作业层级目标-行政院主计总处.pptVIP

預防性控制(前) 藉由「事前」的控制，形成一道屏障來防止特別交易的不當進行或阻止錯誤的發生。例如：承保前之風險評估、對銷貨客戶之徵信、使用經核准之供應商名單 偵查性控制(中) 利用某些程序來偵測已發生之錯誤或不當交易。例如：編製銀行調節表、存貨盤點、與銷貨客戶之定期對帳 矯正性控制(後) 用來矯正偵查性控制所發現之問題或矯正交易之控制。例如：透過電腦對採購單之檢核可以偵測到未經核准之供應商號碼，進而追蹤其原因及時修正交易資料或防止向不適當供應商之採購 補償性控制 用來補償其他控制之不足，使得某些控制弱點不成為問題。例如：未有足夠之人力執行職能分工時，可透過由客戶或管理階層親自監督來彌補此一控制弱點。 系統上線前需經原始碼檢測 定期弱掃瞄、滲透測試 採免費軟體或請廠商進行原始碼檢測 嚴格執行權限控管與監督機制 控制措施說明 * 安裝防毒軟體 定期掃毒 隔離或刪病毒 VirusTotal 自行檢查之表件格式 XX機關內部控制制度自行檢查表 XXX年度 自行檢查單位：業務組D 作業類別(項目)：資訊安全事件通報 檢查日期： XXX 年 XX月 XX日 檢查重點 自行檢查情形 檢查情形說明 符合 未符合 作業流程有效性 (一)作業程序說明表及作業流程圖之製作是否與規定相符。 (二)內部控制制度是否有效設計及執行。 資訊安全事件通報 (一)記錄與通知: 業務承辦人員是否有填寫「資訊設備或系統異常狀況處理紀錄表」 業務承辦人員是否通知權責單位資安聯絡人? (二)判斷資安事件： 資訊安全事件之認定是否經由資安聯絡人與業務相關人員共同判斷? (三)通報資安負責人： 資安聯絡人是否有填寫「資訊安全事件通報單」? 資安聯絡人是否將資訊安全事件通報機關資安負責人? 資安負責人是否確認資安事件影響等級，並陳資訊安全推動小組執行秘書複核? (四)通報管理階層： 各級資安事件是否通報至資訊安全推動小組執行秘書? 第4級資安事件是否通報至資訊安全推動小組召集人? 若須向外通報，是否依程序通報至國家資通安全會報? 結論/需採行之改善措施： 填表人： 複核： 單位主管： * 作業流程(附件) * 本機關之作業流程包含內部各單位之業務，所設計之控制作業皆併入作業流程中設計，列舉如下： 一、共通性業務 (一)出納業務 (二)財產管理業務 (三)政風業務 … 二、個別性業務 (一)資訊安全管理業務 1. 資訊安全事故管理作業類別 (1)資訊安全事件通報作業項目 ? XX機關資訊安全事件通報作業程序說明表 * 項目編號 KD03 項目名稱 資訊安全事件通報 承辦單位 業務組D 作業程序說明 一、業務承辦人員自行發現，或接獲通報資安事件或異常事件時，應填寫「資訊設備或系統異常狀況處理紀錄表」，並通報權責單位資安聯絡人。(參考資訊安全聯絡人員名冊) 二、資安聯絡人接獲通知後，應與業務相關人員共同判斷是否為資訊安全事件。(參考資訊安全事件管理程序書之資安事件等級說明) 三、若為資訊安全事件，資安聯絡人應依狀況評估事件影響等級，並填寫「資訊安全事件通報單」後通報機關資安負責人。 四、資安負責人於收到「資訊安全事件通報單」後，依狀況確認事件影響等級，並陳資訊安全推動小組執行秘書複核後依程序進行通報。 4.1對內通報 各級資安事件均應通報至執行秘書，並通知權責人員進行事件處理；若為第4級則另須通報至資訊安全推動小組召集人。 4.2對外通報 若影響等級為4級或由外部單位反應之資安事件，由資訊安全推動小組召集人判斷，決定是否向國家資通安全會報通報。 控制重點 記錄與通知：業務承辦人員應填寫「資訊設備或系統異常狀況處理紀錄表」，並通知權責單位資安聯絡人。 判斷資安事件：資安聯絡人應與業務相關人員共同判斷是否為資訊安全事件。 通報資安負責人：資安聯絡人評估資安等級，並填寫「資訊安全事件通報單」，通報機關資安負責人，由資安負責人確認後陳資訊安全推動小組執行秘書複核。 通報管理階層：各級資安事件均應通報至執行秘書，第4級另應通報至資訊安全推動小組召集人，由其決定是否向國家資通安全會報通報。 法令依據 資訊安全事件管理程序書 使用表單 資訊安全聯絡人員名冊 資訊設備或系統異常狀況處理紀錄表 資訊安全事件通報單 資訊安全推動小組組織圖 XX機關資安事件通報作業流程圖 * * 報告大綱 * * PDCA循環架構 規劃 Plan 執行 Do 檢查 Check 矯正 Action 達成目標 謀定 勿憚改 而後動 有過 * 管理制度 * 補充-導入資訊安全管理制度(ISMS)歷程 * Information Security Management