一、目的
    法務部（以下簡稱本部）為利本部及所屬機關執行「資通安全管理法
    」第十三條及「資安責任等級分級辦法」相關規定，特訂定本管理規
    範。

二、範圍
    本管理規範適用於下列稽核作業：
    （一）本部對內部單位辦理資訊安全內部稽核作業。
    （二）本部對所屬機關辦理資訊安全外部稽核作業。
    （三）本部所屬機關對內部單位辦理資訊安全內部稽核作業。

三、稽核組織
    （一）本部成立資訊安全內部稽核小組（以下簡稱稽核小組），由本
          部資訊處及政風小組代表組成之，辦理本部資訊安全內部稽核
          作業。
    （二）本部成立資訊安全外部稽核小組（以下簡稱稽核小組），由資
          安長或授權主管擔任召集人，小組成員由資訊處、政風小組及
          相關業務單位代表組成之；另得視需要聘請具備資訊安全政策
          、管理、技術、法律或具實務專業之公務機關代表或專家學者
          擔任小組成員，辦理本部所屬機關資訊安全外部稽核作業。
    （三）本部所屬各機關應成立資訊安全執行小組（以下簡稱執行小組
          ），並指定副首長或高層主管人員擔任召集人，其餘成員由各
          機關之資訊單位會同政風單位及其他相關單位組成之，辦理該
          機關資訊安全稽核作業。

四、稽核頻率
    （一）本部應參照「法務部資訊安全內部稽核作業程序」每年至少辦
          理二次內部稽核作業。
    （二）本部應參照「法務部資訊安全外部稽核作業程序」及提供本部
          及所屬機關查詢資料之外部機關所訂之相關稽核規定，對所屬
          機關每年辦理外部稽核作業；針對資安等級 C級以上直屬機關
          每三年至少辦理一次稽核作業，另得視業務需要不定期辦理各
          所屬機關稽核作業及查核資通安全維護計畫實施情形。
    （三）本部所屬機關資安等級屬 A級或持有、使用外部機關提供資料
          者，應參照「法務部所屬機關資訊安全內部稽核作業程序」及
          提供本部及所屬機關查詢資料之外部機關所訂之相關稽核規定
          ，每年至少辦理二次內部稽核作業；其它資安等級屬B及C級之
          機關，應參照相同稽核作業程序，每年至少辦理一次內部稽核
          作業。

因應內政部一百十二年五月十日函頒修正「應用戶役政資訊系統安全稽核
要點」，於該要點第五點訂定連結、持有、使用該部戶役政資料機關應每
半年至少辦理一次內部稽核，另中央各連結機關應對持有、使用之所屬機
關每半年至少辦理一次外部稽核，爰修正本點第二款、第三款本部及所屬
機關稽核頻率規定。

五、稽核注意事項
    （一）稽核小組（或執行小組）成員須施以必要之訓練，以確保稽核
          作業之順暢及有效性。必要時得聘請外部專業人員協助進行稽
          核作業。
    （二）稽核小組（或執行小組）成員不得稽核本身業務，以確保稽核
          之獨立性。
    （三）稽核作業完成後，受稽核機關（單位）應依稽核建議擬訂矯正
          措施據以實施，並檢討實施之成效。
    （四）稽核小組（或執行小組）應就稽核情形撰寫稽核檢討報告，簽
          報首長或授權代理人核閱。
    （五）前項稽核建議及檢討報告等，應指定資訊單位妥為保管，以供
          上級機關實施稽核時之參考。
    （六）稽核小組（或執行小組）得調閱受稽核機關（單位）有關資料
          ，並徵詢作業人員之意見，受稽核機關（單位）並應配合提供
          。
    （七）稽核小組（或執行小組）成員因辦理稽核作業所獲悉之機敏性
          資料，應負保密責任。

六、稽核結果之運用
    （一）作為本部內部單位及所屬機關資訊系統推動之評估及資訊資源
          配置之參考。
    （二）提出稽核結果報告送請受稽核機關（單位）參考改進，並得視
          需要辦理獎懲。