一、審計部資通安全責任等級經核列為A級機關，迄109年8月底雖完成應辦事項，仍宜依監察院稽核結果之改善期程辦理，以強化資通安全防護

審計部110年度預算案「中央政府審計」編列3,682萬7千元，係辦理中央政府及其所屬機關之審計業務，其中編列辦理資訊系統維護及資訊安全服務等經費501萬元。經查：

(一)審計部資通安全責任等級經核列為A級機關，迄109年8月底已完成應辦事項

有鑑全球透過網路或其他通訊設備之攻擊事件頻傳，為積極推動國家資通安全政策，加速建構國家資通安全環境，107年6月制定公布資通安全管理法，並於同年11月訂定發布資通安全責任等級分級辦法等6項配套子法，母法及子法統一自108年1月1日施行。依資通安全責任等級分級辦法第2條規定，審計部資通安全責任等級經核列為A級機關，依同辦法第11條規定應辦理工作事項，迄109年8月底審計部已完成資通系統分級及防護基準、資訊安全管理系統之導入及通過公正第三方之驗證、資通安全專責人員等相關應辦事項。洽據審計部表示，108年度因配合實施資通安全管理法等，為強化相關資訊應辦作業之資訊安全所新增工作項目，囿於資訊業務預算規模尚有未足，爰請行政院資通安全處協助補助經費200萬元辦理。

(二)依監察院稽核結果改善報告之期程規劃，110年度擬完成3項待辦理事項

依資通安全管理法第13條第1項規定，監察院於108年12月稽核審計部資通安全維護計畫實施情形，審計部已就監察院發現7項稽核缺失或待改善項目，依同條第2項規定於109年1月提出資通安全維護計畫實施情形稽核結果改善報告。洽據審計部表示，截至109年8月底已完成資訊安全政策、資安專職人員、資通安全維護計畫及風險評鑑管理規範等4項缺失之改善，又規劃於110年度完成舊系統升級作業、委外契約納入相關資通安全要求事項、擴編資通安全相關經費等3項待辦理事項(詳表1)。

表1 監察院108年度所屬機關資通安全維護計畫實施情形稽核結果改善情形(預計於110年度完成事項)

稽核缺失或待改善項目

預計完成時間及改善措施

部分作業系統仍為較舊之Windows Server 2003及2008、Windows 7等，建議儘速升級。

規劃於110年度辦理更新，系統更新前將以資安設備及權限控管等補償性控制措施，強化資安防護及降低作業風險。

已訂定「資訊委外作業管理規範」、「委外專案資訊安全規定」，惟尚未實際執行及要求，建議依資通安全管理法施行細則第4條及資通系統防護基準規定，及早研議納入委外契約之要求事項。

規劃於110年度於委外契約之資通安全責任條款(範本)納入相關資通安全要求事項。

PC或網路設備逾保固期限後由資訊同仁自行維護，且對外網站之維護經費目前較為過低，較無法因應目前資訊安全相關議題。

已於110年度預算擴編資通安全相關經費，以強化資安及系統維運。

資料來源：審計部。

綜上，審計部因處理具國家機密性或敏感性之數位資料，資通安全責任等級經核列為A級公務機關，迄109年8月底審計部已完成相關應辦事項，惟依監察院108年度稽核審計部資通安全維護計畫實施結果，尚有舊系統升級作業等3項待辦理事項擬於110年度完成，允宜再依前開改善期程規劃辦理相關作業，俾強化資通安全防護與應變能力，確保審計業務順利推動。