Page 306 - 捷運技術 第46期
P. 306
300 蔡崇熙 資訊查核作業與管理
E. 防堵重大資訊安全事件優先列入查核項目【如國家資通安全會報技術服務中
心之資安訊息警訊】。
(2) 彙編查核表單
研擬查核項目依管理屬性篩選、歸納、分類,編製成一般資訊業務與特定資
訊業務兩種查核表,一般資訊業務查核表之查核項目係針對個人電腦使用者應配
合事項,另特定資訊業務查核表之查核項目係針對被指派負責管理特定資訊服務
之人員所應配合事項,如機房設施、資料定期備份、網路通訊、防毒、防駭等安
全管控與管理等事項。
(3) 準備核對清冊
查核小組事前準備相關核對清冊,以利實地查核時,現場佐證及掌握時效,
清冊內容包括:
A. 制式軟體清冊內容包括一般制式軟體、特殊制式軟體及專業軟體之使用單位或
使用者資料。
B. 電腦保管清冊內容包括使用者所保管之個人電腦(含設備編號、財產編號)、
配件及相關週邊設備年份、存放處。
C. 單位使用者名冊內容包括單位、員工編號、姓名、電話。
D. 單位使用者帳號清冊內容包括單位、員工編號、電話,本項用途查核抽點用。
E. 本府管制網站清單容內容包括網站名稱。
F. 點對點(P2P)軟體清單。
G. 查核項目表。
(4) 查核宣導
為落實本局資訊查核工作,有效達成資訊查核實質效益,查核小組在查核前
辦理資訊查核宣導,包括:
A. 將查核表中之各查核項目製成操作說明文件,含圖示步驟解說。
B. 召開全局各單位資訊連絡人資訊查核說明會,說明查核相關事宜及查核項目操
作說明。
C. 再將查核項目之操作說明文件上網,提供同仁自我學習與練習。
2. 執行階段
本局資訊查核工作以實地查核為主,年度查核上、下半年度至少1次,上半年度
查核對象針對個人電腦使用者一般資訊業務查核與外機關相關資料庫資訊系統之使用
者查核,下半年度查核對象包括上半年度查核項目與特定資訊業務查核(局機房及工
程處設備房資訊管理業務)。進行資訊查核期間為加速查核進度,先行使用資產管理
軟體收集個人電腦軟硬體資訊,掌握軟硬體設備異動狀況。至查核階段時由技術處及
政風室派員實地依單位人數隨機抽出一定比率人員依查核表逐項檢查。至於發現有缺
失項目時均當場輔導更正,指導使用者正確使用或設定方式,說明查核原由及發生缺
失時之嚴重後果,即時免除資訊管理或資訊安全發生漏洞,並將缺失列入單位資訊查
核考評。
3. 完成階段
(1) 將各類查核表之缺失資料彙整、分類、統計,並彙製各類統計報表。
(2) 分析統計報表缺失項與原因,提改善方案。