教育機構資安驗證中心每年協助教育部執行部屬機關構及大專校院之資通安全實地稽核,並統計分析策略面、管理面、技術面三構面常見稽核發現,依據案例內容以及稽核委員建議,考量實務執行情形,提出需確立共識原則之項目,同時辦理共識會議與委員達成開立缺失的共識原則。
以往稽核人員的「稽核依據」係列為密件,但受稽核之機關則是大概由法規與防護基準等等去拼湊稽核項所要求的依據,所以溝通上有時會有點困難(尤其是針對技術面,有些是依維運計畫範本,有些貼近IT管理的實務面,有點自由心證的感覺)。由於實地稽核已實施多年,稽核委員達成共識可將稽核查檢重點與依據公開,這樣標準更趨明確也可減少爭議。
本文件為資安驗證中心辦理稽核委員共識會議後整理之稽核準則,讓稽核委員知悉於執行稽核時之依循原則與注意事項。
(請勿自行下載或列印,有最新資訊會即時更新,請以線上版本為主)
(請勿自行下載或列印,有最新資訊會即時更新,請以線上版本為主)
沒有留言: