4.9. 機關內部資安稽核的範圍,是否僅限資訊單位?或需涵蓋全機關各單位?針對無資通系統之單位,應如何稽核?
考量資安法納管對象為全機關,並確保內部稽核有效性,機關內部資安稽核範圍應涵蓋機關資通安全維護計畫之適用範圍,而非僅限資訊單位,另建議先擬定整體稽核計畫,確認各單位之稽核頻率、稽核委員組成及稽核發現之後續追蹤管考機制等。
針對無建置資通系統之單位,稽核重點可針對同仁對資通系統之使用行為、社交工程演練落實情形及資安意識訓練等。
發布單位:資通安全署
建立日期:2022-06-23
更新日期:2024-03-29