資訊安全管理制度(ISMS)相關文件屬於企業或機構內部資安治理運行標準與紀錄,機密等級(控管標準)大部份屬於內部(限內部使用)、限閱(限特定人員閱讀)、敏感(限特定人員且職務相關人員閱讀)、機密(最高安全等極)等不公開文件。
供應商稽核時,與客戶相關的資安治理實績須要適時的透露。
此時,企業與機構可事先規劃可透露資訊,做為第三方或供應商稽核時的佐證。
聲明書內容應包含:資安制度整體框架簡述、資安組織、適用範圍、推廣活動、教育訓練、有效性確認、未達有效性或違反制度的處理方法與改善計劃...等一系列的制度與實踐紀錄。
若企業與機構尚未準備好聲明書,可透過即有的資安制度或內部行政程序、簽陳,去核準每一項對外資訊。
資料來源:
訂定有關證券暨期貨市場各服務事業建立內部控制制度處理準則第三十六條之二及第三十七條規定之令。(金管證券字第1070320242號)
內控聲明書公告
法商法國巴黎人壽保險股份有限公司台灣分公司 - 資訊公開說明文件109年資訊安全整體執行情形聲明書
內部控制制度聲明書
iThome鐵人賽
看影片追技術