資通安全實地稽核
檢核項目各類重點
(單位主管應掌握)
2025年版
© Copyright Showeet.com
2
2
法規面
人力不足
經費問題
資安意識、各單位配合度
主管態度、決心
3
技術面
防護基準
策略面
1.核心業務及其� 重要性
2.資通安全政策� 及推動組織�3.資安專責人力� 及經費配置
管理面
4.資訊及資通系統� 盤點及風險評估
5.資通系統或服務� 委外辦理之管理�6.資安維護計畫與� 實施情形
7.資通安全防護� 及控制措施
8.資通系統發展� 及維護安全�9.資通安全事件� 通報應變
20/111
33/111
58/111
78
存取控制、事件日誌及可歸責性、營運持續計畫、識別鑑別、系統與服務獲得、通訊保護、系統與資訊完整性
「教育部實地稽核計畫」113年新版「資通安全實地稽核項目檢核表」� 及「資通系統防護基準實施情形調查」是直接引用數位發展部資安署版本� (再加入特定項目),全機關的資安管理作為應特別注意是否符合檢核項目要求。
若將「資通安全實地稽核項目檢核表」及「資通系統防護基準實施情形調查」視為題庫來看,當然是應該努力朝符合要求的方向努力,落實相關的資安管理作為,期待能在稽核時少點缺失順利通過。
4
高教深耕資安專章評核指標
採用
教育部113年資通安全實地稽核項目檢核表
5
技術面
策略面
1.核心業務及其� 重要性
2.資通安全政策� 及推動組織�3.資安專責人力� 及經費配置
管理面
4.資訊及資通系統� 盤點及風險評估
5.資通系統或服務� 委外辦理之管理�6.資安維護計畫與� 實施情形
7.資通安全防護� 及控制措施
8.資通系統發展� 及維護安全�9.資通安全事件� 通報應變
20/111
33/111
58/111
31+31
6
審查面向 | 審查項目 | 評核指標 | ||
1.全校導入資訊安全管理系統(ISMS) | 1-1資安長配置 | 2 | +2 | |
1-2資安推動組織 | 2 | +2 | ||
1-3資通系統盤點 | 4 | +1 | ||
1-4資安風險評估 | 5 | +8 | ||
1-5內部稽核及委外稽核 | 2 | +1 | ||
1-6業務持續運作演練 | 2 | +3 | ||
1-7資訊安全管理系統(ISMS)適用範圍 | 6 | +3 | ||
2.強化學校人員資通安全認知與訓練 | 2-1配置資通安全專職人員 | 1 | | |
2-2提升資通安全專職人員資安職能 | 1 | | ||
2-3提升教職員資安意識 | 5 | +9 | ||
3.確保資通系統管理量能 | 3-1資通系統集中化管理 | 3 | +2 | |
3-2適度降低資通系統數量 | 3 | | ||
4.落實管理危害國家資通安全產品 | 4-1禁止公務使用大陸廠牌資通訊產品 | 2 | | |
4-2限制出租場域使用大陸廠牌資通訊產品 | 1 | | ||
註:有8項次重複於不同審查項目參考評核
7
高教深耕計畫�資安專章�(資安維護計畫)
國立大專校院資通安全維護作業指引
全校落實資通安全管理之優先執行策略
8
國立大專校院資通安全維護作業指引
(一) 資通安全長之配置
(二) 資通安全推動組織
(三) 資通系統及資訊之盤點
(四) 內部資通安全稽核
111年全國大專校院資安長會議,教育部將此列為重點宣導,將會議紀錄函文所有大專校院參照辦理。
9
國立大專校院資通安全維護作業指引
(一) 資通安全長之配置
依據作業指引設置資通安全長之後,更重要的是必須讓資通安全長完全掌握「資通安全實地稽核項目檢核表」策略面的三大構面共20項目的實施情形,從全校整體考量進行資安工作的推動及監督。
111年全國大專校院資安長會議,教育部將此列為重點宣導,將會議紀錄函文所有大專校院參照辦理。
10
跨單位組成(不可各單位各自成立)�全機關(不可只有部分單位)
出席率(代理比率不宜過高)
國立大專校院資通安全維護作業指引
(二) 資通安全推動組織
111年全國大專校院資安長會議,教育部將此列為重點宣導,將會議紀錄函文所有大專校院參照辦理。
11
國立大專校院資通安全維護作業指引
(二) 資通安全推動組織
依據作業指引將各單位主管納入資通安全推動組織之後,更重要的是主管在單位內必須有積極的資安推動作為,督導單位人員落實五大資安工作重點,在實地稽核時能提出相關作為佐證資料。
111年全國大專校院資安長會議,教育部將此列為重點宣導,將會議紀錄函文所有大專校院參照辦理。
12
國立大專校院資通安全維護作業指引
(三) 資通系統及資訊之盤點
依據作業指引對全校資通系統進行盤點及風險評估之後,更重要的是系統管理人員、系統委外承辦人員、系統開發人員等三類人員必須充分認知與自身職責相關的稽核重點,進而落實相關資安工作。
111年全國大專校院資安長會議,教育部將此列為重點宣導,將會議紀錄函文所有大專校院參照辦理。
13
國立大專校院資通安全維護作業指引
(四) 內部資通安全稽核
依據作業指引分年分階段規劃辦理內部稽核,在此之前更是要讓全校人員都能開始重視資安管理,像是新進人員資安宣導、資安通識教育訓練、落實辦公室資安管理措施、社交工程演練、落實資安事件通報。
111年全國大專校院資安長會議,教育部將此列為重點宣導,將會議紀錄函文所有大專校院參照辦理。
14
全校落實資通安全管理之優先執行策略
單位主管
15
全校落實資通安全管理之優先執行策略
一般人員
資安文件
落實資安
教育訓練
配合稽核
採購規範
2.2 成立資通安全推動組織,負責推動、協調監督及審查資通安全管理事項?推動組織� 層級之適切性,且業務單位是否積極參與?
各單位主管不只應參與資通安全推動相關會議,更重要的是在單位內必須有積極的資安推動作為,督導單位人員落實下列五大資安工作重點。
16
資安文件
落實資安
教育訓練
配合稽核
採購規範
2.2 成立資通安全推動組織,負責推動、協調監督及審查資通安全管理事項?推動組織� 層級之適切性,且業務單位是否積極參與?
各單位主管不只應參與資通安全推動相關會議,更重要的是在單位內必須有積極的資安推動作為,督導單位人員落實下列五大資安工作重點。
17
特別提醒:「公務機關所屬人員資通安全事項獎懲辦法」於109年修正第四條懲處條文,增訂第四款「對業務督導不力,致其屬員、所屬或所監督機關之人員有前三款情形之一。」,即是要求主管應善盡資安督導工作,若有違反資安規範情節重大或導致評定績效不良,應懲處主管。
資安文件
落實資安
教育訓練
配合稽核
採購規範
18
盤點資訊資產建立清冊、定期更新、風險評估
4.1 確實盤點全機關資訊資產建立清冊(如識別擁有者及使用者等),且鑑別其資產價值?
4.2 訂定資產異動管理程序,定期更新資產清冊,且落實執行?
4.3 建立風險準則且執行風險評估作業,並針對重要資訊資產及委外業務項目鑑別其可能� 遭遇之風險,分析其喪失機密性、完整性及可用性之衝擊?
19
4.2
4.3
4.1
資產清冊
管理程序
風險評估
依 資通安全法施行細則第6條
盤點資訊資產建立清冊、定期更新、風險評估
4.1 確實盤點全機關資訊資產建立清冊(如識別擁有者及使用者等),且鑑別其資產價值?
4.2 訂定資產異動管理程序,定期更新資產清冊,且落實執行?
4.3 建立風險準則且執行風險評估作業,並針對重要資訊資產及委外業務項目鑑別其可能� 遭遇之風險,分析其喪失機密性、完整性及可用性之衝擊?
20
依 資通安全法施行細則第6條
資通系統須建立資安管控文件
4.1.1 依110年12月30日函送之「國立大專校院資通安全維護作業指引」,學校辦理資通� 系統及資訊之盤點,盤點範圍應包含全校各單位。各校每年提交之「資通系統資產� 清冊」至少應包含落於各校IP網段內、或使用各校網域名稱之資通系統。(國立大專� 校院適用)
21
自建APP須通過行動化應用軟體檢測
一、依據「行政院及所屬各機關行動化服務發展作業原則」第十一條「各機關開發之� 行動化服務應符合個人資料保護法及行政院訂定之政府資通安全管理等相關規定,� 並通過經濟部工業局訂定行動化應用軟體之檢測項目,始得提供民眾下載使用。」
二、至政府入口網站管理平臺,辦理服務績效填報及基本資安檢測合格證書上傳作業。
22
全校範圍IoT完整盤點及安全管控
依教育部臺教資(四)字第1100128345號函,IoT盤點包含學校採購及公務使用之網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等。IoT盤點清單應檢核不得使用弱密碼、廠商預設密碼,並符合規範之密碼複雜度要求,以及設定適當網路存取限制(如納入防火牆管理)。
。
23
盤點資訊資產建立清冊、定期更新、風險評估 (資安專章)
24
項目 | 推動策略 | 評核指標 | 公立學校 | 私立學校 |
全校導入資訊安全管理系統(ISMS) | 資通系統及資訊之盤點 | 資訊資產清冊持續推動全校盤點、更新 | 許多學校的資訊資產盤點工作尚未涵蓋全校,建議應加速完成全校性的資訊資產盤點。 | |
核心/非核心系統盤點分級 | | | ||
全校範圍系統持續完整盤點 | | | ||
全校範圍 IoT持續完整盤點及安全管控 | IoT設備應獨立清單管控,以掌握資安工作的重要基礎資訊,並確保防護措施的有效性。 | 建議學校進行全校性的物聯網設備安全管控宣導,包含不得使用弱密碼、廠商預設密碼,並應落實相關安全控制措施。 | ||
各校幾乎都有分級了
盤點資訊資產建立清冊、定期更新、風險評估 (資安專章)
25
項目 | 推動策略 | 評核指標 | 補充建議 | |
全校導入資訊安全管理系統(ISMS) | 資通系統及資訊之盤點 | 資訊資產清冊持續推動全校盤點、更新 |
| |
核心/非核心系統盤點分級 |
| |||
全校範圍系統持續完整盤點 |
| |||
全校範圍 IoT持續完整盤點及安全管控 |
| |||
各校幾乎都有分級了
盤點資訊資產建立清冊、定期更新、風險評估 (資安專章)
26
項目 | 推動策略 | 評核指標 | 公立學校 | 私立學校 |
全校導入資訊安全管理系統(ISMS) | 資通安全風險評估 | 全校執行風險評估 | | 風險評估報告與相關措施亦須不斷精進 |
系統主機弱掃/網站弱掃、滲透測試、資安健診執行規劃 | 對於弱點掃描中高級以上之風險應排定修補時程及改善。 | |||
安全檢測結果修補管控制度及執行成效 | | | ||
防毒、防火牆等防護措施 | | | ||
有電子郵件過濾 | | | ||
各校幾乎都建置了
主機/網站弱掃,更明確導引落實。
檢測後未積極修補之缺失常見,以此項導引落實。
盤點資訊資產建立清冊、定期更新、風險評估 (資安專章)
27
項目 | 推動策略 | 評核指標 | 補充建議 | |
全校導入資訊安全管理系統(ISMS) | 資通安全風險評估 | 全校執行風險評估 |
| |
系統主機弱掃/網站弱掃、滲透測試、資安健診執行規劃 |
| |||
安全檢測結果修補管控制度及執行成效 |
| |||
防毒、防火牆等防護措施 |
| |||
有電子郵件過濾 | | | ||
檢測後未積極修補之缺失常見,以此項導引落實。
各校幾乎都建置了
主機/網站弱掃,更明確導引落實。
盤點資訊資產建立清冊、定期更新、風險評估 (推薦參考)
28
盤點資訊資產建立清冊、定期更新、風險評估 (推薦參考)
29
資安文件
落實資安
教育訓練
配合稽核
採購規範
30
資通系統須建立資安防護機制
4.1.1 依110年12月30日函送之「國立大專校院資通安全維護作業指引」,學校辦理資通� 系統及資訊之盤點,盤點範圍應包含全校各單位。各校每年提交之「資通系統資產� 清冊」至少應包含落於各校IP網段內、或使用各校網域名稱之資通系統。(國立大專� 校院適用)
31
辦理項目 | 細項 | 範圍 | 週期 | 執行責任及方式 |
資通安全防護 | 防毒軟體 | 全機關 | A、B、C、D級機關初次受核定或等級變更之1年內啟用 | 全機關伺服器主機,各單位自管主機理當自行採購。 |
網路防火牆 | 伺服器主機 | |||
入侵偵測及防禦機制(IDS/IPS) | 核心資通系統所在機房 | A、B級機關初次受核定或等級變更之1年內啟用 | 資訊中心負責 | |
對外服務核心資通系統應備應用程式防火牆(WAF) | 核心資通系統所在機房 |
資通系統須建立資安防護機制
4.1.1 依110年12月30日函送之「國立大專校院資通安全維護作業指引」,學校辦理資通� 系統及資訊之盤點,盤點範圍應包含全校各單位。各校每年提交之「資通系統資產� 清冊」至少應包含落於各校IP網段內、或使用各校網域名稱之資通系統。(國立大專� 校院適用)
32
辦理項目 | 細項 | 範圍 | 週期 | 執行責任及方式 |
資通安全健診 | 網路架構檢視 | 全機關�資通系統�所在範圍 | 每2年1次 | 基於全機關落實資安管理,宜由資安推動委員會做成決議,只要有自行管理維運資通系統的單位均應採購共同供應契約服務委外執行。並將檢測出的嚴重及高風險弱點進行修補改善,再執行複檢。 |
網路惡意活動檢視 | ||||
使用者端電腦惡意活動檢視 | ||||
伺服器主機惡意活動檢視 | ||||
目錄伺服器設定及防火牆連線設定檢視 |
為符合「全機關」落實資安管理,現在要讓各單位對自己建置維運網站系統做到基本安全防護與健診,不妨從資安健診這件事開始,讓全機關各單位都自行編列經費落實執行,以後也就接受需要各單位投入的責任,這樣後續需要各單位配合資安管理就更容易了。
資通系統及使用者電腦須納入資安防護機制
4.1.1 依110年12月30日函送之「國立大專校院資通安全維護作業指引」,學校辦理資通� 系統及資訊之盤點,盤點範圍應包含全校各單位。各校每年提交之「資通系統資產� 清冊」至少應包含落於各校IP網段內、或使用各校網域名稱之資通系統。(國立大專� 校院適用)
33
辦理項目 | 範圍 | 週期 | 執行責任及方式 | |
政府組態基準(GCB) | 伺服器主機及使用者電腦 | A、B級機關初次受核定或等級變更之1年內導入 | 建議資訊中心導入GCB管控機制,資安推動委員會做成決議全機關伺服器主機及使用者電腦配合規劃期程逐步納管。 | |
資通安全弱點通報機制(VANS) | 伺服器主機及使用者電腦 | A、B、C級機關初次受核定或等級變更之1年內導入 | 建議資訊中心導入VANS管控機制,資安推動委員會做成決議全機關伺服器主機及使用者電腦配合規劃期程逐步納管。 | |
端點偵測及應變機制(EDR) | 使用者電腦 | A、B級機關初次受核定或等級變更之2年內導入 | 建議資訊中心導入EDR管控機制,資安推動委員會做成決議全機關使用者電腦配合規劃期程逐步納管。 | |
資通系統集中化管理 (資安專章)
34
項目 | 推動策略 | 評核指標 | 公立學校 | 私立學校 |
確保資通系統管理量能 | 資通系統集中化管理 | 重要資通設備設置地點(系統集中化執行率及配套措施) | | |
遠端維護採「原則禁止例外允許」方式 | 應落實「原則禁止、例外允許」遠端維護管理模式,並採取更精準的管控措施。多數皆為開放設定時間過長,如一年可隨時登入之情形,建議擬定具體的管理辦法。 | 有委外廠商遠端維護應遵循「原則禁止、例外允許,建議學校應加強對遠端連線的限制,例如限制連網時限或建立VPN的方式辦理遠端維護。 | ||
日誌內容、記錄時間週期及留存政策(核心系統優先落實但不限) | 重要日誌(OS、Event log、Web log、AP log、Longon log及DNS)保留的完整性及有效性建議加強確認並納入演練。保留6個月的日誌。 | |||
資通系統集中化管理 (資安專章)
35
項目 | 推動策略 | 評核指標 | 補充建議 | |
確保資通系統管理量能 | 資通系統集中化管理 | 重要資通設備設置地點(系統集中化執行率及配套措施) |
| |
遠端維護採「原則禁止例外允許」方式 |
| |||
日誌內容、記錄時間週期及留存政策(核心系統優先落實但不限) |
| |||
資通系統集中化管理 (推薦參考)
36
辦公室請張貼
資安宣導海報
7.7 電子郵件之使用管控措施且落實執行,依郵件內容之機密性、敏感性規範傳送限制?7.8 建立電子資料安全管理機制(含防疫個資),包含分級規則(如機密性、敏感性及一般性� 等)、存取 權限、資料安全、人員管理及處理規範等,且落實執行?�7.20 針對使用者電腦訂定軟體安裝管控規則?確認授權軟體及免費軟體使用情形?
37
辦公室請張貼
資安宣導海報
7.19 訂定資訊處理設備作業程序、變更管理程序及管理責任(如相關儲存媒體、設備是否� 有安全處理程序及分級標示、報廢程序等),且落實執行?訂定資訊設備回收再使用� 及汰除之安全作業程序,以確保任何機密性或敏感性資料已確實刪除?
38
辦公室請張貼
資安宣導海報
7.8.1 依110年9月8日函送之「各級學校使用資通系統或服務蒐集及使用個人資料注意� 事項」,學校為行政目的使用資通系統或雲端資通服務(如Google 表單、� Microsoft Forms 等問卷調查服務)涉及蒐集個人資料者,注意資料蒐集最小化、� 存取控制及詳閱設定內容(雲端資通服務)等項目,並落實教育訓練宣導。� (國立大專校院適用)
39
辦公室請張貼
資安宣導海報
7.16 針對電腦機房及重要區域之安全控制、人員進出管控、環境維護(如溫溼度控制)等� 項目建立適當之管理措施,且落實執行?�7.17 定期評估及檢查重要資通設備之設置地點可能之危害因素(如火、煙、水、震動、� 化學效應、電力供應、電磁輻射或人為入侵破壞等)?�7.18 針對電腦機房及重要區域之公用服務(如水電消防通訊)建立適當之備援方案?
40
辦公室請張貼
資安宣導海報
7.21 個人行動裝置及可攜式媒體訂定管理程序且落實執行,並定期審查、監控及稽核?�7.22 網路即時通訊管理措施(如機密公務、公務涉及個人隱私不得使用即時通訊傳送)?� 有即時通訊軟體管理安全需求及購置準則?
41
辦公室請張貼
資安宣導海報
42
辦公室請張貼
資安宣導海報
43
資安管理宣導影片
44
辦公室資安落實 (推薦參考)
45
資安文件
落實資安
教育訓練
配合稽核
採購規範
46
2.1 訂定資通安全政策及目標,由管理階層核定,並定期檢視且有效傳達其重要性?� 人員瞭解機關之資通安全政策,以及應負之資安責任?
3.4 各類人員依法規要求,接受資通安全教育訓練並完成最低時數?�6.6 每半年進行1次社交工程演練?針對開啟郵件、點閱郵件附件或連結之人員加強� 資安意識教育訓練?(註:配合上級機關依《資通安全事件通報及應變辦法 》第8條辦理)
47
�
�6.6 每半年進行1次社交工程演練?針對開啟郵件、點閱郵件附件或連結之人員加強� 資安意識教育訓練?(註:配合上級機關依《資通安全事件通報及應變辦法 》第8條辦理)
48
語音釣魚攻擊
釣魚信件
社群網站內容蒐集
釣魚網站
�
�6.6 每半年進行1次社交工程演練?針對開啟郵件、點閱郵件附件或連結之人員加強� 資安意識教育訓練?(註:配合上級機關依《資通安全事件通報及應變辦法 》第8條辦理)
49
提升教職員資安意識 (資安專章)
50
項目 | 推動策略 | 評核指標 | 公立學校 | 私立學校 |
強化學校人員資通安全認知與訓練 | 提升教職員資安意識 | 全校教職員資安教育訓練達成比率 | 除行政單位之外,學術單位應加強達成比例,依法遵要求每年須完成規定之時數。 | 多數私校有將近95%以上的達成度 私校有相對公校較高比例的外籍學生,應思考如何強化資安教育訓練的成效及確保訊息有正確傳達。 |
新進人員資安政策認知訓練 | | | ||
社交工程演練被誘騙者加強資安意識措施 | 社交工程對於被誘騙之同仁或特定對象,可再加強改善及宣導方式。 | | ||
資安事件通報校內程序宣導及演練 | | 部分學校有訂定資訊中心之資安事件通報程序,建議修正成全校資安事件通報程序,並規劃演練以提升應變能力。 |
提升教職員資安意識 (資安專章)
51
項目 | 推動策略 | 評核指標 | 補充建議 | |
強化學校人員資通安全認知與訓練 | 提升教職員資安意識 | 全校教職員資安教育訓練達成比率 |
| |
新進人員資安政策認知訓練 |
| |||
社交工程演練被誘騙者加強資安意識措施 | ||||
資安事件通報校內程序宣導及演練 | ||||
資安文件
落實資安
教育訓練
配合稽核
採購規範
52
5.4 委外廠商執行委外作業時,確保其具備完善之資通安全管理措施或通過第三方驗證?�5.1 針對委外業務項目進行風險評估,以強化委外安全管理?
5.2 採購前,是否識別資通系統分級?另依資通系統分級,於採購文件明確規範防護� 基準需求?
53
依據行政院秘書長110年7月13日院臺護長字第1100177483號函,要求各機關資通訊相關採購案,應參考公共工程委員會「投標須知範本」及「資訊服務採購契約範本」,落實「資訊服務採購案之資安檢核事項」相關要求。
資訊服務採購案之資安檢核事項
資訊服務採購案之資安檢核事項
5.4 確保委外廠商執行委外作業時,具備完善之資通安全管理措施或通過第三方驗證?�5.1 針對委外業務項目進行風險評估,以強化委外安全管理?
5.2 採購前,是否識別資通系統分級?另依資通系統分級,於採購文件明確規範防護� 基準需求?
54
依據行政院秘書長110年7月13日院臺護長字第1100177483號函,要求各機關資通訊相關採購案,應參考公共工程委員會「投標須知範本」及「資訊服務採購契約範本」,落實「資訊服務採購案之資安檢核事項」相關要求。
資訊服務採購案之資安檢核事項
5.4 委外廠商執行委外作業時,確保其具備完善之資通安全管理措施或通過第三方驗證?�5.1 針對委外業務項目進行風險評估,以強化委外安全管理?
5.2 採購前,是否識別資通系統分級?另依資通系統分級,於採購文件明確規範防護� 基準需求?
55
委外資安強化 (資安專章)
56
項目 | 推動策略 | 評核指標 | 補充建議 | |
全校導入資訊安全管理系統(ISMS) | 委外資安強化 | 委外招標案納入資安規範 |
| |
委外承辦人及廠商資安教育訓練 |
| |||
委外廠商作業及維護流程資安檢視 |
| |||
委外廠商查核(稽核),以此項導引落實。
委外案要有資安規範,以此項導引落實。
委外承辦及廠商資安教育訓練,以此項導引落實。
委外資安強化 (推薦參考)
57
5.4.1 依行政院111年5月26日函送之「資通系統籌獲各階段資安強化措施」,將所要求之� 相關措施納入委外安全管理程序?
58
依政院111年5月26日院臺護字第1110174630號函訂定「資通系統籌獲各階段資安強化措施」,補充說明委託機關依資安法施行細則第四條規定選任或監督受託者之相關行政流程及應注意事項,特訂定本措施。
資通系統籌獲各階段資安強化措施
59
資通系統籌獲各階段資安強化措施
限制使用危害國家資通安全產品
4.5 公務用資通訊產品,已禁止使用大陸廠牌資通訊產品,禁止且避免採購作法為何?
4.6 如仍有此類須資安長同意及列冊管理,至資安署管考系統提報?相關控管措施為何?
5.15 委外營運公眾場域不得有大陸廠商(或陸籍),於契約明訂禁止大陸廠牌通訊產品?
60
依據行政院秘書長109年12月18日院臺護長字第1090201804A號函,要求110年底前完成汰換所使用或採購大陸廠牌資通訊產品(含軟體、硬體及服務),並配合擴大盤點範圍為全機關,包含委外廠商及其分包廠商。
限制使用危害國家資通安全產品
4.5 公務用資通訊產品,已禁止使用大陸廠牌資通訊產品,禁止且避免採購作法為何?
4.6 如仍有此類須資安長同意及列冊管理,至資安署管考系統提報?相關控管措施為何?
5.15 委外營運公眾場域不得有大陸廠商(或陸籍),於契約明訂禁止大陸廠牌通訊產品?
61
依據行政院秘書長109年12月18日院臺護長字第1090201804A號函,要求110年底前完成汰換所使用或採購大陸廠牌資通訊產品(含軟體、硬體及服務),並配合擴大盤點範圍為全機關,包含委外廠商及其分包廠商。
限制使用危害國家資通安全產品
4.5 公務用資通訊產品,已禁止使用大陸廠牌資通訊產品,禁止且避免採購作法為何?
4.6 如仍有此類須資安長同意及列冊管理,至資安署管考系統提報?相關控管措施為何?
5.15 委外營運公眾場域不得有大陸廠商(或陸籍),於契約明訂禁止大陸廠牌通訊產品?
62
該從108年起就開始限制採購,所有大陸廠牌者無論其原產地於我國、大陸地區或第三地區等,均列入限制使用範圍,要落實這樣的管制最重要就是從採購程序把關,譬如資通訊設備採購及核銷都能會辦資訊中心,由資訊中心檢核購案中是否有任何大陸廠牌產品,一發現就與採購單位溝通說明並退件。
把
關
限制使用危害國家資通安全產品
4.6 公務用資通訊產品,已禁止使用大陸廠牌資通訊產品,禁止且避免採購作法為何?
4.7 如仍有此類須資安長同意及列冊管理,至資安署管考系統提報?相關控管措施為何?
5.15 委外營運公眾場域不得有大陸廠商(或陸籍),於契約明訂禁止大陸廠牌通訊產品?
63
四、各機關自行或委外營運,提供公眾活動或使用之場地,不得使用......。機關應將前段規定事項納入委外契約或場地使用規定中,並督導管理。�...必須採購或使用...列冊管理:
(一)應指定特定區域及特定� 人員使用,不得傳播影像� 或聲音供不特定人士直接� 收視或收聽。� (二)購置理由消失,或使用� 年限屆滿應立即銷毀。
刪
除
限制使用危害國家資通安全產品
4.5 公務用資通訊產品,已禁止使用大陸廠牌資通訊產品,禁止且避免採購作法為何?
4.6 如仍有此類須資安長同意及列冊管理,至資安署管考系統提報?相關控管措施為何?
5.15 委外營運公眾場域不得有大陸廠商(或陸籍),於契約明訂禁止大陸廠牌通訊產品?
64
111年數位發展部數授資綜字第1111000056號函文「數位發展部修正各機關對危害國家資通安全產品限制使用原則」,在公文的說明中特別要求落實控管措施如左圖所示。
限制使用危害國家資通安全產品
4.5 公務用資通訊產品,已禁止使用大陸廠牌資通訊產品,禁止且避免採購作法為何?
4.6 如仍有此類須資安長同意及列冊管理,至資安署管考系統提報?相關控管措施為何?
5.15 委外營運公眾場域不得有大陸廠商(或陸籍),於契約明訂禁止大陸廠牌通訊產品?
65
禁止使用大陸地區(含港澳)雲端服務,境外雲端服務之人員安全管控機制通過國際標準驗證。雲端服務使用的資通訊產品不得為大陸廠牌、成員不得有陸籍人士、存取/備份/備援不得在大陸地區且不得跨該境傳輸。
限制使用危害國家資通安全產品
4.5 公務用資通訊產品,已禁止使用大陸廠牌資通訊產品,禁止且避免採購作法為何?
4.6 如仍有此類須資安長同意及列冊管理,至資安署管考系統提報?相關控管措施為何?
5.15 委外營運公眾場域不得有大陸廠商(或陸籍),於契約明訂禁止大陸廠牌通訊產品?
66
大陸
廠牌
既有財產再清查
已協調總務處資產經營組提供相關類別的財產清單紀錄,將逐一比對檢視查證後限制連網及要求汰換。
完全禁止新購
校內請購/核銷單會辦計資中心進行審查,自2020年起,經此採購流程不再有新購大陸廠牌資通訊產品。
調查列冊管理
已配合相關公文要求擴大盤點範圍為全校,透過調查回報已掌握列冊,且設計海報、網站加強宣導。
限制使用危害國家資通安全產品 (資安專章)
67
項目 | 推動策略 | 評核指標 | 公立學校 | 私立學校 |
落實管理危害國家資通安全產品 | 禁止公務使用大陸廠牌資通產品 | 禁止採購大陸廠牌資通產品作法及教育訓練宣導 | 建議學校應禁止公務使用大陸廠牌資通訊產品,須逐年安排汰換及列冊管理,並於採購流程加強管控。 | 建議學校應禁止公務使用大陸廠牌資通訊產品,並應建立相關的採購管控程序以及既有產品的列冊管理措施。 |
全校範圍既有列冊管理及管控措施、汰除 | ||||
限制出租場域使用大陸廠牌資通訊產品 | 出租場域禁用規定及教育訓練宣導 | | |
限制使用危害國家資通安全產品 (資安專章)
68
項目 | 推動策略 | 評核指標 | 補充建議 | |
落實管理危害國家資通安全產品 | 禁止公務使用大陸廠牌資通產品 | 禁止採購大陸廠牌資通產品作法及教育訓練宣導 |
| |
全校範圍既有列冊管理及管控措施、汰除 | ||||
限制出租場域使用大陸廠牌資通訊產品 | 出租場域禁用規定及教育訓練宣導 |
| ||
資安文件
落實資安
教育訓練
配合稽核
採購規範
69
每年一次全機關內部稽核
2.5 訂定內部資通安全稽核計畫,包含稽核目標、範圍、時間、程序、人員等?� 規劃及執行稽核發現事項改善措施,且定期追蹤改善情形?
70
每年一次全機關內部稽核
2.5 訂定內部資通安全稽核計畫,包含稽核目標、範圍、時間、程序、人員等?� 規劃及執行稽核發現事項改善措施,且定期追蹤改善情形?
71
每年一次全機關內部稽核
2.5.1 依110年12月30日函送之「國立大專校院資通安全維護作業指引」,學校辦理內部� 資通安全稽核,稽核範圍應包含全校各單位。各校得就資通系統(保有個人資料)� 風險高低、教學單位特性評估訂定推動先後順序,分年分階段規劃辦理,並明訂� 於各校資通安全維護計畫。(國立大專校院適用)
72
1.7 將全部核心資通系統納入資訊安全管理系統(ISMS)適用範圍?
(A、B級機關:全部核心資通系統2年內完成ISMS導入,3年內通過公正第三方驗證,� 第三方核發之驗證證書應有我國標準法主管機關委託機構之認證標誌;C級機關:� 全部核心資通系統2年內完成ISMS導入)
73
全機關
1.7 將全部核心資通系統納入資訊安全管理系統(ISMS)適用範圍?
(A、B級機關:全部核心資通系統2年內完成ISMS導入,3年內通過公正第三方驗證,� 第三方核發之驗證證書應有我國標準法主管機關委託機構之認證標誌;C級機關:� 全部核心資通系統2年內完成ISMS導入)
74
4階
表單、記錄、清冊、報告
3階
作業規範
2階
辦法、規程
1階
政策
1.7 將全部核心資通系統納入資訊安全管理系統(ISMS)適用範圍?
(A、B級機關:全部核心資通系統2年內完成ISMS導入,3年內通過公正第三方驗證,� 第三方核發之驗證證書應有我國標準法主管機關委託機構之認證標誌;C級機關:� 全部核心資通系統2年內完成ISMS導入)
75
4階
表單、記錄、清冊、報告
3階
作業規範
2階
辦法、規程
1階
政策
1.7 將全部核心資通系統納入資訊安全管理系統(ISMS)適用範圍?
(A、B級機關:全部核心資通系統2年內完成ISMS導入,3年內通過公正第三方驗證,� 第三方核發之驗證證書應有我國標準法主管機關委託機構之認證標誌;C級機關:� 全部核心資通系統2年內完成ISMS導入)
76
4階
表單、記錄、清冊、報告
3階
作業規範
2階
辦法、規程
1階
政策
77
資安的價值往往在�事件發生後才凸顯
資安作為,是一種出事才能看出效果的投資,而且經常被視為是企業的成本,而不是價值。
「沒有發生資安事故」,背後其實做了多大、多深的努力和投入($),是一種做得比別人更好的實質競爭力,用資安成就好名聲。
THANKS!
此簡報開放各界重製改作
78
授權允許使用者重製、散布、傳輸以及修改著作(包括商業性利用),惟使用時必須按照著作人或授權人所指定的方式,表彰其姓名。