一、臺北市政府為使所屬各機關(以下簡稱各機關)辦理資訊使用管理稽
核作業有所依循,特訂定本作業規定。
〔立法理由〕 一、配合本次修正係僅就本府各機關辦理內部資訊使用管理稽核作業規範
,為避免與府級辦理之外部稽核混淆,第1項酌作文字修正。
二、第2項刪除,以符現行法制體例。
|
二、本作業規定所稱資訊使用管理稽核,指各機關對內部單位自行規劃辦
理之稽核作業。
〔立法理由〕 一、本點自現行規定第6點移列。
二、為配合本次修正,依據109年11月25日召開之「臺北市政府『109年資
訊使用管理稽核』結果改善追蹤會議」結論,因應資通安全管理法施
行,府級資訊稽核作業中資安項目佔80%至90%,由臺北市政府資訊
局主政,邀集專家、學者及相關機關共同組成稽核小組辦理。為應本
府資訊稽核作業權責相符,又為符現行法制體例,現行規定第 6點係
名詞定義,爰移列為修正規定第2點,以下點次遞改。
|
三、各機關政風單位應會同資訊等相關單位實施資訊使用管理稽核作業。
必要時,得成立稽核小組,由政風單位辦理秘書作業,資訊單位負責
技術支援。
〔立法理由〕 一、點次遞改。
二、配合現行實務,各機關辦理內部稽核時,僅各機關政風單位會同機關
業務單位辦理,爰酌作文字修正。
|
四、依前點規定實施稽核作業,得調閱有關資料、實地測試或檢查資訊軟
、硬體設備使用情形。必要時,應由資訊等相關作業人員或臺北市政
府資訊局提供說明及專業諮詢意見。
〔立法理由〕 一、點次遞改。
二、酌作文字修正。
|
五、資訊使用管理稽核實施範圍,應以系統存取控制管理為主,參酌機關
資訊現況,針對下列事項,稽核其系統存取有無異狀及實施情形是否
符合相關法令之規定:
(一)資訊系統存取控制及使用管理規定。
(二)使用者存取控制。
(三)系統存取權責。
(四)網路存取安全控制。
(五)電腦系統存取控制。
(六)應用系統存取控制。
(七)系統存取及應用監督機制。
(八)機關外部人員存取資訊系統之安全管理。
(九)其他存取控制事項。
〔立法理由〕 點次遞改。
|
六、資訊使用管理稽核作業程序如下:
(一)綜合分析機關資訊系統特性、系統存取政策、系統異常存取狀
況及授權規定或其他使用管理規定,據以研(修)訂稽核項目
,擬訂稽核計畫陳報機關首長核可後實施。
(二)計畫內容包括:稽核目的、時間、項目、稽核人員編組、受稽
核單位與人員、稽核方法、進行程序及行政支援事項等。
(三)依據稽核結果就優缺點及改進措施提出書面報告,陳報機關首
長及上級政風機構,並協調缺失單位確實檢討改進,必要時實
施複查。
(四)前款報告內容包括:依據、稽核目的、時間、項目、稽核人員
編組、受稽核單位及人員、稽核方法、稽核結果處理及建議事
項等。
〔立法理由〕 一、點次遞改。
二、酌作文字修正。
|
七、各機關資訊使用管理稽核辦理頻率,依據資通安全責任等級分級辦法
,資通安全責任等級為 B級(含)以上之機關,每年至少應執行資訊
使用管理稽核二次;資通安全責任等級為 C級(含)以下之機關,每
年至少應執行資訊使用管理稽核一次。
〔立法理由〕 一、點次遞改。
二、配合現行規定第6點修正及第7點刪除,並參酌「資通安全責任等級分
級辦法」之分級,核定為 B級之機關,每年應辦理稽核1次、核定為C
級之機關,每2年應辦理稽核1次等規定,考量本府所掌有之資訊量較
其他縣市為多且複雜,乃另行律定較為嚴格之內部稽核頻率,以強化
資通安全管理。
|
八、各機關得依據本作業規定,審酌主管業務性質、預算額度及實際需要
,會同資訊及業務等相關單位訂定資訊使用管理稽核作業程序。
〔立法理由〕 一、點次遞改。
二、酌作文字修正。
|