1. CNS 17800 B4 檢查階段 Present ：張永昌 Chang Yung-Chang

2. Outline  B4.1 簡介  B4.2 例行檢查  B4.3 自我督導程序  B4.4 從事件中學習  B4.5 資訊安全管理系統內部稽核  B4.6 管理階層審查  B4.7 趨勢分析

3. B4.1 簡介  「檢查」活動乃設計用以確保控制措施有 效運作及一如預期且資訊安全管理系統維 持有效。再者，任何風險評鑑之假設及範 圍之變更均應考慮。若發現控制措施不適 用， 則需決定必要的矯正措施。該等措施 之執行乃 PDCA 循環中「行動」階段之主 題。

4. B4.2 例行檢查  這些程序定期執行並為正常營運過程之一 部分， 且為偵測過程結果之錯誤而設計。 此等程序包括： 銀行帳戶核對 （ reconciliation of bank accounts ） 、 資產盤點、解決客戶抱怨等等。這類檢查 需整合入系統內，且需夠頻繁的執行以降 低發生任何錯誤後之任何損失（ 及後續責 任） 。

5. B4.3 自我督導程序  自我督導程序乃建構為執行中可即時偵測 發現任何所為錯誤或失敗之控制措施。如 網路監視設備（ 如設備失效、錯誤） 會 發出警報。警報可向負責人員警示問題發 生， 然後他可以診斷問題根源並予修復。 若問題未於規定期間內改正， 則會再發出 警報通知更高層主管， 自動升高問題等級。

6. B4.4 從事件中學習  鑑別組織程序中較不盡理想之方法為鑑別 其他組織處理問題較有效者。此學習適用 於技術軟體及管理活動。有許多參考來源 可鑑別技術及軟體之弱點。組織應經常參 考這些來源， 並對其軟體做必要更新。

7. B4.5 資訊安全管理系統內部稽核  整體目標為透過既定之定期稽核時間（ 不 應超過一年） 去檢查資訊安全管理系統所 有考量面均如預期運作。應規劃充分之稽 核次數， 使其平均分配於所選定期間內。  殘餘風險 (RESIDUAL RISK) ：實施安全對策之後仍然存在的風險。 （ IOSH 安全資料表）

8. B4.6 管理階層審查  整體目標乃為檢查（ 至少一年一次）資訊 安全管理系統是有效的， 且鑑別何處可改 進並採取措施。在決定目前之安全狀態時 或許是滿意的， 但仍應注意改變中之技術 及企業需求， 以及新威脅及新弱點之攻擊， 以預估資訊安全管理系統未來之變更， 以 確保未來持續有效。

9. B4.7 趨勢分析  定期執行趨勢分析可協助組織鑑別有需要 改進之區域， 並應形成持續改進循環之重 要部分。