一、法務部(以下簡稱本部)及所屬各機關為執行「行政院及所屬各機關 資訊安全管理要點」第九點資訊機密維護及稽核使用管理事項及第十 點各機關對所屬機關(構)資訊作業,應進行定期或不定期之資訊安 全稽核之規定,特訂定本作業規定。
二、本部成立資訊安全稽核小組(以下簡稱稽核小組),由本部資訊處、 政風司及相關機關(單位)組成之,辦理所屬機關外部稽核作業。
三、本部所屬各機關應指定副首長或高層主管人員負責資訊安全管理事項 之協調及推動,並成立資訊安全執行小組(以下簡稱執行小組),由 各機關之資訊單位會同政風單位及其他相關單位組成之,辦理該機關 資訊安全稽核作業。
四、本部及所屬各機關每年應依「法務部及所屬各機關資訊安全作業檢查 表」(以下簡稱檢查表)辦理檢查,資安等級屬 A 級之機關,每年 至少執行 2 次內稽作業,而資安等級屬 B、C 及 D 級之機關,則 每年至少執行 1 次內稽作業。針對檢查表各項之檢查細項,請依「 法務部及所屬各機關資訊安全作業評分表」辦理,所屬各機關應將檢 查結果於每年 12 月底前報本部備查。檢查表之檢查項目如勾「是」 欄,請說明辦理情形及檢附相關佐證文件;如勾「否」欄,請說明理 由。
五、執行小組實施檢查作業時,應就檢查情形詳予記錄,並應於作業完成 後撰寫檢討報告,針對業務缺失提具興革建議,簽報機關首長核閱。 前項有關紀錄及檢討報告等,均應指定單位妥為保管,以供權責機關 或本部實施外部稽核時之參考。
六、本部視受稽核機關業務狀況,由稽核小組不定期實施外部稽核。其稽 核作業程序如下: (一)受稽核機關實施檢查作業簡報。 (二)實地稽核及文件審閱。 (三)綜合座談。
七、稽核小組得調閱受稽核機關資訊作業有關資料,並徵詢作業人員之意 見,受稽核機關並應配合提供。 稽核小組成員因辦理稽核獲悉之機敏性資料,應負保密責任。
八、稽核小組於外部稽核作業完成後,應就稽核情形撰寫稽核檢討報告, 簽報部長核閱。
九、外部稽核結果之運用: (一)作為本部各機關系統推動評估及電腦設備配置之參考。 (二)提出稽核結果報告送請各機關參考改進,並得視需要辦理獎懲。