法務部及所屬機關資訊安全稽核作業管理規範

修正規定

1. 目的

法務部（以下簡稱本部）為利本部及所屬機關執行「資通安全管理法」第十三條及「資安責任等級分級辦法」相關規定，特訂定本管理規範。

2. 範圍

本管理規範適用於下列稽核作業：

1. 本部對內部單位辦理資訊安全內部稽核作業。

2. 本部對所屬機關辦理資訊安全外部稽核作業。

3. 本部所屬機關對內部單位辦理資訊安全內部稽核作業。

3. 稽核組織

1. 本部成立資訊安全內部稽核小組（以下簡稱稽核小組），由本部資訊處及政風小組代表組成之，辦理本部資訊安全內部稽核作業。

2. 本部成立資訊安全外部稽核小組（以下簡稱稽核小組），由資安長或授權主管擔任召集人，小組成員由資訊處、政風小組及相關業務單位代表組成之；另得視需要聘請具備資訊安全政策、管理、技術、法律或具實務專業之公務機關代表或專家學者擔任小組成員，辦理本部所屬機關資訊安全外部稽核作業。

3. 本部所屬各機關應成立資訊安全執行小組（以下簡稱執行小組），並指定副首長或高層主管人員擔任召集人，其餘成員由各機關之資訊單位會同政風單位及其他相關單位組成之，辦理該機關資訊安全稽核作業。

4. 稽核頻率

1. 本部應參照「法務部資訊安全內部稽核作業程序」每年至少辦理二次內部稽核作業。

2. 本部應參照「法務部資訊安全外部稽核作業程序」及提供本部及所屬機關查詢資料之外部機關所訂之相關稽核規定，對所屬機關每年辦理外部稽核作業；針對資安等級C級以上直屬機關每三年至少辦理一次稽核作業，另得視業務需要不定期辦理各所屬機關稽核作業及查核資通安全維護計畫實施情形。

3. 本部所屬機關資安等級屬A級或持有、使用外部機關提供資料者，應參照「法務部所屬機關資訊安全內部稽核作業程序」及提供本部及所屬機關查詢資料之外部機關所訂之相關稽核規定，每年至少辦理二次內部稽核作業；其它資安等級屬B及C級之機關，應參照相同稽核作業程序，每年至少辦理一次內部稽核作業。

5. 稽核注意事項

1. 稽核小組（或執行小組）成員須施以必要之訓練，以確保稽核作業之順暢及有效性。必要時得聘請外部專業人員協助進行稽核作業。

2. 稽核小組（或執行小組）成員不得稽核本身業務，以確保稽核之獨立性。

3. 稽核作業完成後，受稽核機關（單位）應依稽核建議擬訂矯正措施據以實施，並檢討實施之成效。

4. 稽核小組（或執行小組）應就稽核情形撰寫稽核檢討報告，簽報首長或授權代理人核閱。

5. 前項稽核建議及檢討報告等，應指定資訊單位妥為保管，以供上級機關實施稽核時之參考。

6. 稽核小組（或執行小組）得調閱受稽核機關（單位）有關資料，並徵詢作業人員之意見，受稽核機關（單位）並應配合提供。

7. 稽核小組（或執行小組）成員因辦理稽核作業所獲悉之機敏性資料，應負保密責任。

6. 稽核結果之運用

1. 作為本部內部單位及所屬機關資訊系統推動之評估及資訊資源配置之參考。

2. 提出稽核結果報告送請受稽核機關（單位）參考改進，並得視需要辦理獎懲。