教育机构资安验证中心稽核查检表

教育檄情资安^^中心

稽核查检表（稽核或稽核觐察具使用）

酷瞪申精■罩位：大^甄逗入^委具畲

瞬瞪地址：新嘉羲隘民雄糖卜大孥路168虢

瞬瞪襟率：教育飕系资通安全管理^^（中革民阈96年5月30日版）

稽核日期：中革民阈100年6月16日至17日

檄房虞理大擘甄逗入^矜活勤之雒作棠及繁星推蒿典倡1人申^系统（幸艮名、分考前皆段）之雉^作渠。

查检项目

修款章彳条文箝己/t谪稽核被■现

陛、昆由於遹用性磬明(StatementofApplicability)

口主要不符合事项：

本年票举■之言殳t1卷遍用於教育飕系典相^^位，但^CAC-ISMS-D-014通用性磬

於^型、规模、瓷源、棠矜性等因素，若本檄型明耆(100.3.1)所列A.10.8.1口次要不符合事项：

列出之任何脩款熊法遹用於某罩位B寺，可考^予以典A12.3.2不逾用。

排除，但必须在不影警^^位提供^^安全能力典口觐,察事项：

i■任之情况下，或提出理由。在建置完^罩■位之

ISMS彳灸，必须提出符合的逾用性馨明，其中愿包含□碓言总符合要求。

逗撵之控制目才票舆控制措施项目舆理由，以及排除

脩款之内容、理由，作悬稽核畤的依獴。

捌、^於^^安全管理系统(ISMS)建置步骤

口主要不符合事项：

捌、三ISMS之建立：依摞^^位之^型、规模、置源、、CAC-ISMS-A-001安全

棠矜性等特性，定羲ISMS之轮圉；考感相^法

政策(99.12.15)相富田。口次要不符合事项：

律、法规以及合祭勺之要求，於逾度押估凰除■及鹰封

量化指才票：可用性98%；

措施彼,rr出幺坐由管理F皆眉核准之ISMS政策，<

管it中断2次/季；中断畤口^察事项：

掇.定一份通用性磬明善文件。

^<4小畤

凰除值=资羟慎值*威湾*口碓言忍符合要求。

弱黠。可接受凰险■值9，有

9项12件资筐超谩可接受

凰除■

修款章彳条文舒己稣谪稽核第a

口主要不符合事项：

物］、四ISMS之^施舆操作：施行罩位鹰硅施控制措CAC-ISMS-B-011安全事件

施，以符合控管的目才票，孰行言整束奥言忍知t十重，管理程序善口次要不符合事项：

碓保值浏［安全事件的能力，以及迅速回鹰和鹰封霓CAC-ISMS-D-042资1凡安全

理的B寺效。事件辍告单察事项：

剧除■改善言十重表

口硅考忍符合要求。

口主要不符合事项：

捌、五ISMS之盛控及塞查：施行军位愿圆十封ISMS迤行盛CAC-ISMS-D-005资安管雷

控程序舆其他控制措施，即^^别资安事件的彝

口次要不符合事^:

生、虑理J旗序舆解;夬方法；定期塞查ISMS之有效

CAC-ISMS-D-004ISMS有效

性(建言兼一^年至少一次)'寻相^有骸著影警之

性量测表□觐,察事项：

活勤舆事件言己^下来。

□碓言总符合要求。

捌、六ISMS之雉持及改造：施行罩•位鹰定期^行改迤活精正防虑理罩由资安稽口主要不符合事项：

勤T采取逾富的精正舆予即方措施，加得到管理F皆屑

核小,组■名且是或幺且具或M#口次要不符合事项：

之同意，或碓保各项措施it到颈期目檄。

人追弹£，一倜月内追联查

核，菽结果。□觐,察事项：

CAC-ISMS-D-005W■安管塞

口硅考忍符合要求。

玖、居昌於^^安全管理系统(ISMS)建置需求

修款章彳条文然己稣谪稽核第

玖、七文件要求：居3於ISMS文件化（重子槽案或纸本），CAC-ISMS-B-002文件管理口主要不符合事项：

必须包含安全政策、安全目才票、ISMSiaffl、遹用

程序善口次要不符合事项：

性磬明、资安事件言己至亲以及其他有助於提升ISMS

文件存放地黠?

成效之文件；上述之文件需接受保嗦量舆管制，定

CAC-ISMS-D-006文件察事项：

期的塞查及更新，碓保文件之最新版本；任何遇期

申言青翠

文件需保留或£肖皇殳，愿予以遹富的^别。

口硅言忍符合要求。

口主要不符合事项：

玖、八管理■任：施行罩位之管理F皆屑，最悬重要的管理F皆屑：甄ig入^委具

是^■予承及^^的支持，逾度的提供资源以助曾幺息韩事口次要不符合事项：

ISMS程序的谨行，必要畤塞查ISMS的控制措施典CAC-ISMS-D-005资安管雷

有效性；另外，碓保於ISMS轮圉内之具工，具借曾。莪幺己鳏□觐,察事项：

足狗之能力及考忍知'定期迤行教育言整柬。CAC-ISMS-D-019教育言曜家

筵到表□碓言总符合要求。

玖、九管理F皆眉塞查：管理F皆眉愿在祝副期^内，塞查^CAC-ISMS-D-005资安管窖口主要不符合事项：

罩位的ISMS典逾用靶圉，硅保其持^的逾用性、

曾妖己^口次要不符合事项：

遍切性及有效性；其中鹰睿查包含燮更需求舆改迤

畴檄，多其结果碓^文件化。

口觐,察事项：

口碓言总符合要求。

口主要不符合事项：

玖、十ISMS之改造：ISMS的改迤是持^的，必须藉由各CAC-ISMS-D-042瓷tK安全

资安事件舆塞查结果，做出逾度的反愿舆改造，持

事件辍告单口次要不符合事项：

系统之有效性；另外，封鹰的精正措施以及防^

CAC-ISMS-D-048精正fM防

未然的防措施，亦须予以制定文件化。

虑理覃口觐,察事项：

修款章彳条文然己稣谪稽核第

□硅言愁符合要求。

A5^^安全政策tr定舆押估

A.5.1^^安全政策tr定舆4平估

A.5.1.1露礼^^安全政策愿参考资安相^法令及施行抽冏具工如何查春旬春亥军位口主要不符合事项：

军位缴矜上的需求，加幺型由管理陷眉核

安全的资安政策？

口次要不符合事项：

政策准，以逾富方式向所有员工公彳布典宣厚，

制定在必要畤告知相^^位及合作席:商，以利

口觐,察事项：

共同遵守。

口硅考芯符合要求。

口主要不符合事项：

A.5.1.2ftft面封资安事件的樊生、资安相^法令奥其由CAC-ISMS-D-042资言礼安

安全他影警因素的改燮畤、^^安全政策鹰迤

全事件与艮告罩看100年1~6口次要不符合事项：

政策行即畤的押估，加定期寄查政策的可行性

月彝生襄次居必建渠矜管

言平估典有效性。

中断？中断畤?再配合察事项：

CAC-ISMS-A-001资tft安全

政策探言寸量化指才票是否需口碓言忍符合要求。

要修正？

A6资三也安全幺且微

A.6.1^^安全乡且微推勤舆^

修款章彳条文然己悦稽核第

A.6.1.1露礼安由管理F皆眉聚娜定期之^^安全曾幸艮，召CAC-ISMS-D-001资言礼安全口主要不符合事项：

集相M军位代表迤行工作典i■任的分

幺且微成具表口次要不符合事项：

推勤以儒'硅保资安相居抬十重的迤行）加展现管

及耀责理F皆眉的支持。

察事项：

之分配

口硅考忍符合要求。

A.6.1.2WtKix^理言殳借的移醇（包含新言殳儒），鹰由CAC-ISMS-D-015人^^掌口主要不符合事项：

施使用才瞿i■主管人具迤行授耀、移交的程序，碓

清册口次要不符合事项：

之授才置保官殳儒彳灸.<的Ml利作以及i■任所腐。

CAC-ISMS-D-018离隹^人员

移交言己^表口觐,察事项：

口碓言忍符合要求。

口主要不符合事项：

A.6.1.3保密脩施行罩■位之员工（包含正躺i具工、陶畤雇CAC-ISMS-D-015人^^掌

款之翕具）鹰翕署彳蜀立或包含保密脩款之合幺勺，碓

清册口次要不符合事项：

tr保其了解愿有之资安■任舆相^限制。

iCAC-ISMS-D-017保密切幺吉

♦□觐,察事项：

□碓言义符合要求。

修款章彳条文然己稣谪稽核第

口主要不符合事项：

A.6.1.4跨军位卷硅保资言礼安全作棠的，庾利^行，需舆轨CAC-ISMS-D-003外部罩•位

合作及法檄^、主管械情、^^服矜麻:商及重信

聊格清翠口次要不符合事项：

雕周公司建立通富的港通管道。

CAC-ISMS-D-024委外席:商

人具保密切幺吉善察事项：

口硅考忍符合要求。

口主要不符合事项：

A.6.1.5资tn安在必要B寺，须向罩■位内部事棠人具或外部CAC-ISMS-D-003外部军位

全!^言句尊^前人具徵前、有礼安全建言莪。

耳飙络清罩是否涵盖：教育口次要不符合事项：

部重算中心、霎嘉队辆I中

心、技服中心、资安串甫醇口觐,察事项：

?

口碓言忍符合要求。

口主要不符合事项：

A.6.1.6露fl安檄^制tr之资三礼安全政策、愿造行才蜀立及CAC-ISMS-D-005W■安管雷

全政策客觐的押估。

己^^资安政策的押口次要不符合事项：

的才蜀立

估如何？

旅视

□觐,察事项：

□碓言义符合要求。

A.6.2施行罩位外部人具存取安全管理

修款章彳条文然己稣谪稽核第

A.6.2.1施行罩面封外部人员存取施行罩位＞理言殳CAC-ISMS-B-008存取控制口主要不符合事项：

位外部施的可能凰除■，鹰祝；兄探取通富的安全

管理程序耆典口次要不符合事项：

人具存控制措施，条列安全规定於正式合祭勺

CAC-ISMS-B-010委外管理

取之安中O

程序耆中封外部人具之相察事项：

全掌控

sa规定？

如果暂不^放外部人员存口硅考忍符合要求。

取，控制目檄是否列入不

遍用。

A.7羟分^舆管制

A.7.1分^典i■任分腐

A.7.1.1fMf愿裂作所有＞4之清册，定期雉CAC-ISMS-B-003口主要不符合事项：

目^音蔓、更新。

管理程序善口次要不符合事项：

建立

CAC-ISMS-D-009

清里口觐,察事项：

口碓言忍符合要求。

修款章彳条文然己稣谪稽核第

A.7.1.2露礼安^筐鹰造行分级票示，加考量重要CAC-ISMS-D-009口主要不符合事项：

全等皴.资＞4的需求，於必要B寺制定保^措施及虞

清罩中资苴礼资分级状况口次要不符合事项：

分^理流程。

舆械房营殳借相互勾稽。

察事项：

口硅言愁符合要求

A.8人具安全管理舆教育D股束

A.8.1聘任前之虞理

口主要不符合事项：

A.8.1.1所履角施行罩•位之具工、麻:商及第三方使用者的CAC-ISMS-B-001^^安全

色奥责安全角色及i"任愿祝需求以善面或

名且微程序害口次要不符合事项：

任其他方式清楚定羲，舆^^安全政策一

CAC-ISMS-D-015人具轨掌

致。

清册口觐,察事项：

口硅言愁符合要求。

A.8.2聘用中之虞理

口主要不符合事项：

A.8.2.1资辄安施行罩■位内所有员工、合作麻:商奥第三方CAC-ISMS-D-019教育言曜家

全教育使用者愿接受遹富之资安言此竦舆有^^

翕到表核封制演束畤数是否口次要不符合事项：

方悻安政策、程序之宣醇言果程。

足多勺？成效如何呈现？

资安政策函知合作席;商的口觐,察事项：

«?

口硅考愁符合要求。

修款章彳条文然己稣谪稽核第

口主要不符合事项：

A.8.2.2遑反规依摞既定之修款或合祭勺，遑反施行军位之CAC-ISMS-B-005人具安全

定之虞^^安全政策舆程序之人具，愿予以遹富

典教育四I.竦程序善。口次要不符合事项：

理之彳黑却虑理。

言亥委员曾的人事樊懋祝定

文件？察事项：

口硅考忍符合要求。

A.8.3结束聘任或改建躺

A.8.3.1幺吉束聘i■轨行结束聘用或改建矜之槿责、其离隹耳成人具移交流程表？口主要不符合事项：

用之虞掌愿清楚定羲指派。

CAC-ISMS-D-018离隹颗人员口次要不符合事项：

理

移交言己^表

CAC-ISMS-D-032幔虢清查□觐察事项：

言己^表典CAC-ISMS-D-033

口硅言愁符合要求。

11M虎清查幺吉果洋艮告勾稽雕

月最人具11M虎。

口主要不符合事项：

A.8.3.2资筐缴资羟缴回愿有正式的离隹^程序，骸示其已雕耳最人具移交流程表？

回缴回罩•位资羟。

CAC-ISMS-D-018^^人具口次要不符合事项：

移交言己^表

察事项：

□碓言忍符合要求

修款章彳条文然己稣谪稽核第

A.8.3.3存取耀所有员工、合名勺商及第三方使用者的存取CAC-ISMS-D-033幔虢清查口主要不符合事项：

移除＜限愿根撼既有的头146或癌定迤行移除

结果与艮告中有辗委外席;商口次要不符合事项：

或改建°

11M虎？言亥幔号虎是否需要保

留？最近登入的察事项：

何？

口硅考忍符合要求。

A.9飕奥琪境安全

A.9.1国域之安全

A.9.1.1施行覃■位愿探用通富防^措施保障^力禁？保全？口主要不符合事项：

境安全虞理^施所在国域（檄房t殳儒、人具辨公国

口次要不符合事项：

域）的安全。

口^察事项：

□硅言必符合要求。

A.9.1.2人具迤施行罩位^^施控制措施，碓保只有授耀CAC-ISMS-D-020人^迤出口主要不符合事项：

出控制人具可以暹.出安全国域。

械房登言己表口次要不符合事项：

CAC-ISMS-D-021资弓孔械房

迤出人具授榷管制表□觐,察事项：

舆缸外^影械名己^勾稽

口碓言忍符合要求

修款章彳条文然己稣谪稽核第

A.9.1.3在W4fl虑理言殳施所在国域工作，愿才采取通空^^隔？口主要不符合事项：

理官殳施富的控制措施舆指引，碓保^国域的安全

口次要不符合事项：

安全性。

有辗昊地儒援？昇地儒援

璟境？察事项：

口硅考忍符合要求。

A.9.2言殳儒之安全

A.9.2.1言殳儒安施行军位鹰安置或保殳倩，降低璟境之璟控系统？消防言殳儒?消口主要不符合事项：

置地黑占威耆、炎害以及未授耀存取所造成的可能

防安检幺己^?口次要不符合事项：

之保^损失。

措施

□觐察事项：

口硅言愁符合要求。

口主要不符合事项：

A.9.2.2甯源供施行军位愿保礼虑理言殳儒，降低甯力AVR?UPS?雉己金耒?

4故障或巽常的影辔。

口次要不符合事项：

紧急彝甯檄雉言鬟言己

口觐,察事项：

□碓言总符合要求。

修款章彳条文然己稣谪稽核第

A.9.2.3施行罩■位愿保^通及^^虑理t■殳防^?才票示？口主要不符合事项：

安全防儒之甯源，降低受藕臆或破墩的可能损

口次要不符合事项：

失。

察事项：

口硅考忍符合要求。

口主要不符合事项：

A.9.2.4言殳借之理言殳倩鹰予以遹富的雉^，碓保其CAC-ISMS-D-023主械系统

婚矍持作。

雉请差言己^表主管核阅?口次要不符合事项：

CAC-ISMS-D-020人员暹出

械房登言己表典口觐,察事项：

CAC-ISMS-D-022营殳借迤出

□硅言忍符合要求。

幺己鳏表舆CAC-ISMS-D-023

主械系统雄三姜三己^表三者