稽核指的是以客觀角度執行標準程序，以檢查、評估相關缺失及制度規範有效性，是組織內部的一種獨立評估工具。稽核單位可分為內部與外部稽核，目前 ISO 國際標準組織內 27007 是專為內部稽核所訂製的標準，內容包括稽核管理、內外部稽核執行及稽核員職能與評核等。任何一位人員授權於稽核時，應做到公正無私，以正確的心態進行評核，才能發揮稽核的對大效益。

應先擬定稽核計畫，並於計畫中載明稽核範圍、標準、頻率及方法等規範，並以獨立性為原則，且不得稽核自己承辦業務。稽核過程應做明確記錄並於稽核結束後製作報告將其文件化，最後透過管理階層會議進行審視、檢討及改善，以維護稽核水平。

• 訪談或問卷
• 檢核表
• 抽樣或勾稽
• 自動化工具
• 滲透測試
• 自我評估及回饋
• 模擬情境及實際操作

• 保持平常心，有自信。
• 做好應答問題之準備，及備妥相關文件。
• 正面回應問題，不逃避問題。
• 不知道的如何應答時，可尋求同事協助。
• 有做沒寫，可說明詳細方法。
• 誠實以對，不說假話或浮誇內容。

1. 內部稽核是指?

A. 一種法律遵循工具，以維持內部資訊安全品質。

B. 可能受到威脅或破壞的評估與因應。

C. 網路管理的一種評估工具，用於程式開發管理。

D. 組織內部的一種獨立評估工具

2. 以下哪些是稽核常見的方法? (請選擇兩個答案)

A. 滲透測試

B. 開發稽核系統

C. 訪談或問卷

D. 安裝防毒軟體，並定期掃描以維護系統安全性。

3. 受稽核人心態應保持? (請選擇兩個答案)

A. 高自我意識。

B. 誠實以對，不說假話或浮誇內容。

C. 努力突破稽查員心房，打好友善關係。

D. 正面回應問題，不逃避問題。