提供ISO 27001資訊安全顧問輔導內部稽核基本原則、流程與說明。若需要進一步資訊與服務，請與我聯繫。萬弘資訊顧問:sales@wanhung.com.tw

1. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
萬弘資訊
ISO 27001顧問輔導內部稽核
連絡人：萬弘資訊顧問周世洪先生
Email：sales@wanhung.com.tw
Web：http://www.wanhung.com.tw
Lineid:wanhung1911
1

2. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
稽核人員基本知識
2

3. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
 項目：
 「稽核計畫」的排定與執行
 矯正措施的進度跟催
 於資訊安全管理審查會議說明「稽核結果」、「矯正措施」
的跟催狀況
稽核人員的執掌
3

4. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
 項目：
 ISO 27000 (名詞定義)
 ISO 27001:2013 (可參考ISO 27002)
 本文章節4～10，以及附錄控制項A.5～A.18
 CNS 27001:2013
 適用之法令法規
 例:包括產業相關法規、營業秘密法、個人資料保護法、著作權法…等。
 「適用」之合約
 內部制定之資安相關規範
稽核依據
4

5. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
稽核目標
 目標:
 確保受稽核範圍遵循所訂定之資訊安全管理規範、適用法
規與合約並將相關管控措施有效落實，若有未落實之處應
予以提出並加以改善。
5

6. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
資訊安全內部稽核原則
6

7. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
稽核方法與技巧
7
• 方法 （面談+觀察)
– 找到適當的人提問
– 提問方式須讓對方清楚了解
– 給予受稽方時間回答
– 維持公正
• 技巧
– 眼觀四方、耳聽八方
– 查文件、抽紀錄、確認結果

8. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
稽核工具
8
• 查檢表
• 業務執掌 + 流程訪談
• 技術性稽核工具(弱點掃描、滲透測試、
系統內建稽核功能)

9. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
內部稽核於ISO 27001之要求
9

10. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw 10
• 現況訪談
– 瞭解與ISMS標準要求的差異程度。
• 管理制度建構
– 建置資安管理文件。
• 風險管理
– 風險評鑑。
– 風險處理。
• 制度施行與檢核
– 管理制度頒行並進行稽核。
• 改善作業
– 矯正不符合事項以達到改善之效果。
現況訪談作
業
風險管理作
業
管理制度建
構作業
制度施行與
檢核作業
改善作業
制度施行與檢核作業

11. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
• 需有一書面程序界定：
– 規劃、執行、報告結果與維護紀錄之責任與要求
– 稽核準則、範圍、頻率及方法
• 稽核員之遴選與稽核之執行，應確保
– 客觀性、公正性
– 不應稽核自身工作
– 矯正措施之查證與結果之報告
– 受稽區域負責之管理階層，應確保所採行的措施無不
當延誤
– 跟催活動應包括所採行措施之查證與查證結果之報告
內部稽核

12. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw 12
• 資訊安全政策、目標、考慮之內外議題、範圍之
決定
• 風險評鑑制定準則、比較準則
• 風險評鑑過程/風險處理過程
• 風險評鑑結果、風險處理結果
• 確保所有執行過程有效之相關紀錄與資料
• 內部稽核的活動與規劃
• 不符合事項之矯正活動與追蹤
• 管理審查會議
內部稽核-標準本文

13. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw 13
內部稽核-附錄控制項(一)
• A.5資訊安全政策
• A.6 資訊安全組織
• A.7 人力資源安全
• A.8 資產管理
• A.9 存取控制
• A.10密碼學
• A.11實體與環境安全
• A.12作業安全

14. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
 A.13通訊安全
 A.14系統獲取、開發與維護
 A.15 供應商關係
 A.16 資安事故管理
 A.17 資安營運持續管理
 A.18 遵循性
內部稽核-附錄控制項(二)
14

15. 完整資訊提供

16. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
 資訊安全顧問服務輔導(萬弘資訊首頁)
 ISO27001:2013資安管理制度顧問輔導(資安顧問服務)
 資訊安全風險管理顧問服務(資安顧問服務)
 資訊安全風險管理與營運持續管理(資安顧問服務)
 資訊安全營運持續管理(資安顧問服務)
資訊安全服務與文章

17. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
 ISO27001pdf(資安顧問)
 ISO27001:2013資安管理制度相關文章
 ISO 27001:2013資訊安管理系統新版控制項介紹(資安顧問
簡述)
 資訊安全管理系統ISO 27001:2013本文簡介 (資安顧問簡述)
 ISO 27001:2005與ISO 27001:2013重點差異說明pdf (資安顧
問簡述)
 ISO 27001:2013資訊安全管理系統(資安顧問簡述)
資訊安全服務與文章

18. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
 個資委外監督稽核查核服務(資安顧問服務)
 網路個資刪除移除服務與諮詢(資安顧問服務)
 個資法管理制度顧問輔導(資安顧問服務)
 個資風險管理評估服務(資安顧問服務)
 個資法顧問個資盤點 (Dropbox pdf)
 個資法顧問供應商監督(Dropbox pdf)
個資保護服務與文章

19. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
 建立產生線上QR code製作
 實用資訊分享(Android app、雲端服務、小工
具)
 密碼保護
實用資訊提供

20. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
 資訊安全案例(Virus shield)資安顧問提供
 最大風險說明與實務經驗分享(資安顧問觀點)
 資訊安全例例_申請網上支付 (資安顧問案例)
 個資管理制度與品牌(資安顧問案例)
資訊安全案例分享 (資安顧問實戰經
驗分享)

21. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
 資訊安全範例分享(資安顧問提供)
 whoscall個資外洩與追蹤(資安顧問案例)
 資訊安全內部稽核案例(資安顧問服務)
 資訊安全內部稽核實務(備份)_資安顧問觀點
資訊安全案例分享 (資安顧問實戰經
驗分享)

22. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
 ISO 27001:2013資安管理制度建置實務
 ISO 27001:2013轉版教育訓練
相關教育訓練

23. 文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw文/萬弘資訊顧問有限公司 周世洪顧問 sales@wanhung.com.tw
敬請指教
23