您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

法規內容

法規名稱: 法務部及所屬機關資訊安全稽核作業管理規範
公發布日: 民國 96 年 03 月 13 日
修正日期:民國 111 年 12 月 28 日
法規體系: 法務部部內各單位 > 資訊處
立法理由:
法規功能按鈕區
一、目的
    法務部(以下簡稱本部)為利本部及所屬機關執行「資通安全管理法
    」第十三條及「資安責任等級分級辦法」相關規定,特訂定本管理規
    範。
二、範圍
    本管理規範適用於下列稽核作業:
(一)本部對內部單位辦理資訊安全內部稽核作業。
(二)本部對所屬機關辦理資訊安全外部稽核作業。
(三)本部所屬機關對內部單位辦理資訊安全內部稽核作業。
三、稽核組織
(一)本部成立資訊安全內部稽核小組(以下簡稱稽核小組),由本部資
      訊處及政風小組代表組成之,辦理本部資訊安全內部稽核作業。
(二)本部成立資訊安全外部稽核小組(以下簡稱稽核小組),由資安長
      或授權主管擔任召集人,小組成員由資訊處、政風小組及相關業務
      單位代表組成之;另得視需要聘請具備資訊安全政策、管理、技術
      、法律或具實務專業之公務機關代表或專家學者擔任小組成員,辦
      理本部所屬機關資訊安全外部稽核作業。
(三)本部所屬各機關應成立資訊安全執行小組(以下簡稱執行小組),
      並指定副首長或高層主管人員擔任召集人,其餘成員由各機關之資
      訊單位會同政風單位及其他相關單位組成之,辦理該機關資訊安全
      稽核作業。
四、稽核頻率
(一)本部應參照「法務部資訊安全內部稽核作業程序」每年至少辦理二
      次內部稽核作業。
(二)本部應參照「法務部資訊安全外部稽核作業程序」對所屬機關每年
      至少辦理一次外部稽核作業;針對資安等級 C  級以上直屬機關每
      三年至少完成一次稽核作業,另得視業務需要不定期辦理各所屬機
      關稽核作業及查核資通安全維護計畫實施情形。
(三)本部所屬機關資安等級屬 A  級之機關,應參照「法務部所屬機關
      資訊安全內部稽核作業程序」,每年至少執行二次內部稽核作業;
      資安等級屬 B  及 C  級之機關,應參照相同稽核作業程序,每年
      至少執行一次內部稽核作業。
五、稽核注意事項
(一)稽核小組(或執行小組)成員須施以必要之訓練,以確保稽核作業
      之順暢及有效性。必要時得聘請外部專業人員協助進行稽核作業。
(二)稽核小組(或執行小組)成員不得稽核本身業務,以確保稽核之獨
      立性。
(三)稽核作業完成後,受稽核機關(單位)應依稽核建議擬訂矯正措施
      據以實施,並檢討實施之成效。
(四)稽核小組(或執行小組)應就稽核情形撰寫稽核檢討報告,簽報首
      長或授權代理人核閱。
(五)前項稽核建議及檢討報告等,應指定資訊單位妥為保管,以供上級
      機關實施稽核時之參考。
(六)稽核小組(或執行小組)得調閱受稽核機關(單位)有關資料,並
      徵詢作業人員之意見,受稽核機關(單位)並應配合提供。
(七)稽核小組(或執行小組)成員因辦理稽核作業所獲悉之機敏性資料
      ,應負保密責任。
六、稽核結果之運用
(一)作為本部內部單位及所屬機關資訊系統推動之評估及資訊資源配置
      之參考。
(二)提出稽核結果報告送請受稽核機關(單位)參考改進,並得視需要
      辦理獎懲。