承上篇完成參考用的一般發行公司的稽核計劃，總共分程十個部分，注意內容還需要依公司實際的狀況調整。

二、實地檢測
1.策略面：
(1)核心業務及其重要性：

A.確認資安等級分級
B.資通安全管理系統(ISMS)之範圍。
C.資安對營運上的衝擊，例如，是否資安事件會影響營收等。
D.核心資通系統持續運作的計劃。
E.資安演練。
F.備份及備援機制。
G.復原測試。
H.資安治理成熟度評估。

(2)資通安全政策及推動組織：

A.確認資安政策及目標。
B.受稽單位之資安管理及運作。
C.資安組織推動。
D.考核機制與獎懲標準。
E.利害關係人之管理。

(3)專責人力及經費配置：

A.確認資安經費及人力資源配置之妥適性。
B.資安/經費佔預算比率。
C.資安人力配置情形。
D.資安認知及訓練。
E.資安人員專業證照及職能訓練。

2.管理面：
(1)資訊及資通系統盤點及風險評估：

A.確認資訊資產盤點及相關管理程序。
B.資訊資產處置規範與異動汰除管控作業。
C.風險評估。
D.風險處理及後續追蹤情形。
E.管理與限制使用對國內具高風險資安國家的廠牌資通訊產品。

(2)資訊系統或服務委外辦理之管理措施：

A.確認資訊作業委外安全管理程序。
B.資訊委外資安要求及服務等協議。
C.委外人員管理。
D.委外供應商之管理、監督及稽核。

(3)資通安全維護計畫與實施情形支持續精進及績效管理機制：

A.資通安全計畫訂定、修正及實施情形。
B.內部稽核及後續追蹤。
C.主管機關之監督辦理情形。
D.資安事件公告情形，及後續追蹤。
E.資安演練情形。

3.技術面：
(1)資通安全防護及控制措施：

A.確認安全性檢測及資通安全健診實施情形。
B.公司網域、弱點測試通報機制、端點偵測及應變機制、資通安全防護實施情形。
C.電子資料(含個資)安全管理機制。
D.網路規劃及管理。
E.電腦機房及重要區域管理。
F.資料處理、儲存及傳輸安全、電子資料相關設備管理。
G.行動裝置安全、軟體使用安全、網路即使通訊安全、電子郵件安全等。

(2)資通系統發展及維護安全：

A.確認資通系統之防護需求。
B.各資訊開發軟體之安全檢查，包括系統需求、設計、開發、測試、驗收、變更時應注意的安全事項。

(3)資通安全事件通報應變及情資評估因應：

A.確認情資分享機制。
B.資通安全威脅偵測管理機制實施情形。
C.資通系統及相關設備監控事件日誌管理。
D.資安事件通報及應變作業規範及落實。
E.資安事件改善措施之有效性。
F.資通安全演練作業實施情形。

拾、實地稽核時程表 (本表為參考資安署原表，一般發行公司應依實際狀況調整，並建議在表格後面增列一欄『其他』欄，把一些現場的狀況記錄下來，在下次的稽核時，可以做時間調整之用，並且如果有需要延長查核時間，也可根據上面所記錄的情況，再未來的稽核時程上可以做為調整的依據)