资讯安全组织

《资讯安全组织》由会员分享，可在线阅读，更多相关《资讯安全组织（33页珍藏版）》请在装配图网上搜索。

1、資訊安全政策In formati on Security Policy控制描述建置資訊安全管理系統的第一個步驟就是制定及公佈一份資訊安全政策。一個好的 資訊安全政策除了可以讓全體同仁瞭解主官管階層對資訊安全的重視外，更應該清楚的表達機關或組織整體資訊安全的策略與方向，讓各下轄單位在制定資訊安全相 關管理辦法、標準、及作業流程時有所依據。控制風險1. 資訊安全政策為ISMS之基礎；若無此根本大法，一切均屬空談。2. 政策應有審查修定程序，否則將留於形式，無法達成持續改善的目的。控制目標1. 提供主官管階層對資訊安全的方向和支持。主官管必須設定一個清楚的策略方向並且表態支持承諾，對整個機關或組織公

2、佈及維護資訊安全政策。2. 一份政策文件必須得到主官管階層的核可，公開發行，以及對所有同仁宣導與溝通。它必須陳述主官管階層的保證，以及要求整個機關或組織開始管理 資訊安全。3. 政策文件應該有專人負責，根據明確規定的審查程序對政策進行維護和審 查。審查過程應該確保在發生影響最初風險評鑑後之任何改變（如發生重大 安全事故、出現新的漏洞以及組織或技術基礎結構發生變更）時，對政策進 行相關的審查。控制要點1. 資訊安全的定義，完整的目標和範圍，以及其安全對資訊分享的重要性。2. 主官管階層的意圖陳述，支持資訊安全的目標及原則。3. 簡要說明各項安全政策、原則、標準、及遵循要求對機關或組織的重要性；

3、例如：a. 對法律規定及合約要求的遵循。b. 安全觀念的教育訓練需求。c. 對病毒及惡意性的軟體程式的預防及偵測。d. 永續經營的管理。e. 違反資訊安全的後果。4. 資訊安全管理之一般及特定權責的定義，包括安全事故或意外的報告。5. 引述其他參考文件，例如更詳細的相關安全政策或特定資訊系統的執行程 序，或者是使用者必須遵循的安全規則等。6. 政策文件必須以適當的、容易取得的、以及容易瞭解的方式與整個機關或組 織所有同仁詳細的傳達。7. 使用的文字詞句要清楚和直接， 避免含糊不清的語意。8. 隨時注意法律條文的發布或變更。9. 資訊安全教育訓練的安排。10. 各階層及內外部使用者的權責。11.

4、 以安全事件的形式、次數和影響來檢查政策的有效性。12. 控制措施的成本及其業務效率的影響。13. 技術變化帶來的影響範例摘錄甲部會 資訊安全政策 本部會之資訊安全政策在確保 :1. 資訊將受到保護以避免未授權者取得資料。2. 資訊的隱密性將得到保護。3. 資訊的完整性將得以維持。4. 資訊的可用性將得到確保。5. 達成主管機關與國家法律的要求。6. 本部會永續經營計劃的制定 , 維護及測試。7. 資訊安全訓練將會提供給本部會所有同仁。8. 所有違反資訊安全的可疑現象將報告資訊安全權責主管並採取行動。乙機關資訊安全政策資訊安全政策的目的是在保護本單位資產不受到各種威脅。在任何時候，本單位應考量

5、成本效益與對策的適用性。資訊安全政策的目標是在確保本單位業務永續經營，降低危難及安全事故發生的機率。資訊安全組織Information Security Organization控制描述 資訊安全組織建立的目的在確保資訊安全管理系統由上而下的觀念與共識形成 ，分 工合作與責任的分派，以及全體員工資訊安全觀念的落實，以達成組織資訊安全的 目標。控制風險1. 資訊安全組織架構與協調權責不清時，將無法發揮規劃之功能。2. 管理授權不清，將危及組織運作。3. 委外或第三方組織間之安全管理責任劃分不清時，對組織有重大潛在性風 險；並增加處理資訊危安事件之困難。控制目標1. 在組織中對資訊安全加以管理2.

6、 維護組織的資訊處理設施和資訊資產被第三方存取時的安全。3. 當資訊處理責任委託其他組織時，應維護資訊之安全。控制要點1. 為了在組織內開始推動並控管資訊安全政策的施行 ，必須建立一套資訊安 全管理的架構。2. 資訊安全組織的架構必須涵蓋組織中所有單位 ，由最高主管及各單位部門 主管指派部門成員成立資訊安全委員會 ，並由委員會的所有成員共同推選 出一位主席。3. 資訊安全委員會的主要任務包括：a. 檢視及覆核組織的資訊安全政策及其相關的責任範圍b. 對重要的資訊安全資產及事件做適當的處理c. 檢視及監控資訊安全事件d. 核准加強資訊安全管理的主要指導方針e. 定期檢視資訊安全政策4. 建置組織

7、的資訊安全管理系統 ，必須經過資訊安全委員會的所有成員代表 各部門提出相關的意見後，協調建置的內容及步驟。5. 資訊安全委員會協調的主要事項包括：a. 對組織內與資訊安全相關的明確職責達成共識b. 對建置資訊安全管理系統的方法及步驟達成共識，例如風險分析的方法，安全等級的系統等c. 對組織內的資訊安全指導方針及活動達成共識，例如資訊安全確認性計畫d. 確認資訊安全是整體資訊計畫建置步驟的一部份e. 一個新的系統或服務要推行之前，必須先就資訊安全控制項目評估其適足性，並進行建置協調f. 檢視資訊安全事件g. 在組織內，提昇企業支持資訊安全的見度6. 對特定及個別的資訊資產及安全流程必須清楚的定義

8、其責任。7. 資訊安全政策必須提供組織內職責分配之一般性指導原則 。如果有必要的 話，必須對特定的部門、系統、或服務進一步補充說明。也必須對單獨的 資訊安全資產及安全流程，例如業務持續運作計劃等，釐清其責任。8. 在許多的組織當中 ，資訊安全主管會被賦予開發及建置資訊安全管理系統 的責任，並支援控制項目的確認。9. 但是，對資訊安全控制項目的資源分配及建置是各主管的責任。一般常見的慣例是對每一項資訊資產指定一為所有人 ，而該資產所有人則必須對該 項資產負起日常的安全責任10. 資產所有人可以將其安全責任分派給個別的經理人或服務供應商。然而， 資產所有人仍然必須負起該資產的責任 ，而且必須對責任

9、的解除分派做出 正確的決定。11. 基本上，每一個經理的的責任都已經很清楚了，但下列的特定事項則必須 要再說清楚，a. 對每一個系統及其相關的資訊資產及安全流程必須要確認及清楚 的定義b. 每一位經理必須要對其責任範圍內的資訊資產及安全流程清楚並 同意，而且必須要將其責任清楚的製作成文件c. 授權層級也必須清楚的定義並製作成文件12. 一個新的資訊處理設備之管理授權必須認定清楚 。以下的控制項目必須要考慮：a. 新的設備必須要有適當的管理者核准並授權其目的及使用範圍。 其授權也必須考慮到是否符合資訊安全及相關管理政策b. 如果有必要的話，也必須考慮到使用的軟體及硬體是否與其他系 統相容c. 使

10、用個人資訊處理設備來處理業務相關資訊時必須得到適度的授 權。d. 使用個人資訊處理設備會造成新的弱點，因此必須要被審慎的評 估及授權e. 對網路環境而言，以上的項目特別重要。13. 很多組織都需要資訊安全專家的建議與忠告。理想的狀況是，一個組織內 有經驗的資訊安全顧問可以提供一些建議及忠告 ，但並不是所有的組織都 需要雇用一位資訊安全專家。因此，組織可以考慮以合約的方式聘請一位 外部專家來協助建立組織的資訊安全管理系統 ，並在建置的過程中提供專 業的建議。14. 聘請資訊安全顧問的時機越早越好 ，資訊安全專家可以在建立資訊安全管 理系統的初期提供相關產業的經驗及案例供組織參考 ，並協助規劃必要

11、的 流程及步驟，以避免資源的浪費。同時資訊安全專家也可以在內部稽核或認證稽核時，以第三者獨立稽核的角度，為組織提供專業的建議，以避免 一些可能發生的盲點。人員安全與管理Personnel Security控制描述在人員招募的過程中就必須要顧及資訊安全的責任，包括在聘僱合約中註明，以及 在工作期間都要隨時注意。有希望被招聘的人員必須要經過嚴格的篩選，特別是對 敏感的職位及工作 。使用資訊處理設備的所有員工及第三者都必須簽訂一份保密協 定。為確保每位使用者明瞭資訊安全的威脅及利害關係 ，以及在日常的工作中被賦予支 持組織的資訊安全政策，使用者必須接受資訊安全的相關訓練，了解安全的執行程 序，以及如

12、何正確的使用資訊處理設備，將可能的資訊安全風險降到最低。資訊安全事件發生的時候，員工必須將事件儘速向適當的管理階層及管道呈報，因 此，所有的員工及約雇人員都必須明瞭不同型態的資訊安全事件有其不同的報告程 序。但為避免錯誤的判斷，組織必須對所有員工及約聘人員實施教育訓練，教育所控制風險1. 敏感資料遭竊取；2. 無意或惡意的毀損；3. 錯誤使用；4. 惡意詐騙；5. 軟體錯誤；6. 人員疏失。控制目標1. 確保資訊及資訊資產之完整性；2. 確保安全的責任已定義在每位員工的工作說明中。3. 防止員工或第三者對資訊及資訊資產的遭受遺失、修改或不當使用。4. 保護資訊的安全性、鑑別性或完整性。5. 防

13、止資訊系統內程式或資料遭遺失、竄改或濫用。控制要點1. 根據資訊安全政策中的敘述，安全的職責必須在每位員工的工作手冊中適當 的說明。2. 安全檢查對特定的工作，在工作申請開始時就必須要實行。必須包含以下的控制：a. 有效的品德操守參考資料b. 申請人的學歷資料c. 對教育程度及專業資格的確認d. 獨立第三者的再確認3. 保密協定是用來正式告知員工特定資訊的機密性，而員工通常要簽署一份這 樣的協定，以作為其基本的僱傭契約中的一部分。4. 僱傭契約中必須要詳列員工對資訊安全的責任。而且，這些責任也必須含蓋 員工離職後的一段時間。同時，此契約亦須含括若員工違反保密協定時，組 織必須採取的行動。5.

14、所有的員工及相關的第三者均須接受有關組織政策及執行程序之適當教育訓 練及定期的更新。這樣的訓練包括安全的要求、法律的責任、業務的控管、 以及如何正確的使用資訊處理設備。6. 組織應該建立一套通報程序，包含事件回應程序，已開始執行當事件發生時 所應採取的步驟。7. 使用者應當註記及通報任何系統或程式在安全上的弱點以及威脅。8. 組織應當建立一套軟體錯誤的通報程序。以下的步驟必須要考量：a. 註記問題的徵兆及銀幕上出現的任何訊息；b. 有問題的設備必須暫停使用，並且離開網路。使用者必須立即通報。c. 相關的問題必須立即向資訊安全主管告知。9. 組織應當建立一些機制來紀錄及分析事件或軟體錯誤的種類、

15、次數、以及所 產生的成本。10. 組織應當建立一套違反資訊安全政策及執行程序的懲處步驟。該步驟亦須 確保涉嫌嚴重或持續違反資訊安全政策的員工會得到公平及正確的處置。資產分類與控管Asset Classification and Control控制描述所有主要的資訊資產應進行適當的分類控管，並指定資產的所有人。確定資產的責 任有助於確保可提供適當的保護。應確定所有主要資產的所有者，並分配維護該資 產的責任。應該對資訊分類，指明其需要、優先順序和保護級別。資訊的敏感程度和關鍵程度 各不相同。有些資訊需要加強保護或進行特別對待。可以使用資訊分類系統定義合 適的保護級別，並對分類標準定期審查。控制風險

16、1. 資訊資產清單不完整，機關或單位之財產清單的完整性會有影響。2. 分類不明確或未落實，會影響管控之有效性。3. 標示不清晰，將直接影響相關資訊資產保護之有效性與可用性。控制目標1. 維持對於組織資訊資產的適切保護。2. 資訊資產應有適當之分類與彙整控管。3. 保證資訊資產受到適當程度的保護。4. 資訊資產應有明確之標示。控制要點1. 組織資訊資產的保管責任需明確，要把資訊使用者、資訊擁有者與資訊管理 者角色區分出來。2. 資產清單能幫助您確保對資產實施有效的保護。收集資產目錄的過程是資產 評估的一個重要方面。組織應確定其資產及其相對價值和重要性。3. 組織應根據資產的敏感性、重要性和價值提

17、供相應級別的保護，並確認每項 資產及其所有權和安全分類。4. 對資訊資產進行分類時，應制定相關的保護性控制措施。5. 根據組織採用的分類方法，明確標示和處理資訊的妥善步驟非常重要。這些 步驟應包括實際存在的資訊和電子形式的資訊的標示和處理步驟。對於每個 類別，應明確說明，處理步驟包括以下類別的資訊處理活動：a. 複製；b. 儲存；c. 透過郵寄、傳真和電子郵件進行傳輸；d. 透過行動電話、語音郵件、答錄機等交談方式進行傳輸；e. 破壞。6. 有些資訊資產（如電子格式的文件）不能貼上實際的標籤，可使用電子方式的標示方法。實體與環境安全Physical and Environment Securi

18、ty控制描述實體與環境之安全必須作為整體資訊安全的基礎。針對有形資產、設備及日常工作 環境應採行妥善之保護與控管措施。控制風險在實體與環境安全部分所應考量的要項，須包含下述幾類：1. 實體區域安全；2. 設備安全；3. 其他一般性控管措施。控制目標藉由對實體與環境安全相關的管控，進而（1）避免組織之實體環境及資訊遭人非法存取、損害與干擾；（2）防止資產遺失、損害，避免組織之正常運作停擺；（3）防止資訊及資訊處理設備遭竊或外洩。控制要點為確保實體區域之安全，應建立起適當之安全防線，並有各個關卡保護以增強整個實體安全的強度。在重要安全區域內，需加強人員進出控管措施，並強化安全區域之安全防護措施；而

19、在其選擇與設計時，應考量火災、水災、爆炸、及其他天然或 人為因素所可能造成的損害。另外，重要設備放置的場所應採行妥善的保護措施；需考量如竊盜、火災、爆破性 危險物品、煙害、水力 （或電力供應 ）、灰塵、震動、化學效應、電力供應設備干擾、 電磁輻射等潛在威脅。而其他如電力供應、各類傳輸線路安全、及設備的日常維護 管理等，亦需列入控管。在一般性控管措施方面，為避免資訊外洩或資訊處理設備遭竊，應訂定桌面清除與 螢幕保護政策及資訊資產攜出程序等。系統開發及維護之安全System Development and Maintenance Security控制描述資訊系統於開發過程中，便應考量資訊安全的需求

20、，使安全功能內建於系統之中，以加強資訊系統保護資訊資產安全之能力。系統開發及維護的目的在確保組織資訊系統的基礎架構 、應用程式及使用者自建系統自系統分析、設計、開發，至完成後的測試、建置及維護等階段，皆有考量並實 行資訊安全的要求。控制風險7. 敏感資料遭竊取、不正當修改或損失；8. 應用系統損毀；9. 業務中斷，影響商譽；10. 觸犯法令控制目標6. 確保資訊系統之完整性；7. 確保線上作業系統之有效性；8. 保證安全機制內建於資訊系統之中。9. 防止應用系統中使用者資料的遭受遺失、修改或不當使用。10. 保護資訊的安全性、鑑別性或完整性。11. 確保資訊科技的專案與支援性活動以安全的方式來

21、進行。12. 維護應用系統軟體和資訊的安全性。13. 維護開發及測試環境之安全性；14. 防止資訊系統內程式或資料遭遺失、竄改或濫用。控制要點11. 應執行安全需求分析，及建立標準作業方式。從風險評鑑和風險管理來分 析安全要求並確定達到要求的控制措施，再設計階段導入控制措施，它的實 施和維護的代價要遠小於在實施過程中或之後導入的控制措施12. 應用系統應設計包含適當的控制措施和稽核追蹤或活動日誌記錄，嵌入使用者寫入的應用程式中。這些系統應包括對輸入資料、內部處理和輸出資料的檢驗功能13. 處理敏感、有價值或重要的組織資產或者對這些資產構成影響的系統還需 要補充其他控制措施。這些控制措施是根據安

22、全要求和風險評鑑確定的。14. 應對需要安全要求保護訊息內容完整性的應用程式考慮使用訊息認證，例 如機密性電子公文發送轉移或其他類似電子資料交換。應該對安全風險進行 評估，確定是否需要訊息認證並尋找最適合的實施方法。15. 加密系統和技術應該用於保護具有風險的資訊及控制措施所無法提供足夠 保護的資訊。16. 考慮使用的加密演算法類型和品質以及加密密鑰的長度基礎上，確定需要 的保護級別。 在實施加密政策時，應該考慮到在其他國家和地區使用加密技 術是否有法律的限制，是否會造成加密資訊跨國界的問題。17. 若使用數位簽章時，應注意保護個人金鑰的機密性。該金鑰應秘密保管， 因為得到該金鑰的任何人都可以

23、簽署文件，例如支付、合約等，然後偽造該 金鑰主人的簽名。另外，保護公開密鑰的完整性也很重要。使用公開金鑰證 明來進行保護。18. 所有金鑰都應該保護不被修改和破壞，秘密金鑰和公開金鑰需要保護不被 非法暴露。加密技術可以用來實現這一目的。如有必要，應使用實體保護來 保護用於產生、儲存和歸檔金鑰的設備。19. 與提供加密服務的外部供應商（例如，某權威公證機構）制定的服務基準協定或合約應包含責任、服務的可靠性和提供服務的回應時間等問題。20. 應建立完整適當之系統開發及維護作業程序；21. 應建立完整適當之變更控制程序；22. 對外採購或委外開發之應用軟體、新版本之作業系統正式上線之前應經詳 細測試

24、，防止隱密通道或特洛伊木馬程式；23. 線上作業系統之版本更新及應用軟體上線應經適當授權；24. 套裝軟體之變更修改應被嚴格限制；25. 程式碼資料庫之存取應被管控；26. 測試資料應謹慎選擇並適當保護，使用完畢後應經正常程序銷毀；27. 開發環境應與測試環境獨立分開，開發人員及測試人員之權限應被適當管 控；28. 軟體變更、測試之記錄及人員權限之設定應定期檢視；29. 軟體委外開發作業應遵循正式採購程序，並於委外合約內明訂權利義務、程式碼所有權及後續維護責任業務持續運作計劃Business Continuity Plan控制描述當災害事件發生時，關鍵業務服務中斷的可能性得以降至最低。必須確認

25、災害復原服務已就位待命，並經過適當的測試，以便人員、資訊技術、設備於事件 發生時能夠即時復原。控制風險依據事件強度可分為以下三種：(1) 輕微事件：指事件本質上屬輕微，並可頒布特定管理辦法處理。(2) 可復原事件：比輕微影響事件造成更嚴重影響且 必須啟動災害應變計劃 例 如：長時間電力供應中斷嚴重火災地區性淹水 破壞性地震被強制撤離辦公場所（3）不可復原事件：將明顯造成人身安全顧慮之狀況，而公司無法適當處理之 情況。災害應變計劃並不適用於此事件 （如核電廠事故、國際恐怖攻擊事件、戰 爭）。控制目標業務持續運作計劃之目的是當緊急事件 （如火災、長時間電力或通信中斷、淹 水、破壞性地震等 ）發生時

26、得以確保員工安全，並限制或降低對企業正常營運形 成威脅的衝擊以確保時間迫切性的業務得以繼續運作。控制要點業務持續運作計劃之內容架構應包括： 業務衝擊性分析 適用範圍計劃目標復原策略組織與權責計劃維護、測試、認知與訓練災害復原程序緊急聯絡方式資訊安全稽核Information Security Audit資訊安全稽核之目的在確保單位遵循資訊安全政策標準程序，達成組織資訊 安全目標。資訊安全稽核的範圍，包括：1. 資訊系統2. 資訊系統服務提供者3. 資訊資產擁有者4. 資訊使用者5. 管理人員資訊安全稽核類別依據稽核人員區分，可分為下列二種：1. 內部自行稽核：指由負責稽核之部門或人員執行，此部

27、門或人員和受稽核 的業務需要完全獨立，稽核的目的在確保單位資訊安全政策、程序與控制設計及執行之有效性2. 外部人員稽核：包括主管機關對下屬單位、供應商對合作夥伴之稽核、若單位缺乏適當之資訊安全稽核人員 ，亦可能僱用獨立之第三者代替執行資 訊安全稽核依稽核目的及對象區分，可分為下列三種：1. 系統稽核 ：主要在瞭解單位書面化之資訊安全文件是否符合特定資訊安全 標準，及是否依據健全的風險評估而產生2. 遵循稽核：主要在稽核單位所制定之資訊安全政策、程序、控制及法規合 約是否能有效的實施3. 產品服務稽核：特定資訊安全產品或服務可能需要驗証，以符合特定的資 訊安全規範三、資訊安全稽核步驟資訊安全稽核

28、分為下列十二步驟：1. 稽核員與受查單位確認資訊安全稽核之目標及範圍2. 稽核員針對資訊安全相關文件執行複核，以瞭解資訊安全系統設計及 相關法規要求4. 制訂稽核計劃，包括稽核行程、時間、資源、成員並通知受查單位5. 舉行稽核專案會議，與受查單位確認稽核行程及配合事項6. 執行稽核外勤工作7. 分類、分析、觀察及測試結果8. 舉行稽核專案結束會議9. 撰寫並遞交稽核報告10. 與受查單位確認改正措施11. 完成稽核報告12. 持續監督四、資訊安全稽核之內容資訊安全稽核通常分兩大部份：1. 資訊安全系統文件審查本階段在確認資訊安全管理系統之範圍與資訊資產 ，檢視單位之風險評估結果，確認各項控制點

29、，以瞭解單位所設計及建置之資訊安全管理系統之完整性，包括：1)場所實地堪查2) 資訊安全政策目標、責任3) 資訊資產管理4) 風險評估及適用性聲明5) 資訊安全文件管理6) 資訊安全執行監督記錄2. 資訊安全遵循審查 本階段之目標在確認單位資訊安全管理系統及相關作業是否有效執行 ，及 是否可達成單位資訊安全政策目標，工作項目包括：1) 確認資訊安全管理與內部稽核具有適當的監督、衡量、複核及報告2) 確認資訊系統可以有效的監督、評估、報告違反資訊安全及安全意識之事件3) 針對資訊安全的弱點或未能遵循資訊安全政策之部門提出改善之建議五、稽核報告之撰寫資訊安全稽核結束後，稽核人員應撰寫稽核報告，說明

30、下列事項：2. 稽核結果須彙總發現、影響及建議3. 稽核結果須與受查單位相關人員充份溝通討論，取得同意針對稽核之發現及建議，受查單位可能無法立即執行建議事項，稽核人員必須列入觀察或後續追蹤，以確保適時的改正六、資訊安全稽核之考量為有效的執行系統稽核專案，稽核人員與受查單位必須適當考量營運中之系 統以避免受到影響 ；若有使用系統稽核工具 ，應遵守單位相關資訊安全規定， 稽核人員在執行系統稽核應注意下列事項：1. 稽核目標與需求，應與單位主管充份討論。2. 稽核與測試之範圍，應予明確定義。3. 稽核測試限於只能讀取資料及程式。4. 若有存取、更新資料或程式之情事，應使用獨立的系統檔案。5. 執行稽

31、核測試所需之資訊資源，應明確辨認。6. 稽核測試及存取活動，應予監督。7. 稽核測試程序需求及工作職責分配，應予書面化。資訊安全稽核包括技術上之檢查，故可能需要資訊技術人員參與，稽核人員 可用人工檢視或使用自動化的稽核軟體執行各項測試工作，亦可能包括由第 三者執行之入侵偵測，這些工作應有適當之管理監督且須經單位之授權。七、稽核人員行為準則與稽核準則之遵循資訊安全稽核人員應遵守相關之行為準則，並應具有資訊安全管理、資料處 理及資訊稽核之知識與經驗，如具有國際資訊安全管理師 (CISSP) 、國際資 訊系統稽核師 (CISA) 資格者則稽更為理想。唯資訊安全稽核人員對於資訊安 全相關法全與規章、資

32、訊技術及產業知識、稽核技巧，仍需隨時保持警覺與 注意，有關資訊安全人員應遵守之職業道德可參考 CISSP 及 CISA 專業人 員行為準則資訊安全稽核人員在執行工作時須遵守稽核準則，以確保稽核工作之品質。 茲列舉國際資訊安全與控制協會 (ISACA) 所制定之資訊稽核準則如下： 1. 稽核人員之責任權限，應在稽核章程或合約妥為載明。2. 稽核人員對於涉及稽核之任何事項，在態度及言行表現上應獨立於受查單位。3. 稽核人員應遵守相關之職業道德規範。4. 稽核人員應具有專業技術能力及執行稽核工作之知識並持續進修。5. 稽核人員須依照稽核目標及專業稽核準則規劃稽核工作。6. 稽核人員應受適當之監督，以確保達成稽核目標，遵循稽核準則；在 稽核過程中要蒐集充份、可信賴、相關及有用的証據，以支持查核發現及 結論。7. 稽核人員在完成稽核工作時應向受查者提出稽核報告，說明查核範 圍、目標、涵蓋期間及工作性質及內容，稽核報告要說明送交對象及發現 之事實、結論、建議。8. 稽核人員對上次查核發現之事項結論及建議，須要求提供適切及相關 之資訊，以判斷受查單位是否及時妥善處理。