1-7 ISMS適用範圍

⭐1.3

是否將全部核心資通系統納入資訊安全管理系統(ISMS)適用範圍？ (A、B級機關：全部核心資通系統2年內完成ISMS導入，3年內通過公正第三方驗證，第三方核發之驗證證書應有我國標準法主管機關委託機構之認證標誌；C級機關：全部核心資通系統2年內完成ISMS導入)

基本分

檢視【四階文件清單、資安政策定義ISMS適用範圍】確認ISMS導入且｢全校｣適用

再加分

C級學校檢視【內部稽核計畫、稽核報告(重點摘要)】完成內部稽核已納入具核心資通系統管理權限的業務單位

A/B級學校則檢視【ISO 27001通過驗證證書】為經TAF核可的驗證機關所核發，驗證範圍包含全部核心資通系統及具有核心資通系統管理權限的業務單位。

基本分符合題號10的成熟度1:「規劃/推動ISMS導入」，但成熟度2「通過驗證並維持有效性」屬於A/B級公務機關的應辦事項，多數國立大學為C級且私立大學比照C級只需要完成ISMS導入，因此對於核心業務之系統與業務單位完成內稽即加分肯定。

1-7 ISMS適用範圍 a (1.3)

👏🏽1.2

基本分

檢視【二階程序書清單、108年之後的程序書修訂紀錄】確認資安法施行後有檢視審查或更新管理程序

再加分

檢視【佐證】有依據資安法合規、因應資安新興議題(譬如近幾年相關資安函文)而修正管理程序及措施

基本分符合題號3與題號4的成熟度1:「針對資安法規提出因應措施業務項目、將資安新興議題納入考量」，審查時僅從程序書修訂紀錄簡單確認。加分符合成熟度2:「定期檢討資安法規盤點/執行/修正、針對新興議題相關業務項目規劃執行因應措施」。

1-7 ISMS適用範圍 b (1.2)

⭐5.3

基本分

檢視【委外管理程序書修訂紀錄及修正對照表】確認已包含委外選商及監督相關規定

再加分

檢視【函文、會議、宣導及教育訓練紀錄】提升全校單位主管及委外承辦人員認知委外管理程序、契約範本等管理措施

基本分符合題號15的成熟度1:「委外文件納入資安防護要求(如保密/設備出入/返還資料/事件通報/資安檢測/資安訓練/個資保護)」，加分符合成熟度2:「委外資安防護有管理機制(如專案會議檢視資安達成情形及改善追蹤等)並檢討執行情形」。

1-7 ISMS適用範圍 c (5.3)

⭐8.1

基本分再加分

此項已於「1-3 資通系統盤點(1.1)」做同等的查核，系統設計直接帶出前面評定的基本分、加分(但不重複計分)。

Search organization content

⭐6.2

基本分再加分

此項已於「1-5 內部稽核及委外稽核」查核，但因為所謂的 "導入ISMS" 完整概念是包含做到內部稽核為止，故仍在此列出此項。系統設計直接帶出前面評定的基本分、加分(但不重複計分)。

Search organization content

⭐6.2.1

基本分再加分

此項已於「1-5 內部稽核及委外稽核」查核，但因為所謂的 "導入ISMS" 完整概念是包含做到內部稽核為止，故仍在此列出此項。系統設計直接帶出前面評定的基本分、加分(但不重複計分)。

Search organization content

⭐2.1

基本分再加分

此項將於「2-3 提升教職員資安意識」查核，但因為所謂的 "導入ISMS" 完整概念是包含透過內部稽核確認全機關人員瞭解資安政策及應負責任，故仍在此列出此項。系統設計直接帶出前面評定的基本分、加分(但不重複計分)。

Search organization content