iT邦幫忙

2021 iThome 鐵人賽

DAY 27
0
Security

資訊安全制度建立與驗證系列 第 27

自評表撰寫實務

  • 分享至 

  • xImage
  •  

上一篇內部稽核講到
5. 監督作業:進行下列監督作業,以確定本制度之有效性、及時性及確實性:
(1)例行監督主管階層本於職責,就分層負責授權業務執行持續性常態督導
(2)自行評估:由相關單位依職責分工,評估各組成要素運作之有效程度。
(3)稽核評估由內部稽核人員以客觀公正之立場,協助檢核內部控制實施狀況,並適時提供改善建議;發現內部控制制度缺失時,應向適當層級之主管階層、董事會及監察人報告。於設計、執行或自行評估本制度時,應綜合考量前項各款組成要素,並得依實際需要自行調整必要之項目。

著一篇就來說說自評表撰寫要注意的事情吧/images/emoticon/emoticon10.gif


資訊安全自評表內容,撰寫原則旨在自我檢查現況,表單內容可依據資安政策為方向,將一系列的資訊安全管理制度運行程序階段,分解為幾大類型問項。

如果沒有靈感,可參考自家程序書中的適用性聲明書格式,加上評核項目、評核結果、說明、以及簽核程序欄位,調整成自評表樣態。

以資料備援為例:

項次 評核項目 評核結果 說明
1.資通訊系統安全等級 資通訊系統依機密性、完整性、可用性完成分級作業 □已分級、□未分級、□不適用 □法源依據(請述明):、□標準依據(請述明):、□參考依據(請述明):______
2.現有備援措施 日常營運採用哪些措施確保資料完整性與可用性,□異地備援、□異機備援、□離線備援、□外接式硬碟、□USB隨身碟 □符合、□不符合、□不適用 □管理程序(請述明):、□申請表單(請述明):
3.最近一次備援演練紀錄 最近一年內已針對資料備援程序執行BCP演練作業,且備有相關作業程序與佐證紀錄 □符合、□不符合、□不適用 請述明:近期備援演練時間、文件編碼與文件名稱
4.最近一次備份檔案有效性驗證 最近已執行備份檔案完整性與可用生驗證作業,且備有相關作業程序與佐證紀錄 □符合、□不符合、□不適用 請述明:近期備份檔案復原時間與成果、文件編碼與文件名稱
5.最近一次備份時間 最近已執行備份作業,且備有相關作業程序與佐證紀錄 □符合、□不符合、□不適用 請述明:近期備份時間、文件編碼與文件名稱
6.前一次稽核發現事項 簡述前一次稽核發現事項與矯正程序是否一致 □符合、□不符合、□不適用 請述明:近期稽核與矯正改善時間、文件編碼與文件名稱

PS:自評表原則以企業或機構永續經營全方位思考,會隨著業務範圍調整成多份簡單的表單,簡簡單單的帶過;也能細細寫出企業或機構重視的每一個評核項目不同維度檢測項目,缺點是細節多的文件須要同等專業背景人力較為容易上手。


資料來源:
增加營業項目、設置分支機構及轉投資國內外事業資訊安全自評表PDF/Doc
資訊安全與個人資料保護稽核自評表
資通系統防護基準自評表
電腦機房異地備援機制參考指引


上一篇
內部稽核
下一篇
稽核表撰寫實務
系列文
資訊安全制度建立與驗證40
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言