財稅資訊處理手冊

—稽核管理—

財政部財稅資料中心 編印 中華民國 九十七年十月

財稅資訊處理手冊 — 稽核管理

目 錄 第一章 資訊稽核業務概述................................................................................................................1

第一節 業務依據及目的............................................................................................................1 第二節 資訊稽核業務流程........................................................................................................3 第三節 風險評鑑........................................................................................................................7

第二章 組織與權責........................................................................................................................12 第一節 資訊稽核組織............................................................................................................12 第二節 資訊稽核業務人員....................................................................................................13 第三節 資訊稽核業務訓練....................................................................................................14 第四節 資訊稽核業務權責....................................................................................................16

第三章 資訊稽核作業程序............................................................................................................20 第一節 稽核工作計畫............................................................................................................20 第二節 稽核方法及技巧........................................................................................................24 第三節 稽核作業執行程序....................................................................................................26 第四節 執行稽核作業注意事項............................................................................................29 第五節 稽核文書與稽核報告................................................................................................33 第六節 列管追蹤....................................................................................................................40

第四章 資訊安全政策....................................................................................................................41 第一節 資訊安全政策之制定................................................................................................41 第二節 資訊安全政策之評估................................................................................................42

第五章 組織內部資訊安全............................................................................................................43 第一節 資訊安全組織............................................................................................................43 第二節 資訊安全管理審查....................................................................................................44

第六章 資產管理............................................................................................................................45 第一節 資訊資產管理..............................................................................................................45 第二節 資訊安全等級分類....................................................................................................46

第七章 人力資源安全....................................................................................................................47 第一節 人員安全評估............................................................................................................47 第二節 資訊安全訓練............................................................................................................48

第八章 實體與環境安全................................................................................................................49 第一節 設備安全管理............................................................................................................49 第二節 區域安全管理............................................................................................................51

第九章 通訊與作業管理................................................................................................................54 第一節 網路安全管理............................................................................................................54 第二節 電子郵件之安全管理................................................................................................58

第三節 網際網路之安全管理................................................................................................59 第四節 網路安全管制............................................................................................................61 第五節 憑證機構之安全管理................................................................................................62

第十章 存取控制............................................................................................................................63 第一節 系統存取之規定........................................................................................................63 第二節 系統存取之管理........................................................................................................64 第三節 網路存取之安全控制................................................................................................65 第四節 電腦主機之存取控制................................................................................................66 第五節 應用系統之存取控制................................................................................................67 第六節 系統存取及應用之監督............................................................................................69 第七節 系統存取之內部查核................................................................................................70

第十一章 資訊系統取得、開發及維護........................................................................................71 第一節 系統安全需求規劃....................................................................................................71 第二節 應用系統之安全........................................................................................................72 第三節 應用系統軟體之安全................................................................................................74 第四節 系統變更及維護環境之安全....................................................................................75

第十二章 資訊安全事件管理........................................................................................................77 第一節 事件管理目標............................................................................................................77 第二節 控制程序作業說明....................................................................................................78

第十三章 業務持續運作管理........................................................................................................82 第一節 業務持續運作之規劃................................................................................................82 第二節 業務持續營運計畫之測試........................................................................................83 第三節 業務持續營運計畫之更新........................................................................................84

第十四章 法規遵循........................................................................................................................85 第一節 法規之遵循................................................................................................................85 第二節 安全政策、標準及技術性符合................................................................................86 第三節 資訊系統稽核的考量................................................................................................87

第十五章 內部稽核........................................................................................................................88 第一節 內部稽核概述............................................................................................................88 第二節 稽核證據....................................................................................................................95 第三節 查核程式....................................................................................................................98 第四節 內部稽核單位之管理..............................................................................................102

第十六章 外部稽核......................................................................................................................106 第一節 外部稽核概述..........................................................................................................106 第二節 外部稽核之規劃......................................................................................................108 第三節 外部稽核程序..........................................................................................................109 第四節 外部稽核之執行...................................................................................................... 111 第五節 外部稽核報告.......................................................................................................... 114

第十七章 附 則.................................................................................................................. 115 ISO 27001 內部稽核查核程式...................................................................................................... 116

國家機密保護法 (民國 92 年 02 月 06 日公布 )..................................................................139 電腦處理個人資料保護法 (民國 84 年 08 月 11 日公布 )..................................................145 稅捐稽徵法 (民國 97 年 08 月 13 日 修正)..........................................................................153 著作權法 (民國 96 年 07 月 11 日 修正)..............................................................................163 政府資訊公開法 (民國 94 年 12 月 28 日公布 )..................................................................185 行政院及所屬各機關資訊安全管理要點......................................................................................190 機關檔案保存年限及銷毀辦法 (民國 94 年 01 月 03 日 修正)..........................................196 機密檔案管理辦法 (民國 94 年 05 月 10 日 修正)..............................................................199

1

第一章 資訊稽核業務概述

民國七十七年十二月編訂 民國九十三年十一月修訂 民國九十七年十 月修訂

第一節 業務依據及目的

010101 業務依據

一、行政院 88.9.15 函頒之「行政院及所屬各機關資訊安全管理要點」

第三十六條。

二、財政部 91.6.24 函頒之「財政部暨所屬機關（構）資訊安全管理準

則」第十二章第一節第一條。

三、ISO/IEC 27001 2005(E) Information Technology – Security

Techniques – Information Security Management Systems -

Requirements。

010102 資訊稽核目的

資訊稽核業務之目的，消極方面，在於查核受稽單位是否切實依照相

關法規及程序執行業務，以發掘有無不符合情事，以及有無可改善之

處，以期及時矯正及預防；積極方面，由稽核單位提具改進建議協

助受稽單位建置更完善的作業及管理程序，以促進資訊業務健全發

展。故資訊稽核業務之目的可歸納如下：

一、確保資訊業務之執行遵循相關法規及管理要求

查核資訊作業單位與業務單位各項資訊業務，是否遵循相關法規

及政府主管機關之管理規定。

二、確保機敏性資訊業務及系統具備資訊安全及內部控制機制

組織應建置符合相關規範之有效內部控制及資訊安全控管機制，

以控管機敏性資訊業務及系統之相關作業及流程。

三、確保資訊業務有效執行作業流程及相關資訊安全和內部控制機制

組織資訊業務除應依據作業流程落實執行外，亦須同時執行相關

之資訊安全和內部控制作業，以確保資訊安全及符合法規。

四、促進資訊業務提升效率及品質

2

查核受稽機關或單位之資訊業務，是否符合業務單位及主管機關

對於業務品質及效率之要求。

五、發揮預防、矯正的功效

依據各項業務的稽核結果，就所發掘及潛在的缺失，研提改進方

案及建議，以發揮矯正、預防之功效。

010103 手冊適用範圍

本手冊內容所採用之稽核流程及稽核標的係參考 ISO 27001 所揭示之

流程及控制項目為主；至機關單位間之行政流程及分工，則依現行財

政部所屬機關資訊業務與財稅資料中心，或其他政府主管機關間之權

責及角色所制定，因此本手冊之適用範圍，主要為本部所屬機關之資

訊業務稽核，包括內部稽核、外部稽核及自行查核，惟若僅就資訊業

務進行稽核，而未涉行政權責分工或行政程序，則本手冊應適用於一

般資訊業務之稽核。

010104 本手冊所列資訊業務稽核流程及項目並非絕對完整，各機關單位應依

據組織本身的特殊環境與情況，考慮增加其他必要的稽核標的或控制

項目，以提昇資訊業務之風險控管效能及法規遵循度。

010105 各機關資訊稽核單位執行資訊稽核業務，除應事先充分瞭解各項有關

法令、管制程序等規定外，悉依本手冊規定實施資訊稽核作業。

010106 本手冊內容如有未盡事宜，請依相關法規辦理。

3

第二節 資訊稽核業務流程

010201 依據 ISO 27001 所制訂之資訊安全管理系統，包括資訊稽核業務，基本

上均遵循戴明(William Edwards Deming)「規劃-執行-查核-行動」(Plan-

Do-Check-Act,PDCA)四階段的程序模式(如圖 1-1)：

一、規劃階段：先要了解稽核的目的和需求，並據以規劃稽核工作計

畫。

二、執行階段：依據規劃階段所產出的稽核工作計畫實際進行稽核工

作。

三、查核階段：依據執行階段的稽核發現進行影響評估，並提出改進

建議。

四、行動階段：對於查核階段所提出的建議，進行追蹤列管，以督促

受稽單位依限提報及完成矯正預防措施。

利害相關團體

要求及期望

利害相關團體

有管理的 資訊稽核

制定稽核工作計畫

執行稽核

評估審查

建議事項之 追蹤列管

規劃

查核

執行 行動

圖 1-1 PDCA 程序模式

4

010202 資訊稽核業務應將組織願景、目標及策略納入考量，並以風險為基礎，

做為選擇稽核重點以及規劃稽核工作計畫之參考；依據「規劃-執行-查

核-行動」(Plan- Do-Check-Act,PDCA)四階段的程序模式，資訊稽核程

序亦可分為四個主要階段(圖 1-2)，各階段主要工作內容如下：

一、擬訂稽核工作計畫： 1.依據組織所處的環境、願景、策略及年度目標，分析各目標可能

的風險事件。

2.對各項潛在事件進行初步的風險評鑑。

3.依據風險等級擬定稽核工作計畫(audit plan)。

二、執行查核程式：依據規劃階段所產出的稽核工作計畫實際進行稽

核工作。

1.依據風險的高低，擬定查核程式(audit program)。

2.執行查核程式。

三、撰寫稽核報告：

1.依據查核的發現，評估其影響的風險等級。

2.依據查核發現的風險等級與組織資源狀況，提出建議報告。

3.依據查核過程對於受稽單位及相關資訊業務，所掌握的最新資訊

和認知，進行必要的風險等級調整。

四、追蹤改善：對於查核階段所提出的建議，進行追蹤列管。

1.依據查核發現的風險等級，擬定追蹤改善計畫。

2.依據改善成效，重新評估風險等級，是否符合管理階層的可接受

風險。

擬訂稽核工作計畫

執行查核程式

撰寫稽核報告

追蹤改善

圖 1-2 稽核程序

5

010203 稽核人員的選擇及稽核之執行，應確保稽核過程的客觀公平，且稽核

人員不應稽核其本身的業務。

010204 擬定稽核工作計畫：

應先界定組織目標(Objectives)，並據以進行風險(Risks)辨識，找出可能

影響目標達成的因素，再就這些風險因素篩選出較可能影響組織或業務

目標者，並可參考以往稽核的結果，以決定稽核之重點或主要的稽核範

圍；有關風險之評鑑請參閱本手冊第一章第三節；有關稽核工作計畫應

涵蓋內容請參閱本手冊第三章第一節。

010205 執行查核程式：

針對稽核範圍內的各種風險等級，辨識出組織現行的風險控制方法及活

動，據以擬定細部查核程式，並依查核程式進行查核工作；有關查核程

式之格式請參閱本手冊第十五章第三節。

010206 查核程式之內容主要包括：

一、定義稽核準則(criteria)。

二、決定稽核範圍(scope)。

三、決定稽核方法。

四、安排稽核時程。

五、受稽單位應配合事項。

六、稽核軌跡之收集(如系統日誌、申請表單、核准單據或公文及相關

卷證)。

七、稽核項目可從下列 ISO 27001 的 11 個領域之資訊業務控制項目中

挑選(相關控制項目請參考本手冊第四至十四章)：

1.資訊安全政策(Security policy)。

2.組織內部資訊安全(Internal organization)。

3.資產管理(Assets management)。

4.人力資源安全(Human resource security)。

5.實體及環境安全(Physical and environmental security)。

6

6.通訊與作業管理(Communications and operations management)。

7.存取控制(Access control)。

8. 資 訊 系 統 籌 獲 、 開 發 、 及 維 護 (Information system

acquisition,development,maintenance)。

9.資訊安全事件管理(Information security incident management)。

10.業務持續管理(Business continuity management)。

11.法規遵循(Compliance)。

010207 撰寫稽核報告：

完成稽核後應依稽核發現撰寫稽核報告，內容應包括；有關稽核報告

格式請參閱本手冊第三章第五節：

一、稽核依據。

二、稽核摘要(稽核背景、目的及稽核期程)。

三、稽核範圍(受稽單位、受稽業務)。

四、稽核程序。

五、稽核人員。

六、稽核結果(優、缺點及可能之影響)。

七、稽核結論與改善建議。

八、附件。

010208 追蹤改善：對於稽核過程所發現的殘餘風險，超過可接受風險值之控

制項目、不符合相關規定之事項及作業缺失，應請受稽單位擬訂矯正

及預防措施，並應依限執行完成，權責單位對於各項應行矯正及預防

措施應予列管至執行完成後解除列管。

7

第三節 風險評鑑

010301 為充分發揮稽核人力效能，同時減少對受稽單位之干擾，有效達成資訊

稽核目的，規劃及執行資訊稽核業務應以各機關(構)識別之各項風險為

基礎，將風險較高之項目，納入稽核範圍或列為稽核重點；風險評鑑

可參考 ISO13335 標準，將資訊系統可能之威脅與弱點，分為以下六類

風險評估類型：

一、人為因素：包含因人員有意或無意行為、人力資源管理所產生之

風險。

二、資料、文件：包含資料、文件之建立、維護、控管、傳遞不當所

產生之風險。

三、軟體：包含系統開發、設計、維護、操作之不當所產生之風險。

四、硬體：包含所有硬體設施之失效、損毀等可能風險。

五、通訊： 包含資料、影像、聲音傳輸媒介失效等所可能產生之風

險。

六、環境：包含天災、供水、用電、空調等整體資訊環境之可能風

險。

010302 風險評鑑：針對每一類型風險，應辨識出可能發生的風險事件(表 1-

1)，再依據組織可承受風險的情形及組織文化等因素，以質化或量化的

方式去衡量風險及其影響的等級(表 1-2)；組織應隨環境、科技、業務

等的改變，定期檢討風險評估，作為擬定稽核工作計畫之參考，風險鑑

別程序如下： 風險種類 風險類型 風險定義 主要事件

自然風險 天然災害 組織受天災影響而中斷服務 1.地震

2.颱風

作業風險 軟硬體系統 資訊系統設計不良，影響作業效率 1.資料安全漏洞

2.不當整體資訊架構

表 1-1

8

風險等級 衝擊 衝擊評估標準 對業務之影響 對商譽之影響

4 極高 對組織價值造成極嚴重的損失

業務需較長的時間才能恢復或難以恢復

對組織商譽的傷害難以挽回

3 高 1.對組織價值造成嚴重的損失

2.損失超過 100 萬元 服務中斷 3 天以上 1.失去大部分民眾的信任

2.媒體大量負面報導

2 中 1.對組織價值造成中度的損失

2.損失介於 10 元萬至 100萬元

服務中斷少於 3 天 1.失去一部分民眾的信任

2.媒體負面報導

1 低 1.對組織價值造成輕微的損失

2.損失小於 10 萬元

服務延遲 1.部分民眾的質疑

表 1-2

一、威脅暨弱點評估

1.資訊資產權責單位依據前述風險類型於「資訊資產威脅弱點評估

表」(表 1-3)，就可能引發該關鍵性資訊資產，產生特訂類型風險

之各種威脅及弱點進行分析和評估。

資訊資產威脅弱點評估表

文件編號:

施行日期: 版本: 機密等級：

資產名稱： 資產編號： 價值: C: I: A: 權責單位：

風險類別:文件資料

可能性 衝擊性

威脅

弱點

無(0) 低(1) 中(2) 高(3) 微(1) 低(2)中(3) 高(4)

風險值

識別與認

證機制的

不足

存取權限

授與不當

未保護儲

存文件

未適當控

管儲存媒

介之存取

缺乏安全

警覺

表 1-3

2.各資訊權責單位應執行各權責資訊資產之風險評鑑。

9

二、事件發生機率的評估

1.事件發生機率的評估：事件(威脅-弱點)發生機率值可參考下表得

出。

可能性評估標準 機率 等級

不可能發生或不適用 無 0

很少發生 低 1

偶爾發生 中 2

時常發生 高 3 表 1-4

2.依據各項資訊資產現有控制情形，判斷每一資產之各項威脅、弱

點發生可能性(即事件發生機率的評估)。

3.為有效進行風險評鑑作業，資訊資產類別、價值及管理環境一致

之資訊資產可使用群組(grouping)方式進行評估。

三、風險值計算

1.資訊資產權責單位之各項關鍵性資訊資產於選擇相關的事件(威脅-

弱點)類別後，再針對個別的事件(威脅-弱點)依序評估其發生機率

(表 1-4)及事件衝擊(表 1-2)，最後計算出風險值 (表 1-3) 。

2.事件衝擊程度的評估：主要針對各項威脅利用弱點而產生事件，

去判斷該事件發生對於組織的衝擊程度（損失、損害程度），可由

機密性、完整性與可用性三方面綜合考量(表 1-3)。

3.評估完事件發生機率及衝擊程度後計算出風險值；風險值=（資訊

資產價值*事件發生機率(等級)*事件衝擊(等級)），其中資訊資產

價值，依其重要性由小到大分為 4 級，數值從 1 到 4。

四、確認風險評估結果

1. 執行資訊系統風險評鑑時，應考量資訊安全等級、弱點與威脅，

來評估出資訊系統資最終風險值及可接受風險值。

10

2.對於風險值高於可接受風險值之資訊資產，應採取妥適之控制措

施，使該資訊資產之風險值經控制後，低於可接受風險值。

3.各機關單位完成資訊資產風險評鑑後，應統計出各資訊資產之綜

合風險值，並妥善保管風險分析結果，供後續調整及稽核等工作

之參考。

4.各機關單位之風險評鑑結果，產出風險評鑑報告，呈報主管審核

後，做為作風險管理之依據。

010303 風險管理

一、決定可接受風險值

1.各機關單位相關資訊資產之可接受風險值，需經主管開會決議，

並記載於會議紀錄中。

2.可接受風險值得考量機關單位所處環境及作業之安全需求作適當

調整，每年應召開會議檢討。

二、選擇控制措施

評估資訊資產之最終風險值後，若風險值超出可接受風險值，該

資訊資產之權責單位應參考 ISO 27001 標準選擇適當之控管措

施，以進行適當之風險管理。

010304 複核

一、監控

風險改善計畫應呈報主管審核，並列入追蹤管理程序，由稽核或

管考相關單位負責追蹤及管理。

二、持續改善

1.風險評估是一個持續改善的過程，並非一蹴可及，必須隨著風險

管理的結果，再重新進行評估，以期在風險管理上能不斷地改

進，確保組織資訊資產均處於最佳保護之下，提供持續不中斷的

營運。

2.為保持本風險評估方法之有效性與適用性，得定期檢討可接受風

險值與威脅及弱點評估表之項目。

3.各機關單位應定期對資訊系統，進行獨立及客觀之風險評估，以

11

協助有效預防資訊安全事件之威脅。

三、風險再評估

1.定期風險再評估：各機關單位每年應定期執行一次全面性資訊資

產風險評估。

2.不定期風險再評估：由各資訊資產之權責單位負責於新增系統、

系統有重大異動或作業環境改變時執行。

3.資訊安全政策發布後之新增系統，應於規劃時，進行風險評估。

12

第二章 組織與權責

第一節 資訊稽核組織

020101 本部所屬各機關(構)為確保資訊業務之執行，符合管理需求並遵循法

規，應建立資訊稽核機制，對資訊業務進行稽核。

020102 資訊稽核功能應具有客觀及獨立性，各機關資訊稽核機制得視組織規

模與型態，決定由正式編制、任務編組或由其他公正單位執行。

一、機關具相當規模或已設置一般業務稽核單位者，其資訊稽核業務

宜納入該稽核單位。

二、機關內未設置一般業務稽核單位者，應由機關首長指派具資訊業

務經驗之人員，組成專責單位或任務編組執行資訊稽核業務。

三、機關亦得委託其他具專業之第三方公正人士進行資訊稽核業務。

020103 資訊稽核業務需要機關最高管理階層支持，方能發揮效能，且為確保

客觀及獨立性，資訊稽核單位不宜由資訊業務單位主管兼辦，實施初

期宜由一級單位主管或由機關副首長負責。

13

第二節 資訊稽核業務人員

020201 各機關進用或選派參與資訊作業稽核業務之人員，應具備下列任一條

件：

一、具資訊應用系統規劃經驗 3 年以上實務工作經驗者，且其性向適

合稽核工作者。

二、具資訊業務 3 年以上實務工作經驗者，兼有會、審計素養者，亦

優先考慮。

三、從事一般稽核業務（內部稽核）2 年以上經驗者，並有興趣接受

資訊作業訓練，且有信心能勝任新工作者。

四、對資訊業務有專門技能者。

五、資訊業務程式設計人員。

六、具資訊業務學歷背景之新進人員

七、具備下列相關稽核證照者，如：

國際電腦稽核師（CISA）

國際資訊安全管理師（CISSP）

取得 BS7799 主導稽核員（BS 7799 Lead Auditor）

取得 ISO27001 主導稽核員(ISO27001 Lead Auditor)

具備上述條件者，尚應考慮具誠實、客觀、勤勉、忠誠及謹慎等處事態度。

020202 各機關從事資訊稽核業務之員額，應視組織情況、資訊業務及機敏資

料量，以及組織風險情形等，適當調派，惟員額與其職掌均需以達成

健全資訊稽核功能為目標。

020203 資訊稽核業務之實施為期客觀與公正，稽核人員執行各項查核作業時，對年度資訊稽核工作計畫及專案稽核等，均應以稽核軌跡、工作

或系統日誌、申請或授權表單或文書，以及相關卷證為基礎，以客觀

合理的科學方法進行研析，俾提具詳實的稽核報告。

020204 資訊稽核人員於實施稽核作業前應充分瞭解各項有關資訊業務環境、

業務流程、控管機制及相關法規等；配合對業務人員之訪談，以深入

掌握業務狀況，做為研提稽核報告之依據；惟稽核人員因職務關係對

所獲悉之機密資料，亦應負保密之責。

14

第三節 資訊稽核業務訓練

020301 資訊稽核業務由於涉及之專業知能至為廣泛，故對資訊稽核人員應於

職前或在職期間有計畫的安排相關專業訓練。

020302 資訊稽核人員除需具有一般的業務知識外，亦應依其職務及實務所需

施予訓練。

一、訓練項目：

(一)資訊業務部門之組織。

(二)電腦作業系統基本原理。

(三)電腦設備具有之檢核功能。

(四)電腦主機、伺服器、週邊設備與通訊設備之基本功能。

(五)應用系統開發設計及委外管理。

(六)檔案及資料庫設計與處理。

(七)網路概念及管理。

(八)資訊安全管理及稽核概念。

(九)資安事件研習。

(十)其他資訊稽核、相關法令、資訊系統、資通訊安全等相關課

程。

二、訓練項目可分階段實施：

(一)初階得以資訊業務及軟硬體基本概念、相關功能、使用方法

及可能產生之錯誤原因等實施訓練。

(二)進階則可以資通訊安全、相關法令、資訊稽核等實施訓練。

020303 為落實各機關資訊稽核人員之訓練，應先規劃各層級培訓課目及時數，並將訓練情形完整記載。

020304 各機關資訊稽核專業訓練，除聘請專業人員指導外，得由經驗豐富的

稽核人員採稽核實例解說或輔以研討方式進行模擬稽核，其內容包

括：

一、研讀實例

二、模擬稽核過程

三、研析查核報表

15

020305 資訊稽核人員平時需隨時吸收資訊系統與稽核方面之新知，對於組織

內相關業務規定之變革應隨時掌握，並經常與權責機關或其他機關資

訊稽核單位交換作業經驗，俾增進資訊稽核業務之效能。

16

第四節 資訊稽核業務權責

020401 財政部資訊稽核業務之權責機關單位如下：

本部財稅資料中心為財政資訊體系整體規劃幕僚機關，對本部所屬機

關(構)有權進行資訊業務之外部稽核，受其查核之機關（構）包括：

一、本部資訊業務相關單位

二、本部所屬機關(構)資訊業務相關單位

020402 本部所屬各機關（構）資訊業務稽核權責分工如下：

一、財稅資料中心

(一)財政資訊稽核相關法令、辦法之研考、修訂、制度之規劃與

研究設計。

(二)對本部所屬各機關（構）實施外部稽核。

(三)對本部所屬機關（構）年度資訊業務稽核工作計畫之管考。

二、本部各單位及所屬各機關（構）

(一)資訊稽核政策之建議及相關法令之轉頒實施與研究設計。

(二)機關年度內部稽核工作計畫之研訂與執行。

(三)所屬各單位「內部自行查核」作業。

(四)督導所屬各單位辦理「內部自行查核」作業。

(五)對所屬各單位資訊業務應擇期實施稽核。

(六)對內、外部稽核所提改進事項督導有關單位執行，並查核執

行成效。

020403 配合資訊業務稽核之查核，各機（構）受稽單位應實施與配合事項如

下：

一、各單位對各項資訊業務，應秉持權責分工(separation of duty)、可

歸責性(accountability)、不可否認性(non-repudiation)等原則，先

建立內控機制，依法規、資安或風險控管等規定，於重要業務

流程中部署稽核點，並留存稽核軌跡，同時對於接觸機敏資料

或業務流程的人員，應有授權或申請核准機制，並應留存授權

或申請書表或公文書，及相關工作或系統日誌，以作為稽核之

佐證資料。

17

二、各單位依據前述佐證資料，本身應先規劃執行「內部自行查核」

作業。 三、配合外部稽核機關及機關內資訊稽核單位之查核，指派相關人

員充分協助稽核業務之執行。 四、凡屬稽核範圍之案卷、簿籍、憑證、紀錄、佐證資料及財物等，

非經奉准不得拒絕查核，非因特殊狀況不得藉故拖延送核。 五、各有關業務主管或承辦人，對資訊稽核人員所詢問稽核事項，應

即時據實說明，以利有效完成協調及確認。 六、對內、外部稽核所提改進建議，應儘速採取適當矯正及預防措

施，切實改進，並應依限將辦理情形簽報機關首長及權責機關

核備。 020404 本部所屬各機關(構)為確保資訊業務之執行，符合管理需求並遵循法

規，對資訊業務除應建立內控機制外，亦應擇期進行稽核，相關稽核

類別包括(如圖 2-1)： 一、資訊業務單位之內部自行查核。 二、來自組織本身稽核單位之內部稽核。 三、來自外機關或其他公正團體之外部稽核。

資訊業務流程 資訊業務流程 稽核點

稽核軌跡 日誌 授權或申請書表

內控機制

資訊業務

資訊單位內部自行查核

組織內部稽核

來自外機關或其他公正團體之外部稽核

圖 2-1

18

020405 各機關資訊稽核單位應遵照「財政部暨所屬機關（構）資訊安全管理

準則」及本手冊各項規定執行各業務單位內部自行查核資訊安全控

制、一般控制、應用控制、效率評估等作業。

020406 為發揮資訊稽核業務之效能，資訊稽核人員應掌握業務重點，妥擬各

項稽核工作計畫與程序，憑藉專業知識與良知，本客觀立場及獨立作

業的精神執行任務，並保持謙誠態度，爭取受稽單位的合作，以竟事

功。

020407 資訊稽核人員之權責如下：

一、執行任務前，應詳細研讀本手冊與相關法規、資料並予靈活運

用。

二、對於受稽單位有關之業務案卷、簿籍、憑證、佐證資料、資源設

備、內部管制及其工作場所均有查核之權。

三、有關資料、憑證、佐證資料、報表等必要時可予以簽收保留。

四、得向受稽單位及有關人員提出詢問或索取相關查核事項之文件與

證明。

五、得檢討受稽單位之作業績效。

六、對於已失效或不合實際需要之法令、辦法、手冊等，得研究建議

主管機關修正或廢止。

七、對受稽單位所蒐集與瞭解之案件內容、文件資料等，負有保密

（管）之責。

八、發現受稽單位重大業務缺失事項，不負直接糾正責任，但在提呈

稽核報告前，應將有關問題及改進意見先與受檢稽單位業務主管

協調。

九、不得代表資訊稽核單位向受檢稽單位為任何之承諾。

十、執行稽核時，除有特殊情形應在受檢稽單位作息時間內行之。

十一、執行稽核前，應規劃稽核時程表（如附表 020407-1），並通知

各相關受稽單位，以利稽核工作進行時相關事項之配合。

19

稽核時程表 稽核依據：

稽核日期 稽核時間 稽核人員 稽核範圍 受稽單位/對象 配合事項 備註

編製者： 日期： 年 月 日

複核者： 日期： 年 月 日 附表 020407-1

20

第三章 資訊稽核作業程序

第一節 稽核工作計畫 030101 年度資訊稽核工作計畫：

一、本部所屬機關（構）資訊稽核單位應於下年度資訊稽核業務實施前

二個月(即當年度十月起)擬訂「年度資訊稽核工作計畫」，簽報機關

首長核定後據以實施，並於每年十二月底前報請財稅資料中心核

備。

二、擬訂稽核工作計畫時，應以風險評鑑結果為基礎，並應就 ISO 27001

的 11 個領域中之資訊業務控制項目(參閱第四章至第十四章)、績效

評估、及內部自行查核之稽核項目等，決定查核範圍及項目，對稽

核項目應先檢討其現況、預定使用之稽核人力，並說明稽核需求(包

括受稽單位須配合事項)，並敘明工作計畫進行的方式和優先順序，

掌握下列事項予以擬訂：

(一)查核依據

(二)查核範圍

(三)查核項目及順序

(四)查核時程

(五)稽核人力及分工

(六)查核方式

(七)受稽單位應準備或提供的各項佐證資料、文件及配合事項

其相關填寫說明請詳附表 030101-1。

030102 專案稽核工作計畫：

一、機關首長臨時指示查核之業務，資訊稽核單位應即依作業期限、

業務特性等擬訂「專案稽核工作計畫」，俟核定後據以實施。

二、資訊稽核單位配合「專案稽核工作計畫」之執行，應辦理下列事

項：

21

(一)指派稽核人員或組成稽核小組。

(二)安排工作時程。

(三)通知受稽單位，有關專案稽核任務、範圍、作業期間，及所需之

支援或配合事項。

(四)參採相關文件、指示、手冊或佐證資料等。

(五)協調內部或外部特殊支援。

(六)提出專案稽核報告。

三、「專案稽核工作計畫」內容同「年度資訊稽核工作計畫」。

030103 各機關資訊稽核單位對「年度資訊稽核工作計畫」與「專案稽核工作計

畫」相關稽核事項與查核日期等均應予保密。

030104 各機關應依風險評鑑結果規劃稽核範圍和項目，惟以往尚未稽核或前次

稽核發現缺失或需改善之相關資訊業務或項目，亦應斟酌納入稽核範

圍。

030105 機關內若有大規模系統擴充、新增系統、重大人事變動或出現弊端之事

項，均應納入年度稽核重點或實施專案稽核。

030106 各機關為確保業務永續經營，應定期將資訊業務實體安全與災變回復納

入稽核範圍，若遇作業環境變遷，應即納入該年度稽核範圍內。

22

稽核工作計畫填寫說明

一、查核依據

-ISO 27001:2005

-上級機關之規定

-行政院及所屬各機關資訊安全管理規範

-行政院及所屬各機關資訊安全管理要點

-財政部暨所屬機關(構)資訊安全管理準則

-其它組織內相關規定

二、查核範圍

請說明查核之範圍，例如：財政部財稅資料中心綜合所得稅查調管理作業及

系統維運作業之資產管理、實體及環境安全、通訊及作業管理等。

三、查核項目

(一)資產管理

1.所有資訊資產是否已明確識別，並製作資產清冊？

2.資訊資產是否均已指派特定所有人？

3.資訊資產是否依價值分類？

(二)實體及環境安全

1.安全區域是否設有進入控制措施，只允許有授權人員進入？

2.對於電力中斷或其他支援設施失效是否已有應變措施，以防止資訊業

務中斷？

3.未經事先授權相關資訊資產是否禁止攜出？

(三)通訊及作業管理

1.作業程序是否製作文件，並定期維護更新？

2.對於設備或系統變更是否已建立控制機制？

3.是否區分開發、測試及作業環境？

四、查核時程

23

自民國 96 年 11 月 1 日至 11 月 30 日。

(一)資產管理：96 年 11 月 1 日至 11 月 10 日

(二)實體及環境安全：96 年 11 月 1 日至 11 月 20 日

(三) 通訊及作業管理：96 年 11 月 1 日至 11 月 30 日

五、稽核人力及分工

(一)資產管理：李ＸＸ、張ＸＸ

(二)實體及環境安全：張ＸＸ

(三) 通訊及作業管理：陳ＸＸ

六、查核方式

(一)資產管理：書面審查、實地查核

(二)實體及環境安全：書面審查、實地查核、訪談

(三) 通訊及作業管理：實地查核、訪談

七、受稽單位應準備或提供的各項佐證資料、文件及配合事項

-請受稽單位準備之文件：例如欲執行稽核之相關文件、紀錄、系統日誌、

表單等。

-請受稽單位配合事項：例如與會人員之安排、相關設備之提供、實體環境

查訪之配合等。

附表 030101-1

24

第二節 稽核方法及技巧

030201 資訊稽核單位於擬訂稽核工作計畫及實際執行稽核工作前，應對受稽單

位之組織目標和功能、業務流程、權責分工及相關規定等，進行初步瞭

解。

030202 資訊稽核單位可採取下列方式，對受稽單位及其業務進行瞭解：

一、取得受稽單位現有作業流程之相關文件

二、對於相關業務進行實地觀察(observation)

三、對受稽單位人員進行訪談(interview)

四、對於相關文件、申請書表或日誌、輸出入資料、資料庫、軟硬體系

統等進行檢查(inspection/examination)

五、執行逐步檢視(walkthrough)

六、對於作業流程進行再操作(reperform)測試及結果比對

030203 受稽單位現有資訊作業流程之相關文件若與實際作業流程不符，應要求

受稽單位於一定期限內完成修改，若受稽單位無資訊作業流程書面文

件，亦應要求受稽單位於一定期限內完成撰寫；另書面文件與電子文件

亦應維護其一致性。

030203 對於受稽單位之人員進行訪談，其目的在於：

一、 確認受稽單位人員熟悉作業流程，以及確實於控制點上執行相關控

制措施

二、 確認受稽單位人員所熟悉之作業流程，與書面文件一致

030204 對於受稽單位之人員進行訪談應秉持下列原則進行：

一、 保持專業的懷疑態度，並適時請其提供相關文件，以證實對方之陳

述。

二、 對於不一致的資訊或陳述應進一步加以瞭解。

三、 對於任何企圖阻止或妨礙稽核的情況，可能有潛在風險，應保持警

覺。

四、 從訪談過程及相關文件若發現從未發生錯誤的項目，應評估其原

因，究係因有良好的預防控制措施；或者業務承辦人未落實執行控

25

制措施。

030205 逐步檢視(walkthrough)是充分了解組織及其相關控制最有效的方法，所

謂逐步檢視是指對一項交易(transaction)或業務，從開始到結束整個流程

的每一個步驟進行檢視，本項方法特別適用於瞭解作業流程複雜的組

織，或者導入新業務或業務有重大變革的組織，逐步檢視之主要功能在

於：

一、 確認稽核人員對受稽單位業務之瞭解

二、 協助辨識業務之重大異動

三、 對相關設計的有效性評估

四、 確認控制措施是否落實執行

五、 確認控制措施相關證據之取得方式

030206 稽核人員進行逐步檢視可採取下列步驟：

一、 訪談時際執行控制措施之相關人員

二、 觀察控制措施被執行的情形

三、 對控制點的文件進行複核

030207 稽核人員進行逐步檢視時，應詳細紀錄下列重要事項：

一、 對於受稽業務及相關人員之詳細描述，包括受訪者之職級、姓名、

檢視或複核文件之名稱

二、 記錄已完成逐步檢視之作業流程

三、 記錄不符合組織規定的情形

四、 應設置控制點而未設置之處及其證據

26

第三節 稽核作業執行程序

030301 資訊稽核作業執行程序共分五個步驟實施：

一、初步瞭解受稽單位資訊業務與控制架構(包括流程、資料使用情

形及內部控制基本架構)

二、評核資訊系統及資訊業務內部控制之適足性

三、進行遵循測試，以瞭解資訊業務內部控制是否可以信賴

四、根據遵循測試結果，規劃及進行實證測試，以取得相關稽核證據

五、根據稽核結果撰寫稽核報告

030302 初步瞭解：

一、資訊稽核人員除應瞭解應用系統如何經由原始憑證的登錄、資料轉

換、系統執行程序、輸出報表的分送及流程、內部控制機制，及具

有潛在風險的項目均應加以瞭解，並以下列方式執行查核：

(一)審查相關書面文件：包括系統文書、使用者（處理）手冊、輸

入資料說明書等。

(二)與相關業務人員交換意見：包括使用者、系統分析人員、程

式設計人員。

(三)測試、分析、比較相關資料或紀錄。

二、資訊稽核人員對於受稽資訊系統應取得下列基本資料：

(一)電腦處理的業務名稱

(二)電腦處理該項業務的目的

(三)系統名稱及代號

(四)系統執行工作的日期

(五)使用的電腦機型

(六)資料處理的頻次和方式（批次或線上作業系統）

(七)處理資料的單位及資料庫負責人員

三、資訊稽核人員對於受稽業務，除應取得作業憑證資料、作業流程等

資料外，應收集下列資料：

27

(一)原始憑證的名稱、編號。

(二)原始憑證的起始點。

(三)原始憑證流經之部門或人員，以及對憑證進行何種處理。

(四)原始憑證的聯單，及其流程。

(五)各部門對原始憑證的管制措施。

(六)電腦處理結果或報表之使用者及使用方式。

030303 評核資訊系統及資訊業務內部控制之適足性：

一、深入瞭解資訊系統處理的程序：

(一)輸入資料在登錄或轉換過程中是否發生誤差。

(二)異動資料的登錄是否均完成核准程序，有無未經授權增刪或篡

改資料情形。

(三)資料處理過程，是否發生錯誤。

(四)輸出之報表是否適時分送予適當的人員。

二、資訊系統的內部控制項目：

(一)資料輸入管制

(二)資料處理作業管制

(三)資料輸出管制

(四)檔案管制

(五)資料轉換管制

三、除資訊系統外亦應就受稽資訊業務之內部控制與整體控制制度予

以瞭解，並據以決定後續查核工作的方向與深度。

030304 進行遵循測試，以瞭解資訊業務內部控制是否可以信賴：

資訊稽核人員可針對特定的控制項目進行遵行測試，以研判內部控制是

否值得信賴

030305 遵行測試：

資訊稽核人員應會同受稽單位人員執行下列查核：

一、針對特定資訊業務查核該業務是否已建立內部控制機制，並依內

部控制及其他相關法規對相關業務人員授予適當權限。

28

二、該項資訊業務之執行是否確實與作業手冊或相關文件所規定之流

程相符。

三、該項資訊業務是否依規定於相關稽核點留存稽核軌跡，定期併同

相關原始憑證及該項資訊業務執行結果接受稽核，並依稽核結果

執行矯正預防或改善措施。

030306 證實測試：

證實測試之目的在於蒐集充分的證據，以確定資訊業務之正確性與可靠

性，資訊稽核人員應會同受稽單位人員完成下列事項：

一、以測試資料依據業務流程執行，並辨識處理過程有無錯誤發生。

二、檢核並評定處裡結果的正確性及品質。

三、檢核並確認資料的完整性。

四、比對處理結果與實地查驗之資料。

29

第四節 執行稽核作業注意事項

030401 執行資訊業務一般控制稽核時，需確認之相關事項：

一、與資訊業務單位確定稽核範圍、日程、參與之人員及所需之支援。

二、與資訊業務管制人員溝通以瞭解其依據之方法、程序及標準。

三、與執行單位之主管或指定人員溝通以瞭解實際工作狀況。

四、與系統使用單位之主管或指定人員溝通以瞭解工作狀況滿意程度、

問題及意見。

030402 執行應用系統稽核時，需確認之相關事項：

一、應用系統開發階段（事前稽核）：

(一)瞭解資訊作業管制人員之職責範圍。

(二)瞭解系統設計單位(包括委外廠商)之安全管制需求。

(三)瞭解系統使用單位之安全管制需求與業務功能。

二、應用系統使用階段（事後稽核）：

(一)資訊作業管理階層應協調參與人員與支援。

(二)資訊作業管制人員應提供該系統之安全管制紀錄與意見。

(三)資訊作業系統設計人員應協助稽核人員對系統進行瞭解。

(四)系統使用人員應提供系統使用狀況說明與意見。

030403 執行災變回復或業務永續營運應變能力之稽核時，需確認之相關事項：

一、資訊作業單位需提供災變回復或業務永續營運計畫及演練作業紀

錄。

二、作業（執行）單位需提供相關作業說明、災變回復或業務永續營運

計畫演練作業紀錄與檢討、人員指派狀況等文件、協調稽核日程及

參與人員。

三、系統使用單位管理階層協調參與人員與日程，並提供對相關應變計

畫之意見。

四、必要時並得徵詢政風室及會計人員意見。

030404 為增進稽核對象之瞭解，應就查核業務、應用系統及作業狀況等採下列

30

方式進行：

一、聽取簡報

二、參閱作業說明

三、參閱系統文書、流程圖、程式清單等

四、參閱測試紀錄

五、參閱問題紀錄簿

六、參閱會議紀錄

七、參閱前次稽核文件

八、採用問卷法或直接訪談

九、有系統地蒐集相關資料與日誌並隨時更新

030405 資訊稽核單位與其他單位接觸之要領如下：

一、預為約定接觸之目的、範圍、人員與時間。

二、每次接觸前應有充分之準備。

三、尊重其工作時間及行為標準等約定。

四、保持客觀獨立態度。

五、不隨意表達對人或事之批評。

六、態度謙和。

七、避免可能導致誤解之意見。

030406 對受稽業務之各項管制措施應瞭解其內控之管制需求，即在作業制度

或糸統流程中建立管制點，就基本功能、個別職務、相關動作、作業

型態、異動種類等建立管制需求清單。

030407 對專案稽核應認定下列管制需求：

一、應與一般性的管制需求加以區分。

二、辨識關連性作業程序及可能產生缺失之作業程序之管制需求。

三、依據前述管制需求，以瞭解專案稽核對象，同時應以專業知識辨識其

他管制需求，並加以紀錄整理成文件。

030408 實施稽核之目的，在於協助受稽單位達成下列目標：

一、瞭解作業管制之適切性(即依控制之有效與否以核對作業過程中之缺

31

失，確認其可信度)。

二、辨識各項運作及管理決策是否受該受稽業務之影響，而造成潛在之

危機。

三、指出潛在之弊端及可能造成之危害。

四、指出實質之損害。

030409 為確保資訊業務內控工作查核項目之完整，各機關得視組織實際狀況參

考下列辦法或標準，擬定內部稽核或自行查核項目：

一、行政院暨所屬各機關資訊安全管理要點

二、財政部暨所屬機關(構)資訊安全管理準則

三、稅捐稽徵法

四、國際標準化組織資訊安全標準 ISO 27001

030410 各機關資訊稽核單位應對機關資訊安全政策、資訊業務安全控制規範之

項目，進行作業情形查核，對於不符事項須提請相關單位儘速進行矯正

預防及改善工作。

030411 關於技術遵循性之查核，應定期查核資訊系統是否遵循安全實作標準。

030412 應防止資訊系統稽核工具之存取，以避免任何可能的誤用或破解。

030413 資訊作業稽核業務之查核，各機關（構）受稽單位應實施與配合事項如

下：

一、各單位本身應定期執行「內部自行查核」作業。

二、應指派相關人員配合外部稽核機關或機關內資訊稽核單位之查核，

充分協助其稽核作業之執行。

三、各有關業務主管或承辦人，對資訊稽核人員所提稽核事項，應及時

交換意見，完成初步協調及確認。

030414 為發揮資訊稽核作業之功能，資訊稽核人員應掌握業務重點，擬訂各項

查核計畫與程序，憑藉專業知識與客觀立場及獨立作業的精神，保持謙

誠態度以執行任務。

030415 依據行政院頒訂之「建立我國資通訊基礎建設安全機制計畫」，要求各機

關平時須做好資通安全預防工作，若遇資安事故發生時要能做好危機處

32

理，各單位宜加強資通安全，落實辦理資安防護工作，並推動建立資通

安全內部稽核制度，爰於本次稽核管理手冊修訂之際，將現行資訊安全

管理內容納入，以作為本部及所屬各機關(構)辦理資訊稽核的基本範

疇，茲臚列並說明於第四章至第十四章。

33

第五節 稽核文書與稽核報告

030501 稽核文書製作原則：

一、執行稽核作業應將查核所獲悉的各項實際情形及稽核意見等分別詳

予記載於「工作底稿」(如附表 030501-1)內，以作為查核討論、協

調或編製稽核報告之依據。

工作底稿中，「符合度」之定義如下：

(一)非常：受稽單位管理作業之說、寫及執行皆一致。

(二)尚屬：受稽單位管理作業不盡完整，例如：有執行管理作業但

無文件規範。

(三)不符合：受稽單位未辦理該項管理作業。

(四)不適用：此查核項目不適用於該受稽單位。

二、彙整稽核意見應注意下列原則：

(一)應予文書化。

(二)應隨時整理，依一定分類原則記錄之。

(三)未必均納入稽核報告內。

(四)提出意見供相關單位參考或納入報告前，應先行經其確認。

三、資訊稽核文書種類及格式之使用及製作原則：

(一)對管制功能之評估，可使用「矩陣法」制式書表。

(二)對現況之瞭解可採「問項法」制式書表。

(三)作業紀錄可採「記事本」方式記載下列事項：

1.日程與活動計畫 表。

2.待蒐集資料及文件清單。

3.待查證事項清單。

4.重點及關鍵事項。

5.重要採證明細資料。

(四)測試記錄文書，應求簡明完整。

1.對一般求證性質之測試，記錄其主體、方式、時間、相關人

員、結論及例證。

34

2.利用電腦進行之測試，記錄其使用之資料、程式內容、作業

結果、進行測試之相關安排、測試人員、複查人員及結論

等。

(五)一般性行政文書則可依機關（單位）內所採之制式格式辦理。

四、資訊稽核業務各項文書整理之原則

(一)儘可能採用制式文書。

(二)儘可能採用文書原件，如問項資料、程式清單、程式輸出等。

(三)對作業中產出之各項記錄及蒐集之資料，於整理過程中即應研

判其內容是否正確、是否須納入稽核報告文書內，並決定取

捨。

(四)資訊稽核報告書附件應配合報告書本體，將屬於細節或佐證性

質之資料，整理編成附件並應加註標籤及頁次。

五、資訊稽核作業對各項查核現況之瞭解所採行「問項法」之功能在於

協助瞭解及掌握查核對象與狀況，故應先對一般或共同性主題或參

採己普遍使用之問題項目等，先行建立標準問項，再依下列原則進

行提問及整理結果：

(一)參考標準問項。

(二)問題應適用各別稽核任務之需。

(三)問題應經歸類。

(四)預期之答復應儘量簡明扼要，資訊稽核人員應能很快的從答案

中去掌握狀況。

(五)複雜的問題儘量提供說明及註記。

各受稽單位對各項問題簽署回復後，均應將其納入稽核文書內。

六、資訊稽核作業如採「矩陣法」協助評估各項管制功能時， 應以下列

原則處理：

(一)辨識管制需求

1.從整體作業流程中識別管制需求，若某項作業（記載流程中

之序號）有發生缺失之可能，即應瞭解是否應予管制。

2.對於一系列關連性作業應集中分析其管制需求。

35

3.依據前述分析結果，建立管制需求（直項）與系統作業（橫

項）關係矩陣。

(二)辨識各項作業之管制措施，即就系統既有之管制措施(直項) 與

系統作業 (橫項)建立其關係矩陣。

(三)評估管制措施之有效性，將前項一、二、之二組關係矩陣予以

對應，以找出就每一項需求(直項)之對應措施(橫項) ，再劇以

進行有效性之評估。

(四)掌握最適管制功能：

1.平時蒐集管制措施相關資料，建立參考準則。

2.建立矩陣式稽核分析表格及紀錄，方便稽核時參採。

3.隨時更新參考資料。

七、資訊稽核文書之保存，應以下列原則處理：

(一)稽核前文書之保存：

已逾時效或臨時性文書(件)資料併入工作底稿檔卷內，並保留

現行之資料。

(二)待查檔卷之保存：

稽核時對於待查核之項目應進行查核，凡已逾時效者併入工作

底稿檔卷內。

(三)工作底稿檔卷及電腦報表應分類建檔保存。

(四)稽核報告應保存五年。

(五)前項相關稽核文書(查核紀錄與查核報告)等，應由資訊稽核單

位妥為保管，以供主管機關之調閱。

030502 稽核報告：

一、各機關資訊稽核人員依稽核程序完成各查核業務後，應先整理、彙

總、歸納工作底稿等相關稽核文書(件)資料，再編撰「資訊稽核報

告書」格式如附表 030502-1 及 030502-2。

二、「資訊稽核報告書」編撰之內容應包括下列項目：

(一)稽核依據。

36

(二)稽核摘要(稽核背景、目的及稽核期程)。

(三)稽核範圍(受稽單位、受稽業務)。

(四)稽核程序。

(五)稽核人員。

(六)稽核結果(優、缺點及可能之影響)。

(七)稽查結論與改善建議。

(八)附件

三、稽核報告之編撰應把握下列原則：

(一)避免深奧的專用術語。

(二)報告內容應具信服力。

(三)用字宜簡明不含混。

(四)報告內容不僅能指出問題，且應有具體建議或方向。

(五)避免不必要或不可行之建議。

四、資訊稽核單位於編撰稽核報告前，應先就稽核意見與受稽單位完成

相關協調作業；至完成編撰後應即簽報機關首長核閱批示。

37

資訊安全內部稽核工作底稿 符 合 度

項次 查核項目 非常 尚屬 不符合 不適用

查核情形說明

附表 030501-1

38

(機關全銜) 資訊稽核報告書

資訊稽核業務名稱：

填報日期： 年 月 日

機 關 首 長

批 示

複 核 人 員

意 見

資訊稽核單位

主 管 意 見

資訊稽核單位

人 員

附表 030502-1

39

(機關全銜)

資訊稽核報告書

一、稽核依據 二、稽核摘要(稽核背景、目的及稽核期程) 三、稽核範圍(受稽單位、受稽業務) 四、稽核程序 五、稽核人員 六、稽核結果(優、缺點及可能之影響) 七、稽核結論與改善建議 八、附件 附表 030502-2

40

第六節 列管追蹤

030601 各機關資訊稽核單位對內、外部稽核結果，所提建議改進事項，應要求

受稽單位儘速採取適當措施，切實改進，並依限將辦理情形簽報機關首

長。

030602 有關查核紀錄與查核報告等，應由稽核單位妥為保管，以備主管機關之

調閱。

030603 稽核報告之建議事項，應由受稽單位擬定改善方案列管追蹤，並應依限

執行完畢，執行結果納入複核項目。

030604 各機關資訊稽核單位為確保資訊作業內部管制工作，符合相關規定或組

織管理之要求，對於內部稽核查核之工作底稿勾選符合度「尚屬完整」

或「不符合」之項目，應通知該受稽單位填寫「矯正與預防措施通報

單」；接受通知之受稽單位應即填復辦理情形，移由資訊稽核單位追蹤管

制。

030605 稽核報告奉核示後，應行追踪查核者，資訊稽核單位應建立追踪列管檔

案，依追踪期限審核受稽單位辦理成效，並將追踪結果簽報。

41

第四章 資訊安全政策

第一節 資訊安全政策之制定

040101 各機關應依施政目標，進行資訊安全風險評鑑，以確定各項資訊作業

之安全需求，再據以採行適當及充足的資訊安全措施，以確保各機關

的資訊蒐集、處理、傳送、儲存及流通之安全。

040102 制訂資訊安全政策，應至少包括下列事項：

一、資訊安全之定義、目標及範圍等。

二、資訊安全政策之解釋及說明，資訊安全之原則、資訊安全管理

指標、標準以及員工應遵守之相關規定。

三、推行資訊安全工作之組織、權責及分工。

四、發生資訊安全事件之緊急通報程序、處理流程、相關規定及說

明。

040103 各機關所訂定之資訊安全政策，應以書面、網頁、電子（E-MAIL）

或其他方式通知員工及與機關連線作業之公私機關（構）、提供資

訊服務之廠商共同遵行。

42

第二節 資訊安全政策之評估

040201 各機關訂定之資訊安全政策應有專人負責維護與審查，至少每年評

估一次，確保資訊安全實務作業之有效性，及符合組織及相關業務之

需求。

040202 資訊安全政策評估，應由具專業技術及知識之內部稽核單位、獨立客

觀的主管人員或委請公正超然的專業組織(團體)辦理。

040203 組織資訊安全政策亦應依據下列因素定期審查：

一、根據已紀錄的安全事件性質、次數及衝擊，檢查政策的有效

性。

二、控制措施在營運效率上的成本及衝擊。

三、對技術變化的影響。

43

第五章 組織內部資訊安全

第一節 資訊安全組織

050101 各機關應指定副首長或高層主管人員，負責資訊安全管理事項之協調及

推動，並得視需要，成立跨部門之「資訊安全管理審查會報」，統籌資訊

安全政策、計畫、資源調度等事項之協調、研議。

050102 組織內之資訊及資訊資產如有被第三方存取之情形時，應執行風險評

鑑，以決定其所涉及的安全問題和控管機制，並應於合約中就控制措施

達成協議後加以說明。

050103 當資訊處理的責任委託其他組織負責時，仍需保持資訊的安全，雙方於

委外合約中應註明資訊系統、網路、電腦環境的風險、安全控管措施及

程序。

050104 本部主管或權責機關對所屬機關（構）資訊作業，應進行定期或不定期

之資訊安全稽核。

44

第二節 資訊安全管理審查

050201 資訊安全管理之分工原則：

一、資訊安全相關政策、計畫、措施及技術規範之研議，以及安全技

術之研究、建置及評估相關事項，由資訊單位負責辦理。

二、資料及資訊系統之安全需求研議、使用管理及保護等事項，由業

務單位負責辦理。

三、各單位資訊機密維護及稽核管理事項，由各單位負責辦理。

四、設有稽核單位者，稽核使用管理事項由稽核單位會同相關單位辦

理。

五、未設置資訊稽核單位者，由機關首長指定適當的單位及人員負責

辦理資訊安全管理事項。

050202 資訊安全審查

一、資訊安全政策文件應訂定資訊安全政策和責任。

二、前項文件應獨立審查，以確保組織的各項實務符合政策規定及有

效性。

三、審查工作可由內部稽核單位、獨立之管理人員或第三方執行，並

經「資訊安全管理審查會報核定」，這些人員必須具備相關的技

能和經驗。

050203 各機關資訊安全人力、能力及經驗，如有不足之處，得委請外界的學者

專家或民間專業組織(團體)，提供資訊安全顧問諮詢服務。

45

第六章 資產管理

第一節 資訊資產管理

060101 各機關應建立一份與資訊系統有關的資訊資產目錄，訂定機關資訊資產

的項目、擁有者、保管者、使用者、安全等級分類及風險評鑑結果等。

060102 各機關制定資訊資產項目應包括下列項目：

一、人員(People; PE)：人員包含業務主管、承辦人員、委外廠商、支

援人員等。

二、資料(Data; DA)：資料係指儲存於硬碟、磁帶、光碟等儲存媒介之

數位資訊。

三、文件(Document; DC)：文件係指以紙本形式存在之文書資料、報表

等相關資訊。包含公文、列印之報表、表單、計畫、文件等紙本文

書。

四、軟體(Software; SW)：軟體包含自行開發或委外開發之應用系統程

式、外購之套裝軟體及系統程式等。例如：原始程式碼、應用程式

執行碼、作業系統、資料庫管理系統等。

五、硬體(Hardware; HW)：硬體包含主機、伺服器、個人電腦及周邊設

備等相關設施。

六、通訊(Communication; CM)：提供資訊傳輸、交換之線路或服務者，

例如：資料傳輸之網路、X.25 網路、專線、ATM 網路、語音網路、

交換機、閘道器等。

七、環境(Environment; EN)：係指資訊安全管理範圍內相關基本設施及

服務，包含了辦公室實體、實體機房、電力、空調、消防設施等。

060103 資訊資產資料之建檔及維護

一、各項資訊資產之辨識，由指定之資訊資產所有人(owner)負責定義該

項資產之價值、風險評鑑方法、控管措施及風險重新評估之週期。

二、各單位辨識完成之資訊資產設備應逐項彙製成檔案(紙本或電子檔)

及資訊資產目錄，並應指派專人負責維護。

46

第二節 資訊安全等級分類

060201 各機關應依據「國家機密保護法」、「電腦處理個人資料保護法」、及

「行政資訊公開辦法」等相關法規、建立資訊安全等級之分類標準以

及相對應的保護措施。

060202 資訊安全分類標準應考量資料的機密性、完整性及可用性。

060203 機關資訊可區分機密性（例如業務機密或個人資料等）、敏感性（僅

業務承辦人員及該業務直屬主管可以存取）、一般性(僅組織內之人員

可存取)及公開(可對外公開者)等四類。

060204 界定資訊安全等級之責任，應由資料的原始產生者，或資訊所有者負

責。

060205 各機關須執行或參考其他機關訂定之資訊安全等級分類時，應特別注

意其與本機關的資訊安全等級，在定義及標準，是否一致以及其對應

關係。

060206 資訊對於組織而言是一種資產，需要持續與以妥善保護，而資訊安

全的措施可保護資訊不受各種威脅，確保持續營運並可將營運損失

降到最低；資訊安全的目的在維護：

一、機密性：確保只有經授權的使用者才可以取得資訊。

二、完整性：確保資訊不受未經授權的竄改與資訊處理的正確性。

三、可用性：確保經授權的使用者，在需要時可以取得資訊及相關資

47

第七章 人力資源安全

第一節 人員安全評估

070101 須使用或處理資訊者，應依相關法規課予機密維護責任，並應簽署書

面切結書，以明確規範使用者應負責任。

一、對於新進人員應瞭解其以前工作情形及相關背景。

二、若有特殊需求應進行背景查核。

三、彙整背景查核文件並附於新進同仁人事資料以便日後查調。

070102 各機關對可存取機密性與敏感性資訊、系統之人員，或因工作需要須

配賦系統存取特別權限之人員，於任務指派前應經適當的安全評估程

序，並應加強工作考核。

070103 各機關新進人員、承包廠商及第三方使用者應於其聘僱或委託契約之

內容中納入其與所屬組織對資訊安全的責任。

一、各機關新進人員於到職時應簽署「保密切結書」，並克盡保密之

責。

二、承包廠商及第三方使用者應於開始提供或使用服務前簽署「保密

切結書」，並克盡保密之責。

三、各機關新進人員、約聘人員與委外廠商人員於服務期間皆應遵守

資訊安全相關規定，於業務上所獲知之機密資訊，非經機關同意

不得對外透露。

070104 人員離（退）職或調整職務時，應立即取消使用各項資訊資源之所有

權限，並列為核准人員職務異動之必要手續。

48

第二節 資訊安全訓練

070201 各機關應針對管理、業務及資訊等不同工作類別之人員，定期辦理資

訊安全教育訓練及宣導，使員工瞭解資訊安全的重要性，及各種可能

的風險，以提高員工資訊安全意識，促其遵守資訊安全相關規定。

070202 資訊安全教育訓練的內容應包括資訊安全政策、資訊安全法令規定、

資訊安全作業程序、如何正確使用資訊設施、各種威脅及風險以及內

部控制措施等。

070203 各機關進行資訊安全教育訓練之政策，除適用所屬員工外，對機關外

部的使用者，亦應一體適用。

070204 應以員工的角色及職能為基礎，針對不同層級的人員，進行適當的資

訊安全教育及訓練：

一、資訊安全政策。

二、資訊安全法令規範。

三、資訊安全管理作業程序。

四、安全責任。

五、資訊安全之威脅、風險及內控和防範措施。

六、機密性或敏感性資料之保管。

七、業務永續經營及災變回復。

八、資安事件應變通報之訓練。

九、其它資安相關議題。

49

第八章 實體與環境安全

第一節 設備安全管理

080101 設備（應含電腦、電力及通訊纜線等）應安置在適當的地點並予以保

護，以減少環境不安全引發的危險，及減少未經授權存取的機會。

一、設備（應含電腦、電力及通訊纜線等）安置的位置應避免在人員

進出頻繁之區域。

二、應將須特殊保護的設備隔離，以免除對相同區域中之所有設備採

用超出所需之相同保護等級。

三、遇竊盜、火災、爆裂物、煙害、水災（或停水）、灰塵、震動、

化學效應、供電中斷等威脅，應採用控制措施以降低風險。

080102 電源供應應考量設置備援電源，並將不斷電系統失效後之應變措施納

入，對於敏感性或重要的系統，應採取額外強化的安全措施。

一、電源供應設備應予保護，以避免資訊業務受電力中斷或其他電力

異常影響。

二、重要資訊服務及資料傳輸網路之電源與通訊纜線應規劃納入保

護，以防止遭竊聽或破壞。

三、為免電力供應異常，應規劃適當的電源供應系統（含備援措施）。

四、電源線應與通訊纜線應有適當間隔分隔，以避免互相干擾。

080103 應妥善維護設備，以確保設備功能的完整性及可用性。

一、設備維護應依據供應商建議之間隔時間和規格維護設備。

二、只允許經授權的維護人員才能對設備進行修理與維護。

三、所有潛在或實際的故障以及預防性和矯正性之維護紀錄，均應妥

善保存。

080104 設置在外部以支援業務運作的資訊設備，應同樣遵守資訊安全管理授

權規定，維持與內部資訊設備一樣的安全水準。

一、設置於公用區域之設備，應有安全使用流程及控制措施，以保護

其安全。

50

二、攜出辦公場所或安置在外部的設備，應有適當安全控制措施與防

護。

080105 含有儲存媒體的設備(如硬碟、PDA 及 USB 可攜式拇指碟等)，應在處

理前詳加檢查，以確保任何機密性、敏感性的資料及有版權的軟體不

會遭竊取或誤用。

一、儲存設備之報廢或送修，原則上應先將其儲存之資訊進行七次低

階格式化，或進行實體破壞。

二、擬重複使用的儲存媒體，應檢視是否內含機敏資料，並於清除或

格式化後再交給使用單位。

080106 為防止資訊設施被誤用，提供的資訊設施，如有業務目的以外的使

用，或超出授權目的以外的使用需求，應經權責主管人員的核准，並

賦予相關人員應負的責任，對於不當的使用應作適當的紀律處理。

一、資訊設備應規劃使用管理程序及授權機制，以防止未經授權之使

用或存取。

二、公用設備應指定人員負責管理。

三、軟、硬體設備應定期掃瞄偵測，以發掘異常狀態，並追蹤異常原

因及處理情形。

四、軟硬體如因災害、遭竊或其他意外，致毀損或滅失時，資源管理

單位應依毀損相關規定辦理。

五、使用單位因電腦設備汰舊換新或軟體功能不敷使用時，需以書函

通知資源管理單位依報廢相關規定辦理。

51

第二節 區域安全管理

080201 區域安全：

一、實體環境的安全保護，應以事先劃定的各區域為基礎，並設置必

要的管制（如：使用者身分識別證），以達安全控管的目的。

(一)資訊作業軟、硬體設備應區隔適當的安全區域，以保護資訊設

備之安全。

(二)安全區域之進出應有適當的控制措施，以確保只有被授權的人

員才能通行。

(三)重要資訊作業應置於保全區域，以供有特殊安全需求之業務使

用。

(四)保全區域作業應採更嚴謹之控制措施及指引，以強化該保全區

域之安全性。

(五)資訊作業之資料輸出區，應與資訊處理設備區隔，以避免未授

權者不當進出。

(六)各項資訊作業設備之安置及保護，應規劃防範來自環境之威脅

及衝擊，以及未授權之存取機會。

二、實體環境的安全保護程度，應視資訊資產的價值及風險而定。

(一)關鍵性資訊設備應避免安置於公眾進出之區域。

(二)辦公處所及資訊作業設備應依專業標準安裝適當的防盜偵測系

統。

(三)危險或易燃物料之存放或裝卸區域應與資訊作業之安全區域保

持安全距離。

080202 人員進出管制：

一、管制區（如：電腦機房、媒體檔案庫房等）內應有適當的進出管

制保護措施（如：配發識別證等），並記錄來訪人員進出時間和

目的，以確保只有被授權的人員始得進入。

(一)管制區域應只有被授權的人員才能進入，並應設置登錄管制，

52

以記錄進出時間與工作事項。

(二)管制區域內不得進行未經監管的工作，以避免發生惡意行為。

(三)重要資訊處理場所應建立保護屏障（如：磁卡控制門、警

衛），以強化風險控管。

二、電腦廠商的資訊人員或維護服務人員，只有在被要求或是被授權

的情形下，才能進入管制區域，並視需要限制（例如限制存取敏

感性的資料）及監督其活動。

(一)電腦廠商或第三方支援服務人員進入管制區域，應經授權及監

管。

(二)電腦廠商或第三方支援服務人員進入管制區域，非經授權不得

使用拍照、錄影、錄音和其他記錄性設備。

080203 電腦機房安全管理：

一、電腦機房應設立良好的實體安全措施；地點的選定，應考量水

災、火災、地震等自然及人為災害的可能性，並考量鄰近設施或

建築物等可能的安全威脅。

(一)電腦機房之設計及使用建材，應依建築技術規範所規定之防火

規格建置。

(二)電腦機房之建築物外牆、屋頂等部位應具有充分的防水性能。

(三)電腦機房應有防止歹徒非法侵入之門、窗設計。

二、進入電腦機房之人員，除應配掛機房專用識別證外，應於機房門

口設置檢核或監錄等保護措施。

080204 辦公桌面之安全管理：

一、應考量採用辦公桌面的淨空政策，以減少文件及磁碟片等在辦公

時間外，遺失、遭人取用或被破壞的機會。

(一)辦公場所紙張或儲存媒體不用時，應儲存在加鎖櫥櫃或安全設

施中。

(二)收發信件的地點和傳真機應加以監管保護。

(三)正常工作時間外，應將影印機或傳真機作適當的控制。

二、個人電腦及電腦終端機不再使用時，應關機、離線或採其他控制

措施。

53

(一)須離開使用的電腦設備時，應以鍵盤鎖、螢幕保護、通行碼或

其他控制措施加以保護。

(二)當列印敏感或機密資訊後，應立即從印表機取走。

080205 財產攜出的安全管理：

設備、資料或軟體，未經許可，不得帶離辦公室。

一、有攜出設備需要者，應經單位主管核准登記後始得攜出，歸還時

應有紀錄。

二、攜出物品若含儲存媒體時需經檢查，屬汰換或報廢時，應將資料

破壞至無法辨識，並經確認後始可放行。

54

第九章 通訊與作業管理

第一節 網路安全管理

090101 網路服務之管理：

一、依作業平台之不同，設置網路系統管理人員。

二、系統的最高使用權限，應經權責主管人員審慎評估後，交付可信

賴的人員管理。

三、網路系統管理人員應負責網路安全規範的擬訂、執行網路管理工

具之設定與操作，確保系統與資料的安全性與完整性。

四、網路系統管理人員應負責製發帳號，提供取得授權的人員使用；

除非有特殊情況，不得製發匿名或多人共用的帳號。

五、提供給內部人員使用的網路服務，與遠端登入內部網路系統的網

路服務，應執行嚴謹的身分辨識作業(如使用動態密碼辨識系

統)，或使用防火牆、代理伺服器(Proxy Server)等進行安全控

管。

六、如果系統使用者已為非合法授權的使用者時，網路系統管理人員

應立即撤銷其使用者帳號；調、離（退）職人員應依機關資訊安

全規定及程序，取消其存取網路之權利。

七、網路系統管理人員除依相關法令或機關規定，不得存取或閱覽使

用者之私人檔案。

八、網路系統管理人員未經使用者同意，不得增加、刪除及修改私人

檔案。如有特殊緊急狀況，須刪除私人檔案，應以電子郵件或其

他方式事先知會檔案擁有者。

九、對任何網路安全事件，網路系統管理人員應立即循資安事件通報

系統通報資安相關單位。

十、網路系統管理人員不得新增、刪除、修改系統日誌檔案，以避免

安全事件發生時，造成追蹤查詢的困擾。

十一、網路系統管理人員登入主機、伺服器或網路設備，須保留所有

55

登入、登出紀錄。

十二、應考量在網路上各檔案伺服器安裝防毒軟體，防止病毒在網路

上擴散。

十三、應定期以電腦病毒掃瞄工具執行病毒掃瞄。如偵測到電腦病毒

入侵或其他惡意軟體，應立即通知網路管理者；網路管理者亦應

將已遭病毒感染的資料及程式等資訊隨時提供使用者，以避免電

腦病毒擴散。

090102 網路使用者的管理：

一、被授權的網路使用者（以下簡稱網路使用者）只能在授權範圍內

存取網路資源。

二、禁止以任何方法竊取他人的登入網路之身份識別碼與通行碼。

三、禁止在網路上存取未經授權的檔案。

四、禁止發送匿名信，或冒用他人名義發送電子郵件。

五、不得以任何手段蓄意干擾或妨害網路系統的正常運作。

六、不得將自己的登入身份識別碼與密碼交付他人使用。

090103 網路伺服器主機安全防護：

一、存放機密性及敏感性資料之網路主機或伺服器主機，除作業系統

既有的安全設定外，應規劃安全等級較高之密碼辨識系統，以強

化身份辨識之安全機制，防止