具有ISO-27001主導稽核員證照人員組成資訊安全稽核小組
,政風室主任擔任執行長,設立稽核分組、矯正預防分組、有效性量測分
組,分工如下:
1、稽核分組 依據本局「MS-2-04 資訊安全稽核作業程序書」規定,執行
資通安全稽核。 2、矯正預防分組
(1)依據本局「MS-2-09 矯正預防措施管理程序書」規定,對矯正與預防
措施之執行狀況做效果確認。
(2)針對本局及第三方稽核結果進行追蹤。
3、有效性量測分組
(1)依據本局「MS-3-14資訊安全管理系統量測指標作業說明書」規定,
針對資訊安全管理系統控制措施進行有效性量測。
(2)針對本局資安治理成熟度進行評估。
(二) 由資訊安全稽核小組執行長召集成員辦理內部稽核,資訊安全稽
核小組各分組組長與成員每年由資訊科擬訂,簽請局長核定。
(三) 配合驗證公司查核單位,由資訊安全稽核小組稽核分組A組、B組
派員配合辦理。
七、查核方式
(一) 依據本局「MS-2-04資訊安全稽核作業程序書」及「MS-4-19資訊
安全管理系統稽核查檢表」規定辦理內部稽核。
(二) 配合上級機關或驗證公司稽核方式辦理外部稽核。
八、查檢配合事項
(一) 資訊安全稽核小組及受檢單位應依作業權責與配合事項先行就受
檢業務進行溝通與瞭解。
(二) 受檢單位應指派相關人員充分協助稽核業務之執行。
(三) 凡屬稽核範圍之案卷、簿籍、憑證、紀錄及財物等,非經奉准不
得拒絕查核,非因特殊狀況不得藉故拖延送核。
(四) 各有關業務主管或承辦人,對資訊稽核人員所詢問稽核事項,應
即時據實說明,以利有效完成協調及確認。
九、報告追蹤列管
(一) 完成各項稽核工作後,應撰寫書面資訊稽核報告陳報 局長核閱。
(二) 受稽單位對應行改進事項,應儘速採取適當措施,並將辦理情形
簽報移請資訊安全稽核小組列管追蹤改進情形。