• 第一章從「資安長與資安推動組織」談起，整個機關組織由上而下重視資安管理是能否推動成功的關鍵因素。

• 透過此章內容，資安人員更清楚知道哪些面向應讓資安長充分掌握，向資安長說明核心業務、資安政策及推動組織、人力經費配置等三大構面的重點要求。

• 以這三大構面的資安實地稽核項目合規為目標，詳細闡述應有的資安管理作為與佐證資料呈現方式。

• 譬如第二構面的資安實地稽核項目有關定期檢視資安政策目標、資安績效以及資安階層對持續改善的支持等，這些項目的共同點在於落實"定期檢視"。最佳做法就是列入資安推動委員會議案，而且此章內容還提供具體做法與示範，看了就懂如何安排議題做更有效且聚焦的討論。

• 同樣的，第一、三構面的資安實地稽核項目應讓資安長充分掌握的也列入此章內容，除了建議資通系統盤點、業務持續運作、資安防護機制和人員配置等具體做法與示範，也說明如何讓資安長有一定程度了解的關鍵概念，更具概念的資安長會更在意相關重點的風險與應有的資源投入。

• 此章最後還提供此主題相關的兩份簡報，第一份簡報「全機關導入ISMS資安長應掌握重點」呼應1.4、1.5、1.6節內容，第二份簡報「資通安全實地稽核檢核項目前三大類(資安長應知事項)」呼應1.2節內容，兩份簡報完全開放使用，讓各機關組織在相關工作推動時更容易強化宣導與溝通，也很適合相關課程教學進行討論。

• 第二章聚焦「核心業務與核心系統」，這是資安管理最基礎也是最關鍵的起步，機關組織的核心業務與支援這些核心業務運作的核心資通系統完成盤點，涉及的相關單位就都要認真看待資安管理。

• 初期常見這方面的缺失，如：僅將機關官網列入核心系統、僅將資訊中心負責的系統列入，而忽略了從全機關角度進行全面盤點的重要性，這些疏漏可能導致後續資安隱患。

• 此章內容導引如何從業務角度進行系統盤點，更提醒要審慎評估每個系統的實際安全需求，也強調非核心系統的管控不容忽視。全面盤點核心與非核心資通系統，接著進行下一章介紹的風險評估方法，了解風險才能制定出有效的資安防護措施。

• 此章最後提供了一份「全機關範圍導入ISMS建議優先落實之執行策略」，是教育體系推動資安管理極具參考價值的指引，也是預告後續章節即將展開全機關資安管理之務實執行方式。

• 第三章聚焦「高階風險評鑑方法」，基於ISO 27005、ISO 31010的企業衝擊分析概念，以及國家資通安全研究院公布的「資通系統風險評鑑參考指引」相關建議，完成高階風險評鑑方法的檢核表格與執行程序。此章3.2節提供「資通系統高階風險評鑑」工具，歡迎各機關導入使用，也很適合相關課程教學練習。

• 高階風險評鑑不僅止於系統分級，更應被視為一種 "必須檢核防護基準的風險評鑑" 方法，於是「安全控制措施參考指引」建議之安全控制措施(參照NIST SP800-53r5)均納入此章所提改良做法之檢核項目。

• 此章提出的高階風險評鑑方法改良及程序書條文，是各機關組織落實資通系統風險評估並達成資安合規之絕佳參考方案。3.3節公開的「高階風險評鑑程序書條文」介紹網頁，歡迎各機關參考，也很適合相關課程教學進行討論。

• 第四章聚焦「詳細風險評鑑方法」，基於ISO 27001、ISO 31000、ISO 27005建議合宜的詳細風險評鑑法是考量資產價值、威脅發生可能性、脆弱性被利用程度而建構預先定義值矩陣以排序待因應之風險，探討執行時常見的痛點，提出創新改良做法。

• 風險評鑑的起手式就是識別可能的 "威脅"、"弱點"，然而常見的風險評估表設計只留個空白格，讓資訊資產管理者將自己想到可能發生的威脅以及可被利用的弱點填上，沒有任何參考導引的情況下，通常無法完整設想，僅形式上填個幾項，導致忽略了不少威脅及弱點。此章基於ISO 27005附錄及國內外相關研究探討過的威脅目錄清單，詳細梳理各類資訊資產所有可能發生的威脅及弱點評估項目，能有效引導全面考量並確保評估的完整性。

• 資訊資產管理者對威脅及弱點有所評估之後，更重要的是要採取控制措施，此章分析ISO 27001控制措施與各類資訊資產之關聯，歸納整理列出控制措施識別清單，能有效導引充分思考各種可能的控制措施。

• 一系列改良設計，前所未見的細膩度與完整度，簡化了複雜評估過程，提供明確引導方式，確保評估內容的完整性，對於資訊資產風險評鑑的落實將有顯著助益。此章4.1節提供「資訊資產詳細風險評鑑」工具，歡迎各機關導入使用，也很適合相關課程教學練習。

• 此章提出的詳細風險評鑑方法改良及程序書條文，是各機關組織落實資訊資產風險評估並落實控制措施達成資安合規之絕佳參考方案。4.3節公開的「詳細風險評鑑程序書條文」介紹網頁，歡迎各機關參考，也很適合相關課程教學進行討論。

• 第五章探討「資通系統集中化管理」做法，向上集中機房的基本建設包含不斷電系統、備援發電、環控系統、網路防火牆、虛擬主機等，提供系統的基本安全保障。然而，也要對於 "安全保障" 界定清楚，不宜讓各系統管理者誤以為系統向上集中後就不會有資安風險了。

• 此章以深入淺出方式介紹網站應用程式的三層式架構中存在的弱點與風險，讓各系統管理者有所認知，更加重視系統開發(或委外)的技術能力和安全意識，進而落實要求相關的檢測與修補，以避免潛在的安全隱患。

• 在系統向上集中管理的過程，資訊中心、租用單位和委外廠商三者各有其責任。資訊中心負責提供基本的安全保障和監控，租用單位需要確保自身系統的安全並與資訊中心合作，而委外廠商則負責系統的開發和安全維護。只有這三方共同合作，才能有效減少系統的資安風險。

• 此章最後還提供此主題相關的宣導網站，涵蓋5.1、5.2節重點精華，完全開放使用，讓各機關組織在相關工作推動時更容易強化宣導與溝通，也很適合相關課程教學進行討論。

• 第六章探討「強化資安認知訓練」做法，基本目標是年年落實全體人員資安通識教育訓練，除了自行辦理實體課程，亦可善用「ｅ等公務園+學習平臺」線上課程。

• 資訊中心有責任要能掌握並有效統計全體人員的資安課程學習紀錄，進一步建議可規劃自動查核通知提醒未完成學習時數的人員，以及統計圖表提供單位主管查詢做為考績評核參考​​。

• 此章最後還提供一系列的資安宣導海報範本，以及更有效執行新進人員資安宣導的開源工具，從實際執行經驗分享，這兩項做法確實很值得推動，歡迎各機關參考，也很適合相關課程教學進行討論。

• 第七章探討「委外辦理資通業務」做法，呼應資通安全管理法第9條規定委外資通系統與服務時應妥善 "考量"、"選任"、"監督"，以及資通安全管理法施行細則第4條所列的委外注意事項，深入探討委外執行時資安管理應落實程度，從委外考量列入RFP、選任適當受託者之合規做法、到監督受託者資通安全維護情形，提供全方位的建議。

• 實務上，往往是在委外案執行後期的監督過程才發現資安未能落實而採取補救措施或影響驗收時程，此章從法遵面列出委外承辦人員在監督上容易忽略的關鍵要點，並提供改善建議，以及呼應在考量與選任過程應加強評估風險、明確定義需求之概念。

• 此章詳細分析「委外廠商查核項目表」、「資通系統籌獲需求、建置、維運各階段資安強化措施」、「資訊服務採購案之資安檢核事項」、「投標須知範本」、「資訊服務採購契約範本」、「各機關對危害國家資通安全產品限制使用原則」，探討相關要求如何有助於強化委外案的資安管理，有助於委外業務人員建立正確認知。並且提供教育訓練簡報「資通安全實地稽核檢核項目第五大類(系統委外開發)」涵蓋全章重點精華，完全開放使用，讓各機關組織在相關工作推動時更容易強化宣導與溝通，也很適合相關課程教學進行討論。

• 此章7.9節提出各機關組織重新修訂委外管理辦法達成資安合規之絕佳參考方案，公開的「資訊作業委外安全管理程序書條文」介紹網頁，歡迎各機關參考，也很適合相關課程教學進行討論。

• 第八章聚焦「委外資通系統廠商須知」，就是帶領大家對資通系統防護基準有更多認識，資通系統不論是自行或委外開發，都可以從這一章獲得技術面的正確認知。

• 各級資通系統開發要達成資通系統防護基準之要求，開發人員應進一步參考國家資通安全研究院的安全控制措施參考指引、美國國家標準及科技研究所頒布的NIST SP800-53安全控制措施。此章精闢分析這些技術文件的建議做法，開發人員熟讀此章絕對功力大增，完全了解如何設計出符合防護基準要求之系統功能。

• 此章特別強調為廠商須知，提醒承接系統委外開發就要在技術面好好下功夫，而非只是簡單做做系統備份或備援、保留日誌紀錄、弱點掃描就算了，若備份或備援不夠周延、日誌紀錄不夠完整、不知道什麼情況還要再做源碼掃描或滲透測試，甚至更是漏了SSDLC各階段的資安要求，如此狀況都可能無法達成防護基準要求的三成，絕對會影響驗收結果。

• 此章最後提供教育訓練簡報「資通安全實地稽核檢核項目第八大類(系統開發SSDLC)」涵蓋全章重點精華，完全開放使用，讓各機關組織在相關工作推動時更容易強化宣導與溝通，也很適合相關課程教學進行討論。

• 第九章聚焦「各單位主管的支持」，將資安實地稽核項目歸納整理出應由單位主管負責督導之重點，提醒各單位主管應重視並要求單位人員落實：1.資安文件、2.清查 IoT、3.落實資安、4.教育訓練、5.採購規範、6.配合稽核。

• 對於規模較大的機關組織來說，全機關推動資安管理尤其需要各單位主管的強力支持，此章內容就是幫主管們劃重點，讓資安人員更有效說服主管們善盡督導之責。

• 因為是以資安實地稽核項目歸納整理出來的重點，如此也能讓各單位主管面對內外部稽核時都能對於其應督導項目做出適當回應，展現全機關落實資安管理之成效。

• 此章最後還提供此主題相關的簡報「資通安全實地稽核檢核項目各類重點(單位主管應掌握)」涵蓋全章重點精華，完全開放使用，讓各機關組織在相關工作推動時更容易強化宣導與溝通，也很適合相關課程教學進行討論。

• 第十章聚焦「全員日常資安對策」，依據「全機關範圍導入ISMS建議優先落實之執行策略」歸納整理全員落實重視資安管理的優先事項：新進人員教育、辦公室資安措施、資安事件通報、資安通識教育、社交工程演練、物聯網設備管控等。讓各單位知道資訊安全是每個人的責任，而不僅僅是資訊中心的工作。

• 此章提供相關主題的簡報「資通安全實地稽核檢核項目各類重點(全員日常資安對策)」涵蓋全章重點精華(內容更融入了十多個相關宣導網站與工具介紹)，完全開放使用，讓各機關組織在相關工作推動時更容易強化宣導與溝通，也很適合相關課程教學進行討論。

• 第十一章探討「利害關係人」與「通報管理」關聯概念，利害關係人從不同角度提出的看法都可能對資安推動工作的成功或失敗產生重大影響，而發生資安事件進行通報也是利害關係人管理工作之一。

• 此章介紹利害關係人地圖的用法，評估各類利害關係人的關注與影響，進而在資安推動組織的管理審查會議落實討論利害關係人關注紀錄及回應處置。以往或許未完全落實執行此項工作，但在ISO 27001最新的2022年版已特別強調要暸解關注方之需要及期望，必然成為未來的稽核重點。

• 此章最後還提供此主題相關的宣導網站，涵蓋11.1、11.2節重點精華，完全開放使用，讓各機關組織在相關工作推動時更容易強化宣導與溝通，也很適合相關課程教學進行討論。

• 此章11.3節是各機關組織重新修訂通報管理辦法達成資安合規之絕佳參考方案，公開的「資訊安全事件通報管理程序書條文」介紹網頁，歡迎各機關參考，也很適合相關課程教學進行討論。

• 第十二章探討「資安融入內部控制制度」做法，源自於「金融資安行動方案 1.0」要求金融機構將資訊安全納為內部控制及稽核重點，後續在金控銀行業、保險業、證券期貨業都調整了內部控制及稽核制度實施辦法，以及公開發行公司建立內部控制制度處理準則也改版納入資安管理要求，於是資安管理開始融入成為金融機構與上市櫃公司內部控制制度重要的一環。

• 在「上市上櫃公司資通安全管控指引」發布之後，完全呼應「資通安全管理法施行細則」第6條規定公務機關訂定資通安全維護計畫應包括事項，代表依此方向來要求一般企業組織導入資安管理的態勢很明確了。此章分析該指引所有項目可對照參考本書各章節的實務建議，有助於各企業組織更容易理解如何將資安融入內部控制制度。

• 第十三章「資安稽核常見問題說明」，教育機構資安驗證中心每年協助教育部執行部屬機關構及大專校院之資通安全實地稽核，並統計分析策略面、管理面、技術面三構面常見稽核發現，辦理共識會議與委員達成開立缺失的共識原則並加以整理做為執行稽核時之依循。

• 基於規模相當大的教育體系多年來資安執行情況，整理出來超過60多項的稽核常見問題，對其他機關或企業也極具參考價值，因為這些是累積多年稽核發現及眾多稽核委員共識，明確定義查檢重點與依據，這樣標準更趨明確也可減少爭議，各機關組織也可以參考引用做為資安推動工作的加強重點，以及在實地稽核若有開立稽核發現事項踰越共識原則可依此溝通討論。

• 此章最後還提供此主題相關的簡報「資通安全實地稽核共同發現事項」涵蓋全章重點精華，完全開放使用，讓各機關組織在相關工作推動時更容易強化宣導與溝通，也很適合相關課程教學進行討論。

• 第十四章「鑑往知來、預做準備」，資安管理不是取得ISO 27001證照或資安法及相關子法背起來就可以了，因為面臨不斷出現新的資安問題與觀念，資安人員需要與時俱進的能力。

• 此章以「委外廠商查核項目表」、「資通安全實地稽核表」的改版試作為例，透過這兩個例子探討如何提升自己對合規性的綜整分析能力。目前的委外廠商查核項目表可看出是基於ISO 27001:2013版本的設計，但來到2022年版本公布之後，理應檢討修訂委外廠商查核項目表以免遺漏了2022年版的某些重點要求。另外，資通安全實地稽核表每年都會有所調整，理應關注稽核項目的調整重點，以便對於有關聯的資安議題與工作能更為精進。通過這些練習，提升自己對於規範或稽核項目改版的關注力，預測調整所帶來的資安執行影響層面，也就能提早應對挑戰有所準備。

• 最後有一個彩蛋：「資安法遵師」的任務解析，一定要記得看喔！

感謝：

• 企劃主編  張毓芬 

• 責任編輯  唐　筠

• 文字校對  許馨尹  林芸郁  蔡岱叡  張姿蓓  林怡璇  周鎂錥  許家蓁  周苓棋 

• 封面設計  黃家勁  姚孝慈

• 題材設計  呂仲聖  吳賢明  蔡孟琳  洪子涵  劉琮躍