資訊安全對於企業的營運是愈來愈重要與需要非常重視的議題，企業對資訊的依賴程度與日俱增，相關的法令也愈來愈完備（如即將實施的「個人資料保護法」），這些都關乎著企業該如何擬定妥善的資通安全政策。

稽核重點：是否有建置適當之資通安全檢查機制與規範？是否有指定專責人員執行資通安全檢查計劃？資通安全檢查文件是否有專責人員保管？

提供資料：資通安全管理辦法、資通安全檢查項目表
資通安全管理辦法，主要依據電腦處理個人資料保護法，並衡酌公司需求而訂定，主要功能為落實公司資訊安全政策，強化並提昇公司資訊作業之安全水準。

資訊安全主要是透過管理、作業及技術等安全防護手段、措施或機制，掌握公司各項資訊資產，避免遭不當使用、洩漏、竄改、竊取、破壞等，更重要的是當不幸遭受惡意攻擊、破壞或不當使用等緊急事故發生時，能夠迅速作必要之應變處置，並在最短時間內回復正常運作，以降低事故可能影響及危害公司業務運作之損害程度。其目標為建立安全及可信賴之電腦化作業環境，確保公司電腦資料、系統、設備及網路安全，以保障公司權益及永續經營。

資通安全管理辦法，其內容大綱大致可以分為幾個部分：
一、總則
二、資訊安全定義
三、資訊安全目標
四、資訊安全範疇
五、資訊安全管理作業規定
1.人員安全管理及教育訓練
2.電腦主機安全管理
3.資料安全管理
4.系統開發維護安全管理
5.網路安全管理
6.網路存取之安全控制
a.網路連線作業之控制
b.網路路由控制
c.即時通訊軟體使用控制
7.網路頻寬管理
8.系統與網路入侵之處理
9.設備安全管理
a.設備安置地點之防護
b.電源供應
c.設備維護
d.設備報廢處理之安全措施
10.實體環境安全管理
a.一般辦公環境之安全保護
b.電腦機房之安全管理
c.辦公桌面(註1)之安全管理
11.業務永續運作計畫管理
12.軟體使用管理
a.「著作權法」之宣導。
b.軟體採購程序
c.軟體安裝與配置程序
d.銷毀未獲授權的軟體
e.定期宣導
f.軟體使用守則
六、資通安全應變措施（相關執行細則：管理資訊系統緊急應變計劃)

我們在系列文章中所提到的各項檢查作業，其作業程序都規範在資通安全管理辦法中，如有變更，則需修正此辦法之相關條文，送交審查後公告實施。

資通安全管理辦法，除了資訊部門人員作業之依據外，公司內部稽核人員也是以此作為稽核之依據，資訊安全政策是否完備（擬定資通安全檢查項目表），當視其作業規定是否完善，執行是否確實；然而百密終有一疏，只有透過不斷的檢討與改進，方能使資安的工作能確實發揮其應有之功效。

註1：辦公桌面指電腦作業系統的 desktop，在資訊安全規範當中，應當要求人員離開電腦工作環境時，應將工作站鎖定後方能離開（Ctrl+Alt+Del），並應定期宣導。

全系列文章列表