問 答

依據「資通安全管理法常見問題」4.9，內稽範圍應涵蓋全機關，非僅限資訊單位，另建議先擬定整體稽核計畫，確認各單位之稽核頻率、稽核委員組成及稽核發現之後續追蹤管考機制等。若單位無建置資通系統，稽核重點可針對同仁對資通系統之使用行為、社交工程演練落實情形及資安意識訓練等。

依據教育部「國立大專校院資通安全維護作業指引」，各校辦理內部資通安全稽核，稽核範圍應包含全校各單位。各校得就資通系統（保有個人資料）風險高低、教學單位特性評估訂定推動先後順序，分年分階段規劃辦理，並明訂於各校資通安全維護計畫。高教深耕計畫資安專章的績效指標主項目「全校導入資訊安全管理系統」也同樣如此要求內部稽核。

資安驗證中心公告的「全校落實資通安全管理之優先執行策略」，將校內人員依業務執掌分為單位主管、系統管理人員、系統委外承辦人員、系統開發人員以及一般使用者共五個角色，全校各單位稽核可分別針對不同角色進行檢核，這些相對應的內部稽核檢核表也公開提供各校參考。

資安驗證中心建置「教育體系內部稽核人力資源庫」，定期彙整有意願提供跨校支援內稽的各校可支援人數及聯絡人資訊等，提供有內稽人力需求的各校自行聯繫邀請。

內部稽核人員的安排及證照有效性，請參考資安驗證中心公告的「教育體系資通安全稽核常見問題」F3：

1. 執行內部稽核人員之安排並無法規規定執行內稽的人員資格，為確保稽核過程之客觀性及公平性，稽核人員之職務應與內部稽核範圍業務有所區隔。

2. 執行內部稽核的人員，是否有適當訓練可勝任稽核資格，可適度建議。可建議優先選擇已取得ISO 27001 LA證照之人員，或有維持證照有效性需求之人員協助執行內部稽核。

3. 依「資通安全管理法常見問題」3.17，參與內部稽核、外部稽核或針對資訊系統委外廠商之稽核經驗，是維持資安證照有效性之條件，當年度至少2次。宜鼓勵機關內持資安證照人員積極參與相關稽核工作。 

資通安全責任等級分級辦法應辦事項規定，「全部核心資通系統導入 CNS 27001 或 ISO 27001 等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準」。Ｂ級以上公務機關須於3年內完成公正第三方驗證，並持續維持其驗證有效性，且公正第三方必須為通過我國財團法人全國認證基金會(TAF)認證之機構，所核發的驗證證書須有TAF認證標誌。Ｃ級機關則須持續維持導入。

依據「資通安全管理法常見問題」4.9，內部資安稽核應涵蓋全機關，非僅限資訊單位。

「資通安全管理法常見問題」3.16第三點說明，「一般使用者及主管，除包含機關組織編制表內人員外，尚包含得接觸或使用機關資通系統或服務之各類人員」，例如協助行政作業程序使用資通系統的工讀生，也應視為一般人員要求落實資安要求。

依據教育部「國立大專校院資通安全維護作業指引」規定，各校辦理資通系統級資訊之盤點，盤點範圍應包含全校各單位。各校辦理內部資通安全稽核，範圍應包含全校各單位，可分年分階段規畫辦理。

高教深耕計畫資安專章績效即要求「ISMS適用範圍至少包含全校範圍內之核心資通系統、保有個資或防護需求中等級以上之資通系統，及其相關網路與資訊機房活動」，因此應以全校單位為導入範圍。且鑒於過往資通安全事件通報案例，極高比例發生於非資訊單位，應請各單位配合全校規劃。

資安驗證中心依教育部指引，並參考教育部實地檢核表項目、防護基準控制措施內容及實地稽核發現之經驗，公告「全校落實資通安全管理之優先執行策略」，提供各校相關人員參考，掌握須優先完成的工作事項。 

資安管理工作要跨出資訊中心，需要資安長及資安推動委員會的高度支持，賦予資訊中心權責不斷加強各單位不同人員角色必要的資安教育訓練。

依據教育部「國立大專校院資通安全維護作業指引」，各校資通系統及資訊之盤點範圍應包含全校各單位，「資通系統資產清冊」至少應包含落於各校IP網段內、或使用各校網域名稱之資通系統，資訊中心有責任對各單位進行資訊資產清冊、資通系統安全等級評估等教育訓練，再要求各單位的系統管理人員落實執行。

資通安全責任等級分級辦法應辦事項的要求，範圍包含全機關，有些需要資通系統管理單位及人員配合執行。舉例來說，應辦事項規定除E級機關外，各級機關資通安全防護均應包含防毒軟體及防火牆，資通系統所在範圍伺服主機皆需安裝防毒軟體、架設防火牆（各單位自行採購），後續需由資訊中心負責追蹤調查各單位伺服主機狀況，以及每年內稽查核。另一個例子，資通安全責任等級分級辦法應辦事項也規定機關應定期實施資通安全健診（A級每年1次；B、C級每2年1次），宜由資安推動委員會做成決議，只要有自行管理維運資通系統的單位均應採購共同供應契約服務委外執行（各單位自行採購），並將檢測出的嚴重及高風險弱點進行修補改善，再執行複檢。

依據「資通安全管理法常見問題」3.18，定義資訊人員是較為廣義的，除了資訊中心的人員當然都要視為資訊人員，更擴大認定包含負責資通系統委外開發／設置／維運的業務單位人員（也就是指委外案的主要承辦人員），還有也包含具有系統維運管理權限的業務單位人員。所以，全機關強化人員資安認知與訓練不可以漏掉業務單位這群可能被忽略的「資訊人員」，以往在實施資安專業教育訓練課程通常都是針對資訊中心人員，但在此廣義認定下，稽核時要挑出這項缺失是很容易的，只要從盤點資通系統清單著手，先問有無這些系統管理人名冊，再問哪些系統是委外開發／設置／維運，從委外購案資料查出承辦人是誰，再從這些名單找出不符合資安專業教育訓練時數要求的人（資訊人員每人每2年需3小時之資通安全專業課程訓練或資通安全職能訓練），多找出幾個不符合的就可以認定普遍未對這群資訊人員實施資安專業教育訓練而列為缺失。

高教深耕計畫資安專章績效包含了配置資通安全專職人員配置，各校應依此規劃持續落實。

建議規劃以高教深耕計畫經費開設ISO 27001專班，資科司可能委託ISAC協會與國內開設這類證照課程的機構商議出對教育體系各校開設專班的優惠價格。

資安驗證中心每年固定開設27001 LA專業證照課程開放報名，由教育部資科司依一定原則核定名單。（證照課程資源有限，若報名錄取後無故缺課或未補考，隔年不接受該校人員報名。)

依據教育部「國立大專校院資通安全維護作業指引」，各校資通安全推動組織宜由資通安全長召集各校單位主管或副主管組成，也就是說全校各單位主管也須承擔起相關資安督導責任，而資安驗證中心公告的「全校落實資通安全管理之優先執行策略」有明確列出「單位主管應辦事項」相關重點提供參考。 

資通安全管理法與相關子法，可參考數位發展部資通安全署公告的「資通安全管理法及子法彙整版」，除包含最新版法規外，也包含歷次修訂對照，以及法條說明。

資通安全管理法與相關子法的要求重點，以及其他主管機關補充規定，可參考資安驗證中心整理的心智圖。

目前教育部核定大部分國立大專校院為C級機關，私立大專校院建議比照C級公務機關，盡快落實資通安全責任等級分級辦法對於C級公務機關應辦事項。

教育部執行部屬機關構及大專校院實地稽核作業所使用檢核表，即參照數位發展部資通安全署公告111年資通安全稽核計畫使用之111年檢核表。各校可參考檢核表內容，了解資通安全作業須注意事項。檢核表的檢核項目分為策略面、管理面、技術面三大構面及所各對應的三個子構面共九構面，若將「資通安全實地稽核項目檢核表」視為題庫來看，當然是應該努力朝符合要求的方向努力，落實相關的資安管理作為，期待能在稽核時少點缺失順利通過。

資安驗證中心依教育部指引，並參考教育部實地檢核表項目、防護基準控制措施內容及實地稽核發現之經驗，公告「全校落實資通安全管理之優先執行策略」，提供各校相關人員參考，掌握須優先完成的工作事項。

資安驗證中心整理與稽核項目相關各項內容，以及實地稽核共同發現事項等，所製作的開放教材歡迎多加參考。 

27001新版由於智慧財產權限制，請於國家標準(CNS)網站檢索瀏覽。整體而言，最大變動在於附錄A（即27002條文）架構的整併與調整。

另外要留意新舊版轉換期限，依據「資通安全法常見問題」3.21，ISO/IEC 27001:2013 專業證照效期至114 年10月31日。（機關轉版期限亦同）

持2013版證照人員應注意於該期限前完成轉版。

「教育體系資通安全暨個人資料管理規範」的資通安全驗證作業已落日，各校需要進行資安驗證須回歸採取TAF認可的ISO 27001驗證。

教育部對於大專校院的資通安全實地稽核計畫，對部屬機關構及國立大專校院進行資安實地稽核，確認機關在資安法與相關子法的法遵符合情形，以及資通安全維護計畫實施情形。依稽核作業進行方式，又分成第1組（二方稽核）以及第2組（外部查核），第1組「二方稽核」採技術檢測及實地稽核方式進行，第2組「外部查核」僅有實地稽核作業。