一、臺南市政府衛生局(以下簡稱本局)為規範資訊安全稽核作業規劃與
執行方式,以評估資訊安全管理制度有效性與落實度,使資訊安全管
理制度能達到持續改善之目的,特訂定臺南市政府衛生局資安稽核規
範(以下簡稱本規範)以為依循。
二、本規範適用於本局各科室暨所屬各區衛生所。
三、受稽核科室、衛生所之主管於稽核期間應指派人員接受稽核,並協助
調閱有關紀錄、報告或文件;對於稽核發現缺失應提出並執行矯正與
預防措施。
四、每年應至少進行一次資訊安全內部稽核,針對重大資訊安全事件、資
訊系統之重大變更等情形,則應不定期以專案方式進行資訊安全專案
稽核。
五、稽核缺失應定期追蹤改善情形並加以記錄。
六、資訊安全稽核應建立年度資訊安全稽核人員名冊及稽核計畫,稽核成
員應具有完成內部稽核員稽核訓練之資格。
每年須擬訂資訊安全內部稽核計畫並簽陳核准辦理。其作業程序依
下列之規定:
(一)稽核準備
1.資訊安全稽核應研擬規劃資訊安全稽核查核表,並召開準備會
議,提示稽核要點、協調分工及排定時程。
2.資訊安全稽核得於查核前通知受稽核單位。
3.受稽核單位於接獲稽核通知後,應配合準備稽核所需相關資料
。
4.系統稽核工具(例如 IDS等)之存取應由授權的人員於授權範
圍內操作,並留有存取、操作紀錄,以防止任何可能的誤用或
破解。
5.系統稽核工具應存放於獨立系統及安全的地點內,防止不當操
作造成其他系統之損害。
(二)稽核通知
1.資訊安全稽核得於稽核前通知受稽核單位及人員。
2.受稽核單位接獲稽核通知後應指派相關人員配合並準備相關資
料。
(三)稽核執行
1.執行資訊安全內部稽核活動時,資訊安全稽核得先與受稽核單
位主管說明資訊安全內部稽核之有關事宜,包括範圍及時程,
如有需要得召開稽核前會議。
2.稽核範圍:
(1)依據年度內部資訊安全稽核計畫訂定之範圍。
(2)各單位適用之資訊安全制度文件。
(3)前次稽核通知應矯正(預防)事項之辦理情形。
(4)其他經資訊安全稽核同意之項目。
3.稽核中所發現之不符合事項須告知受稽人員,並寫於報告中陳
述不符合事項之客觀證據。
4.不符合事項依據矯正預防管理作業程序書之規定填列矯正及預
防措施處理單交受稽單位承辦人或受稽單位主管辦理後續矯正
預防作業。
5.受稽核單位人員應配合及支持稽核人員、答覆稽核員所提問題
、接受調閱有關紀錄、報告或文件。
(四)稽核後會議
1.完成稽核工作後召開稽核後會議,邀請受稽核單位主管或相關
人員出席。
2.稽核後會議應由稽核人員就稽核結果提出報告及改善建議。
(五)撰寫稽核報告
1.資訊安全稽核應撰寫資訊安全內部稽核報告,內容應包括:
(1)前次稽核發現缺失之改善結果。
(2)本次稽核結果。
(3)建議事項。
2.受稽核單位於接獲稽核報告後,應依據矯正預防管理作業程序
書之規定,最晚於十四個工作天內完成缺失原因分析及擬採行
之矯正與預防措施,並經權責主管核定後回覆稽核人員。
3.資訊安全內部稽核報告依相關規定歸檔備查。
七、本規範相關文件如下:
(一)ISMS-03-16矯正預防管理作業程序書。
(二)ISMS-04-32內部稽核計畫書。
(三)ISMS-04-34矯正及預防措施處理單。
(四)ISMS-04-36資訊安全稽核查核表。
八、本規範陳奉局長核定後實施,如有未盡事宜得隨時修正之。