資訊安全內部稽核作業
為確實要求本處及所屬單位遵循高公局資訊安全作業規定,本處特函頒「年度稽核實施計畫」,規劃每年應至少執行1次內部稽核作業,藉此瞭解各單位是否落實執行相關規範,稽核後並提供持續改善建議,確保資訊安全管理制度有效實施。
為辦理本年度資訊安全內部稽核作業,本處於106年7月13日辦理2梯次各3小時教育訓練,邀請臺灣應用軟件公司曾顧問子翃講授「資訊安全制度及稽核查驗方法訓練」課程,參加對象為本處各單位同仁(受稽核人員),計145人參加。另於106年7月27日邀集稽核小組成員、各單位資訊人員及資安窗口等召開稽核說明及討論會議,會議中除由政風室簡報稽核期程及方式外,另請顧問公司分享「查核表填表、稽核重點及實務操作」等內容,協助各單位落實稽核前之自我查檢工作。
本處於106年8月3日及4日執行資安內部稽核,稽核結果共發現觀察事項21項及建議事項11項,相關缺失態樣說明如下:
為辦理本年度資訊安全內部稽核作業,本處於106年7月13日辦理2梯次各3小時教育訓練,邀請臺灣應用軟件公司曾顧問子翃講授「資訊安全制度及稽核查驗方法訓練」課程,參加對象為本處各單位同仁(受稽核人員),計145人參加。另於106年7月27日邀集稽核小組成員、各單位資訊人員及資安窗口等召開稽核說明及討論會議,會議中除由政風室簡報稽核期程及方式外,另請顧問公司分享「查核表填表、稽核重點及實務操作」等內容,協助各單位落實稽核前之自我查檢工作。
本處於106年8月3日及4日執行資安內部稽核,稽核結果共發現觀察事項21項及建議事項11項,相關缺失態樣說明如下:
| 一、 | 管理制度部分 |
| (一)部分系統密碼不符合規定長度及複雜度之要求。 | |
| (二)部分文件尚未完成單位主管簽核程序。 | |
| (三)機房環境設施建議採購簡易型溫濕計。 | |
| 二、 | 個人查檢部分 |
| (一)機敏資料電子檔未加密保存。 | |
| (二)未進行Windows、java及flash更新作業。 | |
| (三)部分電腦未安裝防毒軟體。 | |
| (四)部分電腦未安裝防毒軟體。 | |
| (五)部分同仁不清楚本處資安政策及資安組織相關訊息。 | |
| (六)部分電腦未關閉電子郵件預覽功能。 | |
| (七)部分電腦安裝Skype、Line、Twitter、Facebook等程式。 | |
| (八)其他類型缺失。 |
本次稽核報告經函發受檢單位辦理改善,相關單位於106年8月25日前改善完成並填報矯正措施單進行追蹤列管,以避免缺失再度發生,或降低缺失造成之影響。本處將持續透過內部稽核方式加強資訊管理及提升人員資訊安全作業能力,藉以強化本處資訊安全管理制度。
|
||||||||
|---|---|---|---|---|---|---|---|---|
