一、臺北市政府捷運工程局暨所屬各工程處(以下簡稱本局),為確保資
訊系統安全與機密,及加強資訊作業管制,經由資訊管理稽核作業,
藉以了解各受稽核單位之作業處理是否合乎規定,並依據稽核結果,
提出建設性改進意見或採取必要措施,以防範弊端發生,健全業務發
展,依據本局「臺北市政府捷運工程局暨所屬各工程處資訊管理要點
」訂定本補充規定。
二、實施範圍
資訊稽核係指對各受稽核單位電腦軟硬體及週邊設備、資訊檔案、通
訊網路、資訊應用發展、應用作業管理及資訊機密維護等作業進行稽
核。
三、權責單位
(一)內部稽核
受稽核單位包含本局局內各單位,由本局資訊推動小組召集人,
召集政風單位及各相關人員組成資訊稽核小組執行之。
(二)外部稽核
受稽核單位包含本局所屬各工程處,由技術發展處會同政風單位
及各相關人員組成資訊稽核小組執行之。
(三)稽核範圍
包含本局與各工程處資訊管理部門及資訊使用單位中,稽核項目
之管理、保管及使用等相關人員。
四、實施程序
稽核作業採定期或不定期方式進行,稽核方法以作業說明、書面資料
查核、軟硬體設備檢查、實地測試等四個步採進行,針對查核的內容
項目列出稽核細項清單,逐項查核是否確實執行,並詳實紀錄稽核情
形,綜整查核結果陳報。
五、內部稽核(本局局內各單位)
(一)一般管理稽核含:
1.各使用人員建立及刪除帳號紀錄。
2.教育訓練各項計畫及報告。
3.耗品管理紀錄。
4.輸出報表分機密等級管理及銷毀。
(二)硬體設備稽核含:
1.電腦設備之使用、管理及操作維護紀錄。
2.電力設備及空調設備之使用、管理及操作維護紀錄。
3.各種網路通信設備之使用、管理及操作維護紀錄。
4.其他電腦相關設備之使用、管理及操作維護紀錄。
5.電腦機房之一般管理。
(三)公用軟體稽核含:
1.資料庫管理系統使用人員權責,安全規定及執行紀錄。
2.電子郵件管理系統使用安全規定及作業管理。
3.操作系統設定更新紀錄及文件版本更新事項。
4.公用程式或套裝軟體之合法授權使用與版本修改之核准、監督
、測試、驗收紀錄。
5.公用程式或套裝軟體之儲存媒體及文件管理。
(四)應用系統管理、維護稽核含:
1.應用系統開發各階段產品內容及認證程序。
2.應用系統維護時機及認證程序。
3.資訊系統標準化之實施。
4.應用系統文件之更新、保管及版本控制。
5.應用系統發展時程、人力等計畫之控制。
(五)電腦媒體及檔案管理與控制稽核含:
1.電腦媒蝕之儲存與使用管理及標籤註記。
2.檔案備份及其作業紀錄。
3.電腦媒體異地存放及管理。
4.機密資料專人錄製及管理。
(六)安全控制稽核含:
1.上線使用之程式其進入程式館紀錄。
2.資料輸出入使用記錄。
3.連外網路的安全防護措施及撥接網路的安全設定。
4.復原程序之訂定、測試、演練及執行。
5.防火措施、防水措施及其他天然或人為災害之預防控制。
6.技術發展處機房之門禁管制及人員、設備進出紀錄。
(七)績效稽核含:
1.電腦設備使用效率。
2.應用系統回應時間。
六、外部稽核(本局所屬各工程處)
(一)電腦設備、操作系統使用稽核含:
1.各種電腦設備、通信設備之管理及防水、防火、防盜措施。
2.各種電腦設備之使用紀錄及故障維護紀錄。
3.各種電腦設備之使用率。
4.各種電腦儲存媒體(如磁片)之使用管理。
5.進入系統之密碼管理。
6.作業系統之操作及安全管理。
7.操作系統績效評估。
(二)資料庫(包括圖文檔案)稽核含:
1.資料庫使用效率。
2.資料庫之文件說明及標籤註記。
3.資料庫之安全性。
4.資料庫系統存取測試資料。
(三)應用系統稽核含:
1.應用系統文件之完整性。
2.應用系統之使用檢討與建議。
3.應用系統之推廣及輔導情形。
4.公用程式或套裝軟體之合法授權使用。
七、附則
(一)稽核人員為實施稽核,得調閱有關資料,並請作業人員提供協助
及說明,稽核人員對機密資料應負保密之責。
(二)各稽核人員完成查核業務後,應彙總編撰「資訊稽核報告書」陳
報主管,其內容包括:
1.依據。
2.稽核範圍(受檢單位、受檢業務)。
3.作業缺失。
4.建議改進事項。
5.其他。
八、本補充規定如有未盡事項得隨時修訂之。
|