上一篇內部稽核講到
5. 監督作業:進行下列監督作業,以確定本制度之有效性、及時性及確實性:
(1)例行監督:主管階層本於職責,就分層負責授權業務執行持續性常態督導。
(2)自行評估:由相關單位依職責分工,評估各組成要素運作之有效程度。
(3)稽核評估:由內部稽核人員以客觀公正之立場,協助檢核內部控制實施狀況,並適時提供改善建議;發現內部控制制度缺失時,應向適當層級之主管階層、董事會及監察人報告。於設計、執行或自行評估本制度時,應綜合考量前項各款組成要素,並得依實際需要自行調整必要之項目。
著一篇就來說說自評表撰寫要注意的事情吧
資訊安全自評表內容,撰寫原則旨在自我檢查現況,表單內容可依據資安政策為方向,將一系列的資訊安全管理制度運行程序階段,分解為幾大類型問項。
如果沒有靈感,可參考自家程序書中的適用性聲明書格式,加上評核項目、評核結果、說明、以及簽核程序欄位,調整成自評表樣態。
以資料備援為例:
| 項次 | 評核項目 | 評核結果 | 說明 |
|---|---|---|---|
| 1.資通訊系統安全等級 | 資通訊系統依機密性、完整性、可用性完成分級作業 | □已分級、□未分級、□不適用 | □法源依據(請述明):、□標準依據(請述明):、□參考依據(請述明):______ |
| 2.現有備援措施 | 日常營運採用哪些措施確保資料完整性與可用性,□異地備援、□異機備援、□離線備援、□外接式硬碟、□USB隨身碟 | □符合、□不符合、□不適用 | □管理程序(請述明):、□申請表單(請述明): |
| 3.最近一次備援演練紀錄 | 最近一年內已針對資料備援程序執行BCP演練作業,且備有相關作業程序與佐證紀錄 | □符合、□不符合、□不適用 | 請述明:近期備援演練時間、文件編碼與文件名稱 |
| 4.最近一次備份檔案有效性驗證 | 最近已執行備份檔案完整性與可用生驗證作業,且備有相關作業程序與佐證紀錄 | □符合、□不符合、□不適用 | 請述明:近期備份檔案復原時間與成果、文件編碼與文件名稱 |
| 5.最近一次備份時間 | 最近已執行備份作業,且備有相關作業程序與佐證紀錄 | □符合、□不符合、□不適用 | 請述明:近期備份時間、文件編碼與文件名稱 |
| 6.前一次稽核發現事項 | 簡述前一次稽核發現事項與矯正程序是否一致 | □符合、□不符合、□不適用 | 請述明:近期稽核與矯正改善時間、文件編碼與文件名稱 |
PS:自評表原則以企業或機構永續經營全方位思考,會隨著業務範圍調整成多份簡單的表單,簡簡單單的帶過;也能細細寫出企業或機構重視的每一個評核項目不同維度檢測項目,缺點是細節多的文件須要同等專業背景人力較為容易上手。
資料來源:
增加營業項目、設置分支機構及轉投資國內外事業資訊安全自評表PDF/Doc
資訊安全與個人資料保護稽核自評表
資通系統防護基準自評表
電腦機房異地備援機制參考指引
iThome鐵人賽
看影片追技術