一、為強化本處之資訊安全管理作業建立安全及可信賴之電子化政府,確
保資訊系統、設備及網路安全,保障民眾權益,特訂本要點。
二、本處政風室會同資訊小組訂定資訊安全稽核項目,定期實施資訊安全
稽核,並由政風室辦理秘書作業。
三、實施稽核得調閱有關資料、實地測試或檢查資訊軟硬體設備使用情形
,並請相關資訊作業人員提供說明。
四、資訊安全稽核之查核範圍,包含資訊安全政策制定、資訊安全組織與
權責、人員安全管理及資訊安全教育訓練、電腦系統安王管理、網路
安全管理、系統存取控制管理、系統發展及維護安全管理、資訊資產
安全管理、實體及環境安全管理、業務永續運作計畫之規劃及管理等
事項,並應查核其實施情形是否符合相關法令之規定。
五、資訊安全稽核作業程序:
(一)本處由政風室協調資訊小組,綜合分析本處員工使用資訊系統之安
全警覺程度、主客觀環境及各項電腦相關軟硬體設備、影響資訊安
全事件之改善情形等,擬訂年度稽核計畫陳報處長後會同資訊小組
實施。
(二)計畫內容包含:稽核時間、稽核時間、受稽核單位與人員、稽核人
員編組、稽核方法進行程序、稽核結果經濟部中小企業處資訊安全
稽核作業要點處理、行政支援事項等。
(三)依據稽核結果就優缺點及改進措施提出書面意見,陳報處長,並協
調缺失單位確實檢討改進,必要時再由政風室會同資訊小組實施複
查。
六、本處資訊安全稽核作業,每年實施一至二次,並得視需要隨時實施不
定期抽檢。
七、本作業要點奉 核定後實施,修正亦同;如有未盡事宜,依本處相關
規定辦理。