資通安全實地稽核

檢核項目各類重點

(全員日常資安對策)

2025年版

© Copyright Showeet.com

2

© Copyright Showeet.com

3

© Copyright Showeet.com

4

4

法規面

主管態度、決心

人力不足

經費問題

資安意識、各單位配合度

5

技術面

防護基準

策略面

1.核心業務及其� 重要性

2.資通安全政策� 及推動組織�3.資安專責人力� 及經費配置

管理面

4.資訊及資通系統� 盤點及風險評估

5.資通系統或服務� 委外辦理之管理�6.資安維護計畫與� 實施情形

7.資通安全防護� 及控制措施

8.資通系統發展� 及維護安全�9.資通安全事件� 通報應變

20/111

33/111

58/111

78

存取控制、事件日誌及可歸責性、營運持續計畫、識別鑑別、系統與服務獲得、通訊保護、系統與資訊完整性

「教育部實地稽核計畫」113年新版「資通安全實地稽核項目檢核表」� 及「資通系統防護基準實施情形調查」是直接引用數位發展部資安署版本� (再加入特定項目)，全機關的資安管理作為應特別注意是否符合檢核項目要求。

若將「資通安全實地稽核項目檢核表」及「資通系統防護基準實施情形調查」視為題庫來看，當然是應該努力朝符合要求的方向努力，落實相關的資安管理作為，期待能在稽核時少點缺失順利通過。

6

高教深耕資安專章評核指標

採用

教育部113年資通安全實地稽核項目檢核表

7

技術面

評核項目

策略面

1.核心業務及其� 重要性

2.資通安全政策� 及推動組織�3.資安專責人力� 及經費配置

管理面

4.資訊及資通系統� 盤點及風險評估

5.資通系統或服務� 委外辦理之管理�6.資安維護計畫與� 實施情形

7.資通安全防護� 及控制措施

8.資通系統發展� 及維護安全�9.資通安全事件� 通報應變

20/111

33/111

58/111

31+31

2023.5.15 第一次評核會議

2023.7.05 第二次評核會議

2023.9.07 第三次評核會議

2023.9.22 交流與觀摩會議

2023.12.7 第四次評核會議

8

註：有8項次重複於不同審查項目參考評核

全校落實資通安全管理執行

9

高教深耕計畫�資安專章�(資安維護計畫)

國立大專校院資通安全維護作業指引

全校落實資通安全管理之優先執行策略

10

全校落實資通安全管理之優先執行策略

一般人員

11

①新進人員宣導 (109年院臺護字第1090188336號)

12

①新進人員宣導 - 資通安全事項獎懲辦法

13

②落實資安措施 - 優先執行策略(一般人員)

(111年興計字第1111200182號、112年公告更新)

14

②落實資安措施 - 優先執行策略(一般人員)

(111年興計字第1111200182號、112年公告更新)

15

②落實資安措施 - 優先執行策略(一般人員)

(111年興計字第1111200182號、112年公告更新)

16

②落實資安措施 - 資安四階文件公告全機關

17

②落實資安措施 - 資安四階文件公告全機關

1. 目的

本政策規範本校資訊安全管理制度，以確保本校管轄資訊資產之機密性、完整性、可用性及符合相關法規之要求，進而保障全校教職員工生之權益。

2. 適用範圍

本校員工、接觸本校業務資料之外機關人員、委外服務提供廠商人員及訪客。

​

18

②落實資安措施 - 資安四階文件公告全機關

19

②落實資安措施 - 資安四階文件公告全機關

覆核

​

以會議或�書面方式�進行

每年至少一次檢討修正會議

檢討

​

修訂

​

管理系統各項文件修訂

「NCHU-ISMS-B-002文件暨紀錄管理辦法」

20

②落實資安措施 - 資安四階文件公告全機關

21

擁有者�具資訊資產所有權之單位或資訊資產管理授權之決策人員

管理者�由資訊資產擁有者授權取得管理之責，具資訊資產存取控管的權限。

使用者�從資訊資產管理者取得資訊資產之使用權，以實際或邏輯方式使用該項資訊資產之人員。

​

​

②落實資安措施 - 資訊資產管理

22

人員�包含全體同仁以及委外廠商。

文件�以紙本形式存在之文書資料、報表等相關資訊，包含公文、列印之報表、表單、計畫等紙本文件。

軟體�資通系統、作業系統、應用系統程式、套裝軟體等，包含原始程式碼、應用程式執行碼、資料庫等。

​

5.9.4. 通訊（Communication / CM）：網路設備、網路安全設備、提供資訊傳輸、交換之線路或服務。

​

5.9.5. 硬體（Hardware / HW）：主機設備等相關硬體設施。

​

5.9.6. 資料（Data / DA）：儲存於硬碟、磁帶、光碟等儲存媒介之數位資訊。

​

5.9.7. 環境（Environment / EV）：相關基礎設施及服務，包含辦公室實體、實體機房、電力、消防設施等。

​

​

②落實資安措施 - 資訊資產管理

23

通訊�網路設備、網路安全設備、供資訊傳輸交換之線路或服務。

硬體�主機設備等相關硬體設施。

資料�儲存於硬碟、磁帶、光碟等儲存媒介之數位資訊。

環境�包含辦公室實體、實體機房、電力、消防設施等。

​

​

②落實資安措施 - 資訊資產管理

24

資訊標示

資訊的標示應涵蓋實體與電子格式的資訊資產。

資訊及資通系統資產應以標籤標示於設備明顯處，並載明財產編號、保管人、廠牌、型號等資訊。核心資通系統及相關資產，並應加註標示。

②落實資安措施 - 資訊資產管理

25

資產識別

資訊資產管理者須參考「資訊資產管理辦法」完成資產盤點並填寫「資訊資產清冊」，由資訊資產管理者依「資訊資產管理辦法」資產分類原則，鑑別7大資訊資產。

同性質且列出數量、存在相同的實體/邏輯環境、資產價值相同、遭遇威脅弱點相同者可加以「群組化」，填列一筆記錄於「資訊資產清冊」。

②落實資安措施 - 資訊資產管理

26

威脅與脆弱性識別

針對各項資訊資產分別鑑別其在使用或處理過程中，各項可能的威脅運用該資訊資產之脆弱性，對「機密性(C)」、「完整性(I)」、「可用性(A)」及「個資機敏(P)」造成之衝擊。

威脅與脆弱性依「定性」方式進行識別，可參閱「威脅弱點影響判定」，鑑別出不同程度的衝擊與損失。

②落實資安措施 - 資訊資產管理

27

現有控制措施識別

各項資訊資產列表，依據ISO 27001資安管理之相關的控制目標及控制措施進行鑑別，亦可就其他如個人資料管理規範之相關控制措施進行鑑別。

②落實資安措施 - 資訊資產管理

28

決定風險等級

為確保各項資訊資產均受到最妥適之處理，需再將資訊資產價值轉換為「資訊資產風險值」，計算該項資訊資產之資訊資產風險值方法如下：

資訊資產風險值＝資訊資產價值 × 威脅發生可能性 × 脆弱性利用難易度

②落實資安措施 - 資訊資產管理

29

②落實資安措施 - 資訊資產管理

30

鑑別資通系統

各資通系統管理者應填具「資通系統安全等級評估表」，進行高階風險評鑑作業。

②落實資安措施 - 資訊資產管理

31

②落實資安措施 - 資訊資產管理

32

②落實資安措施 - 資訊資產管理

33

②落實資安措施 - 資訊資產管理

34

資訊資產的分級標準

依資訊之特性與實際需要進行資訊資產安全分級。各類資訊資產之分級為：機敏、限閱、一般。

資訊資產之分級應定期審核，視實需要予以調整及修正。

不同等級之資訊資產合併使用或處理時，應以其中最高之等級為其分級。

②落實資安措施 - 資訊資產管理

35

資訊資產處置

針對不同等級的資訊類資訊資產，建立適當的資訊控管程序，以確保資訊資產受到適當等級之保護。

資料保存期限宜依資料型態及法定保存期限之規定擬定。

②落實資安措施 - 資訊資產管理

36

可攜式設備與媒體管理

可攜式設備僅限於公務使用，禁止使用於非法用途。

禁止安裝使用非法與未經核准之軟體。

可攜式電腦應確實按規定安裝防毒軟體，並定期檢查作業系統修正程式與更新病毒碼為最新版本。

可攜式設備與媒體遺失時應通報權責主管。

②落實資安措施 - 資訊資產管理

37

可攜式設備與媒體管理

禁止安裝使用非法與未經核准之軟體。

可攜式電腦應確實按規定安裝防毒軟體，並定期檢查作業系統修正程式與更新病毒碼為最新版本。

可攜式設備僅限於公務使用，禁止使用於非法用途。

可攜式設備與媒體遺失時應通報權責主管。

②落實資安措施 - 資訊資產管理

38

可攜式設備與媒體管理

禁止安裝使用非法與未經核准之軟體。

可攜式電腦應確實按規定安裝防毒軟體，並定期檢查作業系統修正程式與更新病毒碼為最新版本。

可攜式設備僅限於公務使用，禁止使用於非法用途。

可攜式設備與媒體遺失時應通報權責主管。

②落實資安措施 - 資訊資產管理

39

非本機關可攜式設備與媒體

私人可攜式設備與媒體，應評估風險後方可存取公務資料。

單位主管或業務承辦人員應審慎評估外部人員於機敏、限閱等級資訊資產儲存區域使用可攜式設備與媒體使用需求之必要性，如使用須符合單位管理機制或由單位主管允許。

②落實資安措施 - 資訊資產管理

40

非本機關可攜式設備與媒體

使用外來的可攜式媒體，主機應安裝防毒軟體，以避免電腦�、系統與網路受到病毒威脅。

外部人員使用可攜式設備連接內部網路，依據「資訊安全存取管理辦法」辦理。

未經授權核可，禁止以設備及媒體執行網路偵測、弱點掃描�、封包收集分析等高危險性軟體。

②落實資安措施 - 資訊資產管理

41

非本機關可攜式設備與媒體

使用外來的可攜式媒體，主機應安裝防毒軟體，以避免電腦�、系統與網路受到病毒威脅。

外部人員使用可攜式設備連接內部網路，依據「資訊安全存取管理辦法」辦理。

未經授權核可，禁止以設備及媒體執行網路偵測、弱點掃描�、封包收集分析等高危險性軟體。

②落實資安措施 - 資訊資產管理

42

非本機關可攜式設備與媒體

使用外來的可攜式媒體，主機應安裝防毒軟體，以避免電腦�、系統與網路受到病毒威脅。

外部人員使用可攜式設備連接內部網路，依據「資訊安全存取管理辦法」辦理。

未經授權核可，禁止以設備及媒體執行網路偵測、弱點掃描�、封包收集分析等高危險性軟體。

②落實資安措施 - 資訊資產管理

43

媒體的汰除

宜備妥程序以識別可能需要安全汰除的項目。

含有機敏資訊的媒體宜安全汰除，或清除資料後由施行單位內其他應用系統使用。

許多施行單位提供媒體的收集和汰除服務，宜謹慎選擇有適切控制措施和經驗的。

機敏資訊的汰除應予存錄，填報「銷毀記錄表」。

②落實資安措施 - 資訊資產管理

44

媒體的汰除

宜備妥程序以識別可能需要安全汰除的項目。

含有機敏資訊的媒體宜安全汰除，或清除資料後由施行單位內其他應用系統使用。多施行單位提供媒體的收集和汰除服務，宜謹慎選擇有適切控制措施和經驗的。

機敏資訊的汰除應予存錄，填報「銷毀記錄表」。

②落實資安措施 - 資訊資產管理

45

②落實資安措施 - 限制大陸資通訊產品

(109年院臺護字第1090201804A號函)

46

②落實資安措施 - 限制大陸資通訊產品

(109年院臺護字第1090201804A號函)

該從108年起就開始限制採購，所有大陸廠牌者無論其原產地於我國、大陸地區或第三地區等，均列入限制使用範圍，要落實這樣的管制最重要就是從採購程序把關，譬如資通訊設備採購及核銷都能會辦資訊中心，由資訊中心檢核購案中是否有任何大陸廠牌產品，一發現就與採購單位溝通說明並退件。

各機關對危害國家資通安全產品限制使用原則

47

②落實資安措施 - 限制大陸資通訊產品

(111年數授資綜字第1111000056號函)

四、各機關自行或委外營運，提供公眾活動或使用之場地，不得使用......。機關應將前段規定事項納入委外契約或場地使用規定中，並督導管理。�...必須採購或使用...列冊管理:

(一)應指定特定區域及特定� 人員使用，不得傳播影像� 或聲音供不特定人士直接� 收視或收聽。� (二)購置理由消失，或使用� 年限屆滿應立即銷毀。

各機關對危害國家資通安全產品限制使用原則

48

②落實資安措施 - 限制大陸資通訊產品

(111年數授資綜字第1111000056號函)

111年數位發展部數授資綜字第1111000056號函文「數位發展部修正各機關對危害國家資通安全產品限制使用原則」，在公文的說明中特別要求落實控管措施如左圖所示。

各機關對危害國家資通安全產品限制使用原則

49

②落實資安措施 - 限制大陸資通訊產品

禁止使用大陸地區(含港澳)雲端服務，境外雲端服務之人員安全管控機制通過國際標準驗證。雲端服務使用的資通訊產品不得為大陸廠牌、成員不得有陸籍人士、存取/備份/備援不得在大陸地區且不得跨該境傳輸。

各機關對危害國家資通安全產品限制使用原則

資通安全法常見問題8.7

50

②落實資安措施 - 限制大陸資通訊產品

大陸

廠牌

既有財產再清查

已協調總務處資產經營組提供相關類別的財產清單紀錄，將逐一比對檢視查證後限制連網及要求汰換。

完全禁止新購

校內請購/核銷單會辦計資中心進行審查，自2020年起，經此採購流程不再有新購大陸廠牌資通訊產品。

調查列冊管理

已配合相關公文要求擴大盤點範圍為全校，透過調查回報已掌握列冊，且設計海報、網站加強宣導。

51

加密保護措施

機密資訊於儲存或傳輸時應進行加密。

將機敏、限閱等級的資料存放於可攜式設備與媒體時，應採取適當加密處理及備份措施。

加密保護措施應遵守下列規定：(1) 應落實使用者更新加密裝置並備份金鑰。 (2) 應避免留存解密資訊。 (3) 一旦加密資訊具遭破解跡象，應立即更改之。

②落實資安措施 - 資訊安全存取

52

加密保護措施

機密資訊於儲存或傳輸時應進行加密。

將機敏、限閱等級的資料存放於可攜式設備與媒體時，應採取適當加密處理及備份措施。

加密保護措施應遵守下列規定：(1) 應落實使用者更新加密裝置並備份金鑰。 (2) 應避免留存解密資訊。 (3) 一旦加密資訊具遭破解跡象，應立即更改之。

②落實資安措施 - 資訊安全存取

53

媒體防護措施

使用隨身碟或磁片等存放資料時，具機密性、敏感性之資料應與一般資料分開儲存。

資訊如以實體儲存媒體方式傳送，應留意實體儲存媒體之包裝，選擇適當人員進行傳送，並應保留傳送及簽收之記錄。

為降低媒體劣化之風險，宜於所儲存資訊因相關原因而無法讀取前，傳送至其他媒體。

②落實資安措施 - 資訊安全存取

54

媒體防護措施

使用隨身碟或磁片等存放資料時，具機密性、敏感性之資料應與一般資料分開儲存。

資訊如以實體儲存媒體方式傳送，應留意實體儲存媒體之包裝，選擇適當人員進行傳送，並應保留傳送及簽收之記錄。

為降低媒體劣化之風險，宜於所儲存資訊因相關原因而無法讀取前，傳送至其他媒體。

②落實資安措施 - 資訊安全存取

55

資訊及系統使用

使用資訊及資通系統前應經其管理人授權。

資訊處理設施的授權過程應制定安全控管使用資訊及資通系統，新增、異動或使用須經過授權程序，資訊存取權限之設定以工作所需之最小權限與最少資訊為原則。

針對有必要特別保護系統，應嚴格管制並建立申請系統存取特別權限之授權程序。

。

②落實資安措施 - 資訊安全存取

56

資訊及系統使用

使用資訊及資通系統前應經其管理人授權。

資訊處理設施的授權過程應制定安全控管使用資訊及資通系統，新增、異動或使用須經過授權程序，資訊存取權限之設定以工作所需之最小權限與最少資訊為原則。

針對有必要特別保護系統，應嚴格管制並建立申請系統存取特別權限之授權程序。

。

②落實資安措施 - 資訊安全存取

57

秘密鑑別資訊之使用

維持秘密鑑別資訊的機密性，確保不洩露給包括授權人員的任何一方。

避免保留秘密鑑別資訊的紀錄（例如：在紙張、軟體檔案或手持裝置），除非其能被安全地存放，且該存放經過核准（例如：密碼庫）。

只要秘密鑑別資訊有可能遭受破解的跡象，宜立即更改。

②落實資安措施 - 資訊安全存取

58

秘密鑑別資訊之使用

不要與他人共用個人的秘密鑑別資訊。

自動登入程序中內含秘密鑑別資訊做為機密鑑別資訊並儲存，宜確保適當地保護通行碼。

公務與非公務使用目的勿使用相同秘密鑑別資訊。

②落實資安措施 - 資訊安全存取

59

秘密鑑別資訊之使用

不要與他人共用個人的秘密鑑別資訊。

自動登入程序中內含秘密鑑別資訊做為機密鑑別資訊並儲存，宜確保適當地保護通行碼。

公務與非公務使用目的勿使用相同秘密鑑別資訊。

②落實資安措施 - 資訊安全存取

60

使用者註冊與註銷

查核使用者是否已經取得使用該資訊系統的正式授權。

查核使用者被授權的程度是否與業務目的相稱，以及符合資訊安全政策與規定。

以書面或其他方式告知使用者系統存取權利。

要求使用者簽訂約定，使其確實了解系統存取的各項條件及要求。

②落實資安措施 - 資訊安全存取

61

使用者註冊與註銷

使用者尚未完成正式授權程序前，不得對其提供系統存取。

宜建立及維持系統使用者之註冊資料記錄，以備日後查考。

使用者調整職務及離(休)職，宜盡速註銷其系統存取權利。

宜定期檢查及取消閒置帳號。

閒置不用的識別碼不宜重新配予其他的使用者。

②落實資安措施 - 資訊安全存取

62

使用者註冊與註銷

使用者尚未完成正式授權程序前，不得對其提供系統存取。

宜建立及維持系統使用者之註冊資料記錄，以備日後查考。

使用者調整職務及離(休)職，宜盡速註銷其系統存取權利。

宜定期檢查及取消閒置帳號。

閒置不用的識別碼不宜重新配予其他的使用者。

②落實資安措施 - 資訊安全存取

63

雲端服務蒐集個人資料

1. 個人資料蒐集聲明

2. 落實資料最少蒐集原則

3. 避免不小心公開作答內容

4. 不應發布到網路

5. 不開放不相關人員存取權限

6. 雲端檔案勿放在共用資料夾

②落實資安措施 - 資訊安全存取

64

雲端服務蒐集個人資料

1. 個人資料蒐集聲明

2. 落實資料最少蒐集原則

3. 避免不小心公開作答內容

4. 不應發布到網路

5. 不開放不相關人員存取權限

6. 雲端檔案勿放在共用資料夾

②落實資安措施 - 資訊安全存取

65

雲端服務蒐集個人資料

1. 個人資料蒐集聲明

2. 落實資料最少蒐集原則

3. 避免不小心公開作答內容

4. 不應發布到網路

5. 不開放不相關人員存取權限

6. 雲端檔案勿放在共用資料夾

②落實資安措施 - 資訊安全存取

66

雲端服務蒐集個人資料

1. 個人資料蒐集聲明

2. 落實資料最少蒐集原則

3. 避免不小心公開作答內容

4. 不應發布到網路

5. 不開放不相關人員存取權限

6. 雲端檔案勿放在共用資料夾

②落實資安措施 - 資訊安全存取

67

雲端服務蒐集個人資料

1. 個人資料蒐集聲明

2. 落實資料最少蒐集原則

3. 避免不小心公開作答內容

4. 不應發布到網路

5. 不開放不相關人員存取權限

6. 雲端檔案勿放在共用資料夾

②落實資安措施 - 資訊安全存取

68

雲端服務蒐集個人資料

1. 個人資料蒐集聲明

2. 落實資料最少蒐集原則

3. 避免不小心公開作答內容

4. 不應發布到網路

5. 不開放不相關人員存取權限

6. 雲端檔案勿放在共用資料夾

②落實資安措施 - 資訊安全存取

69

雲端服務蒐集個人資料

1. 個人資料蒐集聲明

2. 落實資料最少蒐集原則

3. 避免不小心公開作答內容

4. 不應發布到網路

5. 不開放不相關人員存取權限

6. 雲端檔案勿放在共用資料夾

②落實資安措施 - 資訊安全存取

70

②落實資安措施 - 雲端服務蒐集個人資料

(109年臺教資(四)字第1090008789號)

71

電子郵件使用

機敏公文不得以電子郵件傳送

含有個人資料之信件必須加密傳送

電子郵件加簽以避免發送匿名或偽造

不得利用公務電子郵件進行侵害他人權益、違法之行為

遵循電子郵件使用規範

②落實資安措施 - 電子郵件使用規範

72

寄信時需注意的基本事項

寄信基本事項

不得散布詐欺、誹謗、侮辱、猥褻、騷擾、非法軟體交易或其它違法之訊息。不得有違法傳送或侵害他人智慧財產權。傳輸機密或敏感性資料時，應對附件進行加密後傳送。

疑似垃圾信件發送或侵害郵件系統正常運作，停權處置。不可作為商業用途。

應尊重網路隱私權，不得盜用他人或系統資源。

②落實資安措施 - 電子郵件使用規範

73

信箱基本管理及收信須知

信箱基本管理

使用者應遵守密碼原則，密碼長度至少八碼，且複雜度為英數字、大小寫混合，並至少每半年定期修改電子郵件信箱密碼。

重要資料由使用者負責備份，並且妥善維護信箱容量。

使用者請勿開啟來路不明之電子郵件及其附件內的連結及執行檔。

②落實資安措施 - 電子郵件使用規範

74

公務相關的注意事項

公務相關事項

不得轉至外部私人信箱收發公務資訊。

轉任或借調者，不得使用學校電子郵件信箱收發公務機關相關電子郵件。

如因故無法使用公務信箱讀取訊息，得由直屬單位主管指定代理人提出申請，經審核後，授權代理人讀取公務信箱相關內容。

②落實資安措施 - 電子郵件使用規範

75

②落實資安措施 - 電子郵件使用規範

(109年臺教資(四)字第1090008789號)

76

辦公區域安全性

應實施桌面淨空，重要文件應妥善保管。

將機敏、限閱等級的資料存放於可攜式設備與媒體時，應採取適當加密處理及備份措施。

機敏、限閱等級的資訊類資訊資產以任何型式儲存均須置於上鎖區域保管。

依據應用系統環境、資料庫，應將敏感性系統隔離。

②落實資安措施 - 公務電腦安全

77

電腦使用安全

設定螢幕密碼保護程式，下班時應關閉個人電腦。

為有效控制「免費軟體」或「共享軟體」的使用，須瞭解其相關版權規定，並且不得任意安裝及散佈未經授權軟體。

個人電腦皆須安裝防毒軟體。

常更新修正程式。

列印後應立即將資料取走。

​

②落實資安措施 - 公務電腦安全

78

電腦使用安全

設定螢幕密碼保護程式，下班時應關閉個人電腦。

為有效控制「免費軟體」或「共享軟體」的使用，須瞭解其相關版權規定，並且不得任意安裝及散佈未經授權軟體。

個人電腦皆須安裝防毒軟體。

常更新修正程式。

列印後應立即將資料取走。

​

②落實資安措施 - 公務電腦安全

79

即時通訊軟體

避免非授權人員取得機密性資料，應依據「資訊資產管理辦法」與「資訊安全存取管理辦法」，建立存取權限管理原則，並據以執行。

使用LINE處理公務有一些資安疑慮，建立公務群組應先對成員宣導應有的資安觀念(影片)�。

②落實資安措施 - 即時通訊使用

80

即時通訊軟體

避免非授權人員取得機密性資料，應依據「資訊資產管理辦法」與「資訊安全存取管理辦法」，建立存取權限管理原則，並據以執行。

使用LINE處理公務有一些資安疑慮，建立公務群組應先對成員宣導應有的資安觀念(影片)�。

②落實資安措施 - 即時通訊使用

81

使用即時通訊軟體參考指引

參考自臺北市政府資訊局訂定的「使用即時通訊軟體參考指引」，機關建立LINE群組進行公務處理應參考該指引落實資安管理程序，以降低資訊安全風險。

②落實資安措施 - 即時通訊使用

不應使用即時通訊軟體傳遞之資訊類型

82

實體環境安全性

有身分識別功能之安全門。

其他因業務需要進入電腦機房作業時，應由機房管理人員陪同進入並登記。

外部人員或委外人員應配帶原公司所製發之員工證或相關證明，並應於指定環境內作業。

門禁系統之進出記錄應定期備份、審閱；記錄存放於安全區域並保存一年備查。

​

②落實資安措施 - 實體環境安全

83

實體環境可用性

應保護設備免於電源失效。

溫濕度採固定區間控制。

電腦機房應設置專用之消防器材或系統，如熱感應、煙霧偵測、火災警報、滅火設備、火災逃生設備等，同時應符合相關法規並定期檢測、記錄。

電腦機房維運設備或重要資訊設備應與合格專業廠商簽訂維護合約，定期實施保養。

②落實資安措施 - 實體環境安全

辦公室張貼資安宣導海報

84

②落實資安措施 - 辦公室張貼資安宣導海報

85

②落實資安措施 - 辦公室張貼資安宣導海報

86

②落實資安措施 - 詳見第10章

87

②落實資安措施 - 全機關資安內部稽核

88

②落實資安措施 - 全機關資安內部稽核

89

②落實資安措施 - 全機關資安內部稽核

90

②落實資安措施 - 全機關資安內部稽核

91

②落實資安措施 - 全機關資安內部稽核

92

③資安事件通報 - 優先執行策略(一般人員)

(111年興計字第1111200182號、112年公告更新)

93

③資安事件通報 - 辦公室張貼資安宣導海報

94

③資安事件通報 - 通報流程BCP演練腳本

95

通報程序

判定事件等級之流程及權責

資安事件之暫行通報

通報等級之變更

委外辦理之資通系統事件通報

資通安全事件之轉通知

請求技術支援或協助

​

③資安事件通報 - 通報管理辦法宣導

96

應變程序

事件發生前之防護措施規劃

配合教育部辦理演練

配合行政院辦理演練

③資安事件通報 - 通報管理辦法宣導

97

損害控制機制

應變處理與留存紀錄

損害控制或復原作業時效

資安通報平台填報事件

委託業務之事件通報

③資安事件通報 - 通報管理辦法宣導

98

重大資安事件後之復原、�鑑識、調查及改善機制

完成資通安全事件之通報及應變程序後，應針對事件所造成之衝擊、損害及影響進行調查及改善，並應於事件發生後一個月內完成資通安全事件調查、處理及改善報告。

③資安事件通報 - 通報管理辦法宣導

99

紀錄留存及管理程序之調整

將資通安全事件之通報與應變作業之執行、事件影響範圍與損害程度以及其他通報應變之執行情形，於「教育機構資安通報平台」上填報完整之紀錄，該平台事件通報應變紀錄由通報應變小組於年度彙整後，提交至教育部資訊及科技教育司覆核備查。

​

③資安事件通報 - 通報管理辦法宣導

100

③資安事件通報 - 通報管理辦法宣導

101

④社交工程演練 - 優先執行策略(一般人員)

(111年興計字第1111200182號、112年公告更新)

102

認識釣魚手法

語音釣魚攻擊

社群網站內容蒐集

釣魚網站

釣魚信件

​

④社交工程演練 - 社交工程認知宣導

103

認識釣魚手法

語音釣魚攻擊

社群網站內容蒐集

釣魚網站

釣魚信件

④社交工程演練 - 社交工程認知宣導

104

認識釣魚手法

語音釣魚攻擊

社群網站內容蒐集

釣魚網站

釣魚信件

④社交工程演練 - 社交工程認知宣導

105

認識釣魚手法

語音釣魚攻擊

社群網站內容蒐集

釣魚網站

釣魚信件

④社交工程演練 - 社交工程認知宣導

106

認識釣魚手法

語音釣魚攻擊

社群網站內容蒐集

釣魚網站

釣魚信件

④社交工程演練 - 社交工程認知宣導

107

認識釣魚手法

語音釣魚攻擊

社群網站內容蒐集

釣魚網站

釣魚信件

④社交工程演練 - 社交工程認知宣導

108

④社交工程演練 - 社交工程認知宣導

109

④社交工程演練 - 社交工程認知宣導

(108年院臺護字第1080182934號)

110

⑤資安通識教育 - 優先執行策略(一般人員)

(111年興計字第1111200182號、112年公告更新)

111

⑤資安通識教育 - e等公務園線上學習認證

112

⑤資安通識教育 - e等公務園線上學習認證

於差勤系統的學習時數紀錄加入資安教育訓練之填報上傳功能

113

⑥IoT適當管控 - 物聯網盤點及防護控制措施

114

⑥IoT適當管控 - 物聯網盤點及防護控制措施

(110年臺教資(四)字第1100128345號函)

115

教育部110年臺教資(四)字第1100128345號函

盤點應包含物聯網設備，如：網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等。

盤點清單應檢核不得使用弱密碼、廠商預設密碼，並符合規範之密碼複雜度要求，以及設定適當網路存取限制。

⑥IoT適當管控 - 物聯網盤點及防護控制措施

116

教育部110年臺教資(四)字第1100128345號函

盤點應包含物聯網設備，如：網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等。

盤點清單應檢核不得使用弱密碼、廠商預設密碼，並符合規範之密碼複雜度要求，以及設定適當網路存取限制。

​

⑥IoT適當管控 - 物聯網盤點及防護控制措施

117

教育部110年臺教資(四)字第1100128345號函

盤點應包含物聯網設備，如：網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等。

盤點清單應檢核不得使用弱密碼、廠商預設密碼，並符合規範之密碼複雜度要求，以及設定適當網路存取限制。

​

⑥IoT適當管控 - 物聯網盤點及防護控制措施

118

教育部110年臺教資(四)字第1100128345號函

盤點應包含物聯網設備，如：網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等。

盤點清單應檢核不得使用弱密碼、廠商預設密碼，並符合規範之密碼複雜度要求，以及設定適當網路存取限制。

​

⑥IoT適當管控 - 物聯網盤點及防護控制措施

119

教育部110年臺教資(四)字第1100128345號函

盤點應包含物聯網設備，如：網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等。

盤點清單應檢核不得使用弱密碼、廠商預設密碼，並符合規範之密碼複雜度要求，以及設定適當網路存取限制。

​

⑥IoT適當管控 - 物聯網盤點及防護控制措施

120

教育部110年臺教資(四)字第1100128345號函

盤點應包含物聯網設備，如：網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等。

盤點清單應檢核不得使用弱密碼、廠商預設密碼，並符合規範之密碼複雜度要求，以及設定適當網路存取限制。

​

⑥IoT適當管控 - 物聯網盤點及防護控制措施

121

⑥IoT適當管控 - 網路事務機FTP安全漏洞

資通安全實地稽核

檢核項目各類重點

(單位主管應掌握)

© Copyright Showeet.com

資安文件

落實資安

教育訓練

配合稽核

採購規範

2.2 成立資通安全推動組織，負責推動、協調監督及審查資通安全管理事項？推動組織� 層級之適切性，且業務單位是否積極參與？

123

資通安全實地稽核

檢核項目第五大類

(系統委外開發)

© Copyright Showeet.com

「資通安全管理法」第9條：「公務機關或特定非公務機關，於本法適用範圍內，委外辦理資通系統之建置、維運或資通服務之提供，應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求，選任適當之受託者，並監督其資通安全維護情形。」

125

126

資安的價值往往在�事件發生後才凸顯

資安作為，是一種出事才能看出效果的投資，而且經常被視為是企業的成本，而不是價值。

「沒有發生資安事故」，背後其實做了多大、多深的努力和投入($)，是一種做得比別人更好的實質競爭力，用資安成就好名聲。

THANKS!

​

此簡報開放各界重製改作

127

授權允許使用者重製、散布、傳輸以及修改著作(包括商業性利用)，惟使用時必須按照著作人或授權人所指定的方式，表彰其姓名。