《前言》

在資安署的稽核計畫內，有提到《 伍、受稽機關》的部分，這部分會省略掉，因為，通常在一般的發行公司，稽核單位會發出信件，通知受稽單位做好資料整理與準備，但有的會採用臨時抽查的方式，這個部分屬於查核技巧，不多做說明，然而，在一般的發行公司不太需要特別註明受稽單位，但因為資安署根據法令，有分出公務及非公務機關，所以會把這部分列入考量，這是必要的，但發行公司就比較沒有這個問題，除非是官股公司，才需要納入這部分。

當然，有的公司會有子公司、孫公司等等的分公司稽核，但是，目前子孫公司規定皆需要有設專門稽核人員，因為有專責的子公司稽核，通常就不會針對稽核對象做定義，只要在稽核報告內寫清楚即可，所以本篇就直接進入稽核依據及範圍。

============================================

============================================

《探討及分析》

從資安署參考的稽核準則，大致上分兩部分：一般性的資通安全稽核與工控系統通用性的資安稽核。以資安署來說，一般性的資安稽核就會引用資通安全管理辦法等，共五個依據的資料。另外，屬於國家的工控系統，則會採用專業的國際標準技術文件的內容來做稽核。

同樣的，這部分在做資安內部稽核的時候，可以比照資安署的準則列出所必須參考的依據，所以我們可以以下列方式：

稽核依據 (此處我們不用「準則」而是「依據」)
1.主要依據：
(1)上市上櫃公司資通安全管控指引
(2)電腦化資訊系統處理---資通安全檢查之控制書面內控
(3) ISO 27001 (如果有導入)
(4)查核部門之管理制度是否列入資安，可抽查制度內容。
(5)所查核之內控循環是否依規定列入資安，例如，查核採購單位，採購在政府單位已列入資安，因此可以檢視採購合約做為查核主要依據。

2.技術性之相關依據：
此部分依產業狀況，例如在查核生產循環時，可能會檢視生產線工控的資訊安全狀況，又或者如航運業、半導體業等行業特殊性，就要查核設備是否依資安規定做好相關防護措施。

我們在撰寫這部分時，是需要技術人員整理資通安全的相關資料的，在資本額較小的公司，可以請求技術人員整理資料，在資料提供之後，請技術人員協助建立資安查核資料庫，每年度依建立的資料庫進行查核，並且每年訪談技術人員是否有更新技術性資料，查核經驗累積夠了，通常就能依據產業情況，逐年的了解技術性的資安稽核，有哪些該列入查核範圍之內。

有了以上的依據，有關稽核的範圍，就可以參照資安署的稽核範圍，參考撰寫方式如下：

稽核範圍：

稽核範圍為受查單位資通安全檢查，所包括之全單位及主要資通系統之各項資通安全管理政策、程序等。

以上給各位做個參考。