一、為強化本處之資訊安全管理作業建立安全及可信賴之電子化政府,確保資
訊系統、設備及網路安全,保障民眾權益,特訂本要點。
二、本處政風室會同資訊小組訂定資訊安全稽核項目,定期實施資訊安全稽核
,並由政風室辦理秘書作業。
三、實施稽核得調閱有關資料、實地測試或檢查資訊軟硬體設備使用情形,並
請相關資訊作業人員提供說明。
四、資訊安全稽核之查核範圍,包含資訊安全政策制定、資訊安全組織與權責
、人員安全管理及資訊安全教育訓練、電腦系統安王管理、網路安全管理
、系統存取控制管理、系統發展及維護安全管理、資訊資產安全管理、實
體及環境安全管理、業務永續運作計畫之規劃及管理等事項,並應查核其
實施情形是否符合相關法令之規定。
五、資訊安全稽核作業程序:
(一)本處由政風室協調資訊小組,綜合分析本處員工使用資訊系統之安全
警覺程度、主客觀環境及各項電腦相關軟硬體設備、影響資訊安全事
件之改善情形等,擬訂年度稽核計畫陳報處長後會同資訊小組實施。
(二)計畫內容包含:稽核時間、稽核時間、受稽核單位與人員、稽核人員
編組、稽核方法進行程序、稽核結果經濟部中小企業處資訊安全稽核
作業要點處理、行政支援事項等。
(三)依據稽核結果就優缺點及改進措施提出書面意見,陳報處長,並協調
缺失單位確實檢討改進,必要時再由政風室會同資訊小組實施複查。
六、本處資訊安全稽核作業,每年實施一至二次,並得視需要隨時實施不定期
抽檢。
七、本作業要點奉核定後實施,修正亦同;如有未盡事宜,依本處相關規定辦
理。