一、經濟部(以下簡稱本部)為辦理資通安全管理法(以下簡稱本法
)第十三條所定事項,特定本要點。
二、本部及所屬公務機關(以下簡稱稽核機關)應依所管公務機關提
報之資通安全維護計畫實施情形,於每年五月前擇定所管公務
機關(以下簡稱受稽核機關),以現場實地查核方式,稽核其資
通安全維護計畫實施情形。
稽核機關應綜合考量資通安全責任等級、資通安全事件發生頻
率與程度、資通安全演練結果、歷年受稽核頻率與結果及其他
與資通安全相關等因素,擇定受稽核機關。
三、稽核機關辦理前點稽核應訂定稽核計畫,其內容應包括稽核依
據與目的、稽核期間、稽核小組組成方式、保密義務、稽核方
式、基準及項目等相關事項,並應於實施稽核前一個月將稽核
計畫以書面或電子方式通知受稽核機關。
四、受稽核機關如因業務因素或其他正當理由,無法於指定之時間
配合執行稽核,應於收受前點通知後五日內,以之時間配合執
行稽核,應於收受前點通知後五日內,以書面敘明理由向稽核
機關申請變更稽核日期。
前項申請,除有不可抗力之事由外,以一次為限。
五、稽核機關辦理稽核時,得要求受稽核機關之人員為資通安全維
護計畫實施情形之相關說明、協力或提供相關文件或證明供現
場查閱,並執行下列事項:
(一)稽核前訪談。
(二)現場實地稽核。
六、稽核機關應依實際稽核需求,就各受稽核機關分別組成稽核小
組。
前項稽核小組成員三人至七人,由具備資通安全政策或稽核所
需之技術、管理、法律或實務專業知識之公務機關代表或專家
學者擔任;其中公務機關代表不得少於三分之一。前項公務機
關代表或專家學者有下列情形之ㄧ者,應主動迴避擔任稽核小
組成員:
(一)目前或過去一年內曾為受稽核機關進行與受稽核項目相關
之顧問輔導。
(二)目前或過去一年內曾任職於受稽核機關。
(三)其他足認擔任稽核小組成員將影響稽核結果公正性之情形
。稽核機關應以書面與稽核小組成員約定利益衝突之迴避
事項及執行稽核之保密義務。
七、稽核機關應於稽核完成後一個月內,將稽核結果報告交付受稽
核機關。
前項稽核結果報告之內容,應包括稽核範圍、缺失或待改善事
項及其他相關事項。本部所屬機關應每年彙整第一項稽核結果
報告,並於次年度一月底前提交本部備查。
八、受稽核機關經稽核發現其資通安全維護計畫實施有缺失或待改
善者,應於收受稽核結果報告後一個月內,依本法施行細則第
三條規定及稽核機關指定之方式,提出書面改善報告。
受稽核機關依應依其缺失或待改善事項之性質及程度,適時以
書面提出改善報告執行情形;稽核機關認有必要時,得要求受
稽核機關進行說明或調整。