捌、評估報告
一、「資通系統資通安全評估報告」內容應至少包含評估人員資格、評估
範圍、評估作業項目與標的、評估紀錄、評估時所發現之缺失項目、
缺失嚴重程度、缺失類別、風險說明、具體改善建議及社交演練結果
。
二、公司應依據評估報告內容缺失程度區分風險等級,並擬定各風險對應
之控管措施及處理時限,送稽核單位進行缺失改善事項之追蹤覆查。
三、評估報告缺失覆查應提報董事會或經其授權之經理部門,惟外國證券
商在台分公司得由分公司負責人為之,以落實由高階管理階層督導缺
失改善。
四、評估報告應併同缺失改善等相關文件至少保存五年。
|