承上一篇，逐步整理完成

柒、稽核方式、項目及配分
一、各單位稽核分組

二、各單位稽核方式：

稽核單位在做稽核時，得延伸至重要系統所在或機房，另可以依實際需要動態調整稽核天數，不以原通知稽核日期為限。

三、第一階段：技術檢測
1.技術檢測分為8大檢測項目，各檢測項目之執行內容及配分說明，如下表。

四、第2階段：資訊系統實地檢測各構面檢測：
該階段主要分成：策略面、管理面及技術面3個構面，稽核項目分配及配分說明，如下表：

捌、自行評估
一、受稽的資安單位，必須填寫資安自行評估表，每年至少一次。
二、資安單位在填完表後，必須在規定期限內回覆。
三、建議受稽單位先行辦理資安健診作業，俾利預先了解資安現況，並配合法令規定，進行改善作業。

玖、作業說明
一、技術檢測
1.使用者電腦安全檢測：
使用網段掃描，從掃描的結果挑選風險較高前10%的電腦進行掃弱點掃描。從10%的樣本中，依強弱排序，並統一挑選windows作業系統。
(1)檢測項目：

A.防毒軟體
B.安全性修補程式更新
C.應用程式更新
D.惡意程式檢測

2.物聯網設備檢測：
(1)相關設備：

A.網路印表機
B.門禁設備
C.網路攝影機
D.無線網路基地台/路由器
E.環境系統及網路儲存裝置(NAS)。
F.其他。
(2)檢查項目：
A.身分識別
B.資料安全
C.系統安全
D.通訊安全
(3)檢測方式：訪談、問卷或實際檢測。

3.網域主機安全防護檢測：(假設網域為向法人外購)
(1)檢視合約更新。
(2)檢視法人之營運說明書。
(3)法人之名稱、代表人之姓名及公司信用評等、政府認證的法人網域公司詳細資料。
(4)系統及網路設備概況（含各地點建設之系統及網路設備架構圖及其設備明細表）及下列系統之安全及備援措施。

4.資料庫安全檢測：
(1)檢測方式：透過訪談及實際檢視。
(2)抽核N項資料庫安全檢測項目。
(3)檢測項目：

A.帳號管理
B.資料加密
C.備分保護
D.弱點管理
E.存取權限
F.稽核紀錄
G.委外管理。(如果是委外管理資料庫)

5.核心資通系統安全檢測：
(1)檢測方式：
A.採用滲透測試。
(2)檢測項目：

A.存取權限。
B.應用程式及系統的弱點。
C.系統通訊保護。
D.源碼掃描。

6.網路架構檢測：
(1)檢測方式：訪談及實際檢測。
(2)檢測項目：

A.驗證網路與系統管理控制情況。
B.網路安全控制措施。
C.網路與系統架構之備援機制。
D.防火牆規則及存取控制。

7.組態設定安全檢測：
此部分依公司所設定的組態來進行測試，例如：公司內外登入及登出是否正常。

8.網路惡意活動檢視：
(1)參照網路流量情況進行檢測。
(2)依不同網段進行流量檢測。