上一篇内部稽核讲到
5. 监督作业
:进行下列监督作业,以确定本制度之有效性、及时性及确实性:
(1)例行监督
:主管阶层
本於职责,就分层负责授权业务执行持续性常态督导
。
(2)自行评估
:由相关单位依职责分工
,评估各组成要素运作之有效程度。
(3)稽核评估
:由内部稽核人员以客观公正之立场,协助检核内部控制实施状况,并适时提供改善建议
;发现内部控制制度缺失时,应向适当层级之主管阶层、董事会及监察人报告。於设计、执行或自行评估本制度时,应综合考量前项各款组成要素,并得依实际需要自行调整必要之项目。
着一篇就来说说自评表撰写要注意的事情吧
资讯安全自评表内容,撰写原则旨在自我检查现况,表单内容可依据资安政策为方向,将一系列的资讯安全管理制度运行程序阶段,分解为几大类型问项。
如果没有灵感,可参考自家程序书中的适用性声明书格式,加上评核项目、评核结果、说明、以及签核程序栏位,调整成自评表样态。
以资料备援为例:
项次 | 评核项目 | 评核结果 | 说明 |
---|---|---|---|
1.资通讯系统安全等级 | 资通讯系统依机密性、完整性、可用性完成分级作业 | □已分级、□未分级、□不适用 | □法源依据(请述明):______、□标准依据(请述明):______、□参考依据(请述明):______ |
2.现有备援措施 | 日常营运采用哪些措施确保资料完整性与可用性,□异地备援、□异机备援、□离线备援、□外接式硬碟、□USB随身碟 | □符合、□不符合、□不适用 | □管理程序(请述明):______、□申请表单(请述明):______ |
3.最近一次备援演练纪录 | 最近一年内已针对资料备援程序执行BCP演练作业,且备有相关作业程序与佐证纪录 | □符合、□不符合、□不适用 | 请述明:近期备援演练时间、文件编码与文件名称 |
4.最近一次备份档案有效性验证 | 最近已执行备份档案完整性与可用生验证作业,且备有相关作业程序与佐证纪录 | □符合、□不符合、□不适用 | 请述明:近期备份档案复原时间与成果、文件编码与文件名称 |
5.最近一次备份时间 | 最近已执行备份作业,且备有相关作业程序与佐证纪录 | □符合、□不符合、□不适用 | 请述明:近期备份时间、文件编码与文件名称 |
6.前一次稽核发现事项 | 简述前一次稽核发现事项与矫正程序是否一致 | □符合、□不符合、□不适用 | 请述明:近期稽核与矫正改善时间、文件编码与文件名称 |
PS:自评表原则以企业或机构永续经营全方位思考,会随着业务范围调整成多份简单的表单,简简单单的带过;也能细细写出企业或机构重视的每一个评核项目不同维度检测项目,缺点是细节多的文件须要同等专业背景人力较为容易上手。
资料来源:
增加营业项目、设置分支机构及转投资国内外事业资讯安全自评表PDF/Doc
资讯安全与个人资料保护稽核自评表
资通系统防护基准自评表
电脑机房异地备援机制参考指引
<<: 2.4.3 Design System - Banner
>>: 【程序】戒骄戒躁 转生成恶役菜鸟工程师避免 Bad End 的 30 件事 - 14
Piggybacking Network Functions on SDN Reactive Rou...
前篇我们介绍了关於机器学习的基础名词以及分类总集,接下来就让我们细讲人工神经网路的运作原理及基础结构...
直方图 直方图与上一篇所介绍长条图差别在哪里呢? 直方图通常用来观察连续性资料对於相同属性值的呈现结...
前言 JS 30 是由加拿大的全端工程师 Wes Bos 免费提供的 JavaScript 简单应用...
AI2的List很像阵列, 这个App记录读取List的方式 1.使用到的元件: Layout -&...