法規內容:
一、經濟部 (以下簡稱本部 )為辦理資通安全管法 (以下簡 稱本法 ) 第十三條所定 特定本要點。
二、本部及所屬公務機關(以下簡稱稽核機關 )應依所管公務 機關提報之 資通安全維護計畫實施情形,於每年五 月前擇定所管公務機關 ( 以下簡稱受稽核機關 ),以現 場實地 查核方式,稽其 資通安全維護計畫實施情 形結果及其他資 通安全相關等因素,擇定受稽核機 與結果及其他資通安全相關等因素,擇定受稽核機 與結果及其他資通安全相關等因素,擇定受稽核機 與結果及其他資通安全相 關等因 素,擇定受稽核機關。
三、稽核機關辦理前點應訂定計畫,其內容包括 稽核依據與目的、期間小組成方式保密 義務、稽核方式基準及 項目等相關事,並應於實施 義務、稽核方式基準及項目等相關事,並應於實施 義務、稽核方式基 準及項 目等相關事,並應於 實施 義務、稽核方式基準及項目等相關事,並應於實施 義務、稽核方式基準及項目 等相關事,並應於實施 義務、稽核方式基準及項目等相關事,並應於實施 義務、稽核方式基準及項目等 關事,並應於實施 義務、稽核方式基準 及項目等相關事,並應於實施 義務、稽核方式基準及項目等相關 ,並應於實施 義務、稽核方式基準及項目等相關事項前一個月將計畫以書面或電子方式通知受稽
或電子 方式通知受稽核 或電子方式通知受稽核 或電子方式通知受稽核 或電子方式通知受稽核 稽 核前一個月將計畫以書面 稽核前一個月將計畫以書面 稽核前一個月將計畫以書面 稽核前一個月將計畫以 書面 稽核前 一個月將計畫以書面式通知受稽核機關 。
四、受稽核機關如因業務素或其他正當理由,無法於指定之時間配合執行稽核,應於收受前點通知後五日內以 書面敘明理由向稽核機關申請變更日期 。前項申請,除有不可抗力之事由外以一次為限。
五、稽核機關辦理稽核時,得要求受機關之人員為資通安全維護計畫實施情形之相關說明、協力或提供文件或證 明供現場查閱,並執行下列事項:
(一)稽核前訪談。
(二)現場實地稽核。
六、稽核機關應依實際需求,就各受稽核機關分別組成 稽核小組 。
前項稽核小組成員三人至七,由具備資通安全政策或前項稽核小組成員三人至七,由具備資通安全政策或 核所需之技術、管理法律或實務專業知識公機 稽核所需之技術、管理法律或實務專業知識公務機關代表 專家學者擔任;其中公務機關代表不得少於三 分之一 。
前項公務機關代表或專家學者有下列情形之ㄧ,應主 動迴避 擔任稽核小組成員:
(一)目前或過去一年內曾為受稽核 機關 進行與受稽核 進行與受稽核 進行與受稽核 進行與受稽核 進行 與受稽核 進行與受稽核 項目相關之顧問輔導。
(二)目前或過去一年內曾任職於受稽核機關。
(三)其他足認擔任稽核小組成員將影響結果公正 其他足認擔任稽核小組成員將影響結果公正性之情形。
稽核機關 應以書面與稽核小組成員約定利益衝突之迴避事項及執行稽核之保密義務。
七、稽核機關應於稽核完成後一個月內,將結果報告交 付稽核 機關 。
前項稽核結果報告之內容,應包括範圍、缺失或待 改善事項及其他相關事項。
八、受稽核機關經發現其資通安全維護計畫實施有缺失或待改善者,應於收受稽核結果報告後一個月內依本 法施行細則第三條規定及稽核機關指之方式,提出書面改善報告。
受稽核機關依應其缺失或待改善事項之性質 及程度,適時以書面提出改善報告執行情形;稽核機關 認有必要時,得要求受稽核機關進行說明或調整。