《前言》

本篇將Day 2~Day 16參考資安署的外部稽核計劃，整合成一篇可以做為一般發行公司稽核單位的資安內稽參考的稽核計劃，當然，每家公司狀況不同，最好能多檢視自身能做的範圍，適當的做出調整與修正，這樣至少產業間就不會有落差太大的情形產生。

因為整理後資料過長，因此分成三部分來顯示，文長請多包涵!

《探討及分析》

在此將前述討論的部分，做一次整合，今天主要為(壹)~(陸)的部分：

《資通安全稽核計畫》

壹、依據
一、主要依「上市上櫃公司資通安全管控指引」(下稱資安管控指引) 及「公開發行公司建立內部控制制度處理準則」第九條之規定制訂本資通安全管理之稽核作業辦法。

貳、目的
一、為符合「公開發行公司建立內部控制制度處理準則」第九條使用電腦化資訊系統處理者相關控制作業，並配合「上市上櫃公司資通安全管控指引」之要求，落實內部稽核或外部稽核之實施，藉以改善並強化內部資通安全防護之完整性及有效性，以精進公司管理整體資安之風險，故擬定此資通安全管理辦法。
二、相關的名詞解釋。(此部分依公司狀況填寫)

參、資安進程

肆、資通安全檢查有關稽核組成及配置
一、稽核主管：主要召集人，1人。
二、技術協助的人員：資訊或資安單位派員協助，人數：共 人 。
三、需回報或提供協助的單位：獨立董事、總經理、資安單位，人數：共 人。
四、其他，人數：共 人。

伍、稽核依據
一、主要依據：
(1)上市上櫃公司資通安全管控指引
(2)電腦化資訊系統處理---資通安全檢查之控制書面內控
(3) ISO 27001 (如果有導入)
(4)查核部門之管理制度是否列入資安，可抽查制度內容。
(5)所查核之內控循環是否依規定列入資安，例如，查核採購單位，採購在政府單位已列入資安，因此可以檢視採購合約做為查核主要依據。

二、技術性之相關依據：
此部分依產業狀況，例如在查核生產循環時，可能會檢視生產線工控的資訊安全狀況，又或者如航運業、半導體業等行業特殊性，就要查核設備是否依資安規定做好相關防護措施。

陸、稽核範圍
稽核範圍為受查單位資通安全檢查，所包括之全單位及主要資通系統之各項資通安全管理政策、程序等。