《前言》

資安署是將《自行評估》部分列在《作業說明》這個項次內，不過，這部分應該是受稽單位要做且必做的部分，因此，一般公發公司應該要將該項作業獨立出來處理，而非包含在稽核單位的《作業說明》之內。本次就針對《技術檢測》的作業說明，做以下分析。

==============================================

===============================================

《探討及分析》

這部分主要是針對技術檢測部分做作業說明，大部分的一般發行公司是直接給時程表，比較不會去做抽樣邏輯的作業說明，所以有關資安署的稽核計畫當中的作業說明，就寫的很詳細，也很值得做資安稽核的參考範本。

我們可以參考資安署的說明之後，寫入一般發行公司的資安稽核計畫內，本篇先討論前三項的撰寫法，參考如下：

(一) 使用者電腦安全檢測：

1. 使用網段掃描，從掃描的結果挑選風險較高前10%的電腦進行掃弱點掃描。
2. 從10%的樣本中，依強弱排序，並統一挑選windows作業系統。
3. 檢測項目：
   (1) 防毒軟體
   (2) 安全性修補程式更新
   (3) 應用程式更新
   (4) 惡意程式檢測

(二) 物聯網設備檢測：

1. 設備：
   (1) 網路印表機
   (2) 門禁設備
   (3) 網路攝影機
   (4) 無線網路基地台/路由器
   (5) 環境系統及網路儲存裝置(NAS)。
   (6) 其他。
2. 檢查項目：
   (1) 身分識別
   (2) 資料安全
   (3) 系統安全
   (4) 通訊安全
3. 檢測方式：訪談、問卷或實際檢測。

(三) 網域主機安全防護檢測：(假設網域為向法人外購)

1. 檢視合約更新。
2. 檢視法人之營運說明書。
3. 法人之名稱、代表人之姓名及公司信用評等、政府認證的法人網域公司詳細資料。
4. 系統及網路設備概況（含各地點建設之系統及網路設備架構圖及其設備明細表）及下列系統之安全及備援措施。

以上給大家參考!