-
1次要缺失22次
柒、四、(四)
文件化資訊
1.管理制度文件應包括本規範要求之文件化資訊,及施行機關(構)或學校要求管理制度為達成其有效性之文件化資訊與作業紀錄。
其文件化資訊至少應包含:
(1) 決議事項確認其關注方(利害相關團體)與要求事項
(2) 管理政策
(3) 管理目標
(4) 人員勝任之證據
(5) 管理制度執行證據
(6) 風險處理計畫與風險處理結果
(7) 有效性評估證據
(8) 管理審查執行之證據
(9) 不符合項目及矯正措施 -
2次要缺失11次
A.9.2.5
施行單位應定期審查使用者存取權限。
-
3次要缺失7次
A.9.2.4
應以正式之管理過程控制秘密鑑別資訊的配置。
-
4次要缺失6次
A.8.1.1
應識別與資訊及資訊處理設施相關聯之資產,並製作及維持此等資產之清冊。
-
5次要缺失5次
柒、六、(一)
監督、量測、分析及評估
施行機關(構)或學校應針對已施行之常態性作業流程或控制措施建立監督機制,如機房管理、網路管理作業審查等。
-
6次要缺失4次
A.10.9.6
應定期校正系統作業時間,維持系統稽核紀錄的正確性及可信度,作為事後法律上或是紀律處理上的重要依據。
-
7次要缺失4次
A.8.2.1
資訊應依法律要求、價值、重要性及其對未經授權揭露或修改之敏感性分級。
-
84次
柒、三、(二)
(二)建立風險管理程序
應參考「資訊系統分級與資安防護基準作業規定」,鑑別適用範圍內資訊系統之安全等級。資訊系統經鑑別後,其安全等級屬最高等級者,應執行風險評估、擬訂與執行風險管理措施;其安全等級非屬最高等級者,應衡酌其風險程度,以決定是否進行風險評估、擬訂與執行風險管理措施。 -
9次要缺失4次
柒、六、(三)
(三)管理審查
管理小組應定期(每年至少一次)進行管理審查,以審查管理制度執行狀況,並確保其持續的適切性、合宜性及有效性。 -
10次要缺失4次
A.9.2.1
應實作正式之使用者註冊及註銷過程, 俾能指派存取權限。
沒有留言: