業務概況

近年查核事項缺失開立前10名排行榜

105年查核事項缺失開立前10名排行榜:

開立主要缺失 開立次要缺失 開立觀察事項
排行  查核項   開立次數   查核項   開立次數   查核項   開立次數 
1 捌、三 1 玖、七 14 玖、七 24
2 玖、十 1 A.11.1.4 10 捌、五 15
3

捌、三 7 A.12.6.1 14
4

捌、六 6 A.15.1.1 14
5

A.11.1.2 6 捌、六 13
6

A.11.1.3 6 捌、三 11
7

A.15.1.1 6 捌、四 11
8

A.14.1.2 5 A.7.1.2 11
9

玖、十 4 A.9.2.4 11
10

A.7.1.1 4 A.11.1.4 10

104年查核事項缺失開立前10名排行榜:

開立主要缺失 開立次要缺失 開立觀察事項
排行  查核項   開立次數   查核項   開立次數   查核項   開立次數 
1 捌、四 1 A.11.1.4 8 玖、七 25
2 A.10.6.2 1 玖、十 5 A.9.2.1 13
3 A.12.5.1 1 A.7.1.2 4 A.14.1.2 11
4 捌、五 1 A.10.4.1 3 捌、四 9
5

A.10.5.1 3 A.6.1.3 9
6

A.10.9.6 3 A.15.1.1 9
7

A.11.1.1 3 A.11.1.3 9
8

A.11.1.2 3 A.12.6.1 8
9

A.12.4.2 3 捌、五 7
10

A.12.6.1 3 捌、三 7

103年查核事項缺失開立前10名排行榜:

開立主要缺失 開立次要缺失 開立觀察事項
排行  查核項   開立次數   查核項   開立次數   查核項   開立次數 
1 A.10.4.1 1 玖、七 18 玖、七 44
2 A.10.9.1 1 A.10.1.1 5 A.9.2.1 20
3 A.11.1.2 1 A.11.1.4 5 捌、四 16
4 A.11.1.4 1 A.9.2.4 5 A.7.1.1 14
5 A.12.6.1 1 捌、三 5 捌、五 14
6

A.12.6.1 4 A.12.6.1 13
7

A.7.1.1 4 A.14.1.1 13
8

捌、五 4 A.15.1.1 13
9

捌、六 4 A.8.2.1 13
10

A.14.1.2 3 捌、三 13



ISMS之建立:依據該單位之類型、規模、資源、業務性質等特性,定義ISMS之範圍;考慮相關法律、法規以及合約之要求,於適度評估風險及應對措施後,訂出經由管理階層核准之ISMS政策,並擬定一份適用性聲明書文件。

ISMS之實施與操作:施行單位應確實實施控制措施,以符合控管的目標,並執行訓練與認知計畫,確保偵測安全事件的能力,以及迅速回應和應對處理的時效。

ISMS之監控及審查:施行單位應針對ISMS進行監控程序與其他控制措施,即時鑑別資安事件的發生、處理順序與解決方法;定期審查ISMS之有效性(建議一學年至少一次),並將相關有顯著影響之活動與事件記錄下來。

ISMS之維持及改進:施行單位應定期實行改進活動,採取適當的矯正與預防措施,並得到管理階層之同意,並確保各項措施達到預期目標。

文件要求:關於ISMS文件化(電子檔案或紙本),必須包含安全政策、安全目標、ISMS範圍、適用性聲明、資安事件記錄以及其他有助於提升ISMS成效之文件;上述之文件需接受保護與管制,並定期的審查及更新,確保文件之最新版本;任何過期文件需保留或銷毀,應予以適當的鑑別。

ISMS之改進:ISMS的改進是持續的,必須藉由各資安事件與審查結果,做出適度的反應與改進,持續系統之有效性;另外,對應的矯正措施以及防範未然的預防措施,亦須予以制定並文件化。

施行單位之員工(包含正職員工、臨時雇員)應簽署獨立或包含保密條款之合約,確保其了解應有之資安責任與相關限制。

應製作所有資訊資產之清冊,並定期維護、更新。

資訊資產應進行分級與標示,並考量重要資產的需求,於必要時制定保護措施及處理流程。

施行單位內所有員工、合作廠商與第三方使用者應接受適當之資安訓練與有關資安政策、程序之宣導課程。

施行單位應安置或保護設備,降低環境之威脅、災害以及未授權存取所造成的可能損失。

資訊處理設備應予以適當的維護,確保其持續運作。

安全政策所規定之作業程序,應文件化並定期維護。

施行單位應進行防備電腦病毒與惡意軟體之偵測及預防的控制措施,以及使用者認知程序。

重要資訊與軟體應進行定期的備份。

使用公用或私用網路,應評估網路服務提供者之安全措施是否足夠,並提供明確的安全措施說明,另應考量使用該項網路對維持機關資料傳輸機密性、資料完整性及可用性等各種安全影響。

建立及製作例外事件及資訊安全事項的稽核軌跡,並保存一段的時間,以作為日後調查及監督之用。

應定期校正系統作業時間,維持系統稽核紀錄的正確性及可信度,作為事後法律上或是紀律處理上的重要依據。

應制定正式使用者註冊、註銷流程和條款,以供存取資訊系統及服務。

限制與控管特許權限的分配及使用方式。

應建立使用者通行碼之管理制度。

施行單位應定期審查使用者存取權限。

系統之測試資料須予以保護與控管。

實施變更作業應依循嚴格的變更管制措施。

應及時取得有關針對系統弱點的資訊,並評估該弱點暴露的程度及所造成的可能危機。

施行單位應建立業務永續運作之程序及架構,鑑定測試以及維護之優先順序,訂定與維護永續運作之計畫。

永續運作計畫應進行測試與維護,確保該計畫的有效性。

蒐集相關法律條文(智慧財產權、資料隱私保護及其他相關法規)、管理規定及合約要求,了解與資訊處理設施、軟體系統的關係,並予以書面或其他方式留存。