一、目的
    法務部（以下簡稱本部）為利本部及所屬機關執行「資通安全管理法
    」第十三條及「資安責任等級分級辦法」相關規定，特訂定本管理規
    範。

二、範圍
    本管理規範適用於下列稽核作業：
（一）本部對內部單位辦理資訊安全內部稽核作業。
（二）本部對所屬機關辦理資訊安全外部稽核作業。
（三）本部所屬機關對內部單位辦理資訊安全內部稽核作業。

三、稽核組織
（一）本部成立資訊安全內部稽核小組（以下簡稱稽核小組），由本部資
      訊處及政風小組代表組成之，辦理本部資訊安全內部稽核作業。
（二）本部成立資訊安全外部稽核小組（以下簡稱稽核小組），由資安長
      或授權主管擔任召集人，小組成員由資訊處、政風小組及相關業務
      單位代表組成之；另得視需要聘請具備資訊安全政策、管理、技術
      、法律或具實務專業之公務機關代表或專家學者擔任小組成員，辦
      理本部所屬機關資訊安全外部稽核作業。
（三）本部所屬各機關應成立資訊安全執行小組（以下簡稱執行小組），
      並指定副首長或高層主管人員擔任召集人，其餘成員由各機關之資
      訊單位會同政風單位及其他相關單位組成之，辦理該機關資訊安全
      稽核作業。

四、稽核頻率
（一）本部應參照「法務部資訊安全內部稽核作業程序」每年至少辦理二
      次內部稽核作業。
（二）本部應參照「法務部資訊安全外部稽核作業程序」及提供本部及所
      屬機關查詢資料之外部機關所訂之相關稽核規定，對所屬機關每年
      辦理外部稽核作業；針對資安等級 C  級以上直屬機關每三年至少
      辦理一次稽核作業，另得視業務需要不定期辦理各所屬機關稽核作
      業及查核資通安全維護計畫實施情形。
（三）本部所屬機關資安等級屬 A  級或持有、使用外部機關提供資料者
      ，應參照「法務部所屬機關資訊安全內部稽核作業程序」及提供本
      部及所屬機關查詢資料之外部機關所訂之相關稽核規定，每年至少
      辦理二次內部稽核作業；其它資安等級屬 B  及 C  級之機關，應
      參照相同稽核作業程序，每年至少辦理一次內部稽核作業。

五、稽核注意事項
（一）稽核小組（或執行小組）成員須施以必要之訓練，以確保稽核作業
      之順暢及有效性。必要時得聘請外部專業人員協助進行稽核作業。
（二）稽核小組（或執行小組）成員不得稽核本身業務，以確保稽核之獨
      立性。
（三）稽核作業完成後，受稽核機關（單位）應依稽核建議擬訂矯正措施
      據以實施，並檢討實施之成效。
（四）稽核小組（或執行小組）應就稽核情形撰寫稽核檢討報告，簽報首
      長或授權代理人核閱。
（五）前項稽核建議及檢討報告等，應指定資訊單位妥為保管，以供上級
      機關實施稽核時之參考。
（六）稽核小組（或執行小組）得調閱受稽核機關（單位）有關資料，並
      徵詢作業人員之意見，受稽核機關（單位）並應配合提供。
（七）稽核小組（或執行小組）成員因辦理稽核作業所獲悉之機敏性資料
      ，應負保密責任。

六、稽核結果之運用
（一）作為本部內部單位及所屬機關資訊系統推動之評估及資訊資源配置
      之參考。
（二）提出稽核結果報告送請受稽核機關（單位）參考改進，並得視需要
      辦理獎懲。