一、臺北市政府為使所屬各機關（以下簡稱各機關）辦理資訊使用管理稽 核作業有所依循，特訂定本作業規定。

二、本作業規定所稱資訊使用管理稽核，指各機關對內部單位自行規劃辦 理之稽核作業。

三、各機關政風單位應會同資訊等相關單位實施資訊使用管理稽核作業。 必要時，得成立稽核小組，由政風單位辦理秘書作業，資訊單位負責 技術支援。

四、依前點規定實施稽核作業，得調閱有關資料、實地測試或檢查資訊軟 、硬體設備使用情形。必要時，應由資訊等相關作業人員或臺北市政 府資訊局提供說明及專業諮詢意見。

五、資訊使用管理稽核實施範圍，應以系統存取控制管理為主，參酌機關 資訊現況，針對下列事項，稽核其系統存取有無異狀及實施情形是否 符合相關法令之規定： （一）資訊系統存取控制及使用管理規定。 （二）使用者存取控制。 （三）系統存取權責。 （四）網路存取安全控制。 （五）電腦系統存取控制。 （六）應用系統存取控制。 （七）系統存取及應用監督機制。 （八）機關外部人員存取資訊系統之安全管理。 （九）其他存取控制事項。

六、資訊使用管理稽核作業程序如下： （一）綜合分析機關資訊系統特性、系統存取政策、系統異常存取狀 況及授權規定或其他使用管理規定，據以研（修）訂稽核項目 ，擬訂稽核計畫陳報機關首長核可後實施。 （二）計畫內容包括：稽核目的、時間、項目、稽核人員編組、受稽 核單位與人員、稽核方法、進行程序及行政支援事項等。 （三）依據稽核結果就優缺點及改進措施提出書面報告，陳報機關首 長及上級政風機構，並協調缺失單位確實檢討改進，必要時實 施複查。 （四）前款報告內容包括：依據、稽核目的、時間、項目、稽核人員 編組、受稽核單位及人員、稽核方法、稽核結果處理及建議事 項等。

七、各機關資訊使用管理稽核辦理頻率，依據資通安全責任等級分級辦法 ，資通安全責任等級為 B級（含）以上之機關，每年至少應執行資訊 使用管理稽核二次；資通安全責任等級為 C級（含）以下之機關，每 年至少應執行資訊使用管理稽核一次。

八、各機關得依據本作業規定，審酌主管業務性質、預算額度及實際需要 ，會同資訊及業務等相關單位訂定資訊使用管理稽核作業程序。