實地稽核前自評
[防護基準]及[稽核項目]

基於Google雲端硬碟平台開發出「實地稽核防護基準及稽核項目自評」線上調查工具,任何人都可移植到自己的雲端硬碟執行喔~~~

因為開放、所以安心

整個客製程式內建於Google試算表裡面,只要點選 [工具] > [程式碼編輯器] 即可看到全部的原始碼,任何對於Google Apps Script稍具了解的資訊人員都能檢查裡面絕無任何後門惡意程式碼,可以安心使用。

注意: 若無法開啟程式碼編輯器,應該是你同時登入多個Google帳號而無法進入程式碼編輯器,建議使用無痕式視窗並登入單一Google帳號進行查看

整個複製到自己的雲端硬碟使用

建立副本

將這個Google試算表「實地稽核[防護基準]及[稽核項目]自評 (回應)」建立副本到你自己的雲端硬碟

個人帳號下的副本

建立的副本隨即被開啟,可以從右上角個人圖示確認是建立在你的帳號之下,而檔名最後多了"副本"字樣。

確認新增的檔案

由於原版Google試算表已經有兩個連動Google表單(前圖工作表名稱前呈現紫色圖示),所以建立副本會同時產生三個檔案(至雲端硬碟查看)。

將檔案移到新增的資料夾

新增一個資料夾,將三個檔案移至新資料夾,且三個檔名都應該移除掉 "副本 "字樣

首次執行客製功能必須先完成授權程序

開始執行客製程式

在選單最右邊的「資安表單自訂功能」選項,是由程式產生的自訂選單(剛開啟Google試算表要等數秒鐘後才會出現),從這裡選擇要執行的客製功能。

首先,請務必 點選執行「初執行需要授權 - 創用CC授權(姓名標示)」這項功能,目的是在首次執行客製功能前會自動跳出要求你完成授權同意程序


再次執行[創用CC授權]

完成前述的授權同意程序後,並沒有緊接著執行「初執行需要授權 - 創用CC授權(姓名標示)」這項功能,而是要再點選執行一次,確認可正常執行,如此代表其他功能也都能正常執行了。

確認試算表共用設定限制及使用者

記得關心資安風險

點選執行「確認 [此試算表共用設定限制及使用者] 」這項功能,呈現Google試算表目前存取權限,也會強制將其共用設定限制,以避免資料外洩。如此進行資訊安全風險評估,採行相符安全控制措施, 可確保系統安全防護水準。

檢視兩個Google表單並建立完整題項

檢視Google表單及對應工作表

至雲端硬碟開啟「實地稽核[資通系統防護基準]自評」這個Google表單,一開始只有三個問題 (電子郵件地址、填表人、同時知會ISMS窗口),這是必要且不可刪除或移動

填答這個表單,各題項填答內容將會儲存在Google試算表的「表單回應 1」工作表,初始狀態尚未建立完整題項。

同樣的,開啟「實地稽核[資通安全稽核項目]自評」這個Google表單,也是只有三個問題 (電子郵件地址、填表人、同時知會ISMS窗口),這是必要且不可刪除或移動

填答這個表單,各題項填答內容將會儲存在Google試算表的「表單回應 2」工作表,初始狀態尚未建立完整題項。

建立Google表單的完整題項

點選執行「建立 [表單1第二區段後的防護基準題項]」這項功能,整個執行過程需要一點時間,程式會將「命題(核心系統防護基準)」工作表的題目逐一建立到「實地稽核[資通系統防護基準]自評」這個Google表單的第二區段之後。過程中你可以看到對應的「表單回應 1」工作表也逐一新增出對應欄位,執行完成會在右下方出現提示訊息。

本表單納入「教育部資通安全稽核計畫」附件 4「核心資通系統調查表」,以及「資通安全責任等級分級辦法」附表十「資通系統防護基準」所列 7大構面控制措施,做為資通系統防護基準自評及檢核用途。

點選執行「建立 [表單2第二區段後的稽核檢核題項]」這項功能,由於"公務機關"與"特定非公務機關"的檢核題項有部分差異,會先跳出對話框確認機關類型,然後程式再從「命題(公務機關實地稽核項目檢核)」工作表或「命題([非]公務機關實地稽核項目檢核)」工作表的題目逐一建立到「實地稽核[資通安全稽核項目]自評」這個Google表單的第二區段之後,過程中你可以看到對應的「表單回應 2」工作表也逐一新增出對應欄位,執行完成會在右下方出現提示訊息。

本表單納入「教育部資通安全稽核計畫」附件 1「資通安全實地稽核項目檢核表」所列 9大構面稽核項目,做為資安管理自評及檢核用途。

確認Google表單題項的完整性

前述建立兩個Google表單完整題項的執行過程是刻意將程式執行速度放慢,我們多次測試發現產生題目速度過快就偶爾造成題項內容不完整,所以才設定成目前較慢的速度。不過,還是建議逐一確認表單題項的完整性,若有題項內容不完整(與題項來源的命題工作表內容對照檢查發現有缺漏),可以再試著重新執行一次「建立 [表單1第二區段後的防護基準題項]」或「建立 [表單2第二區段後的稽核檢核題項]」,跳出對話框確定進行重設,就會將表單第二區段之後的題項刪除並重設。


表單的版型文件產出後再加以編排

產出表單1的版型文件

點選執行「建立 [表單1的版型文件(Google Doc)]」這項功能,執行過程會整個掃描「命題(核心系統防護基準)」工作表的題項來建立版型文件,執行完成會在右下方出現提示訊息。

調整部分版面編排

再來到雲端硬碟查看,就會發現新建立的「實地稽核[資通系統防護基準]自評 (版型)」Google文件檔。打開該檔案可以看到列出表單題項及對應變數(%1%、%2%、...),這樣在產出PDF時就會套疊資料上去。

因為無法完全程式自動化調整到位,還有需要手動調整的有幾個地方,一定要做的是把第一個核心資通系統調查表中間第二欄選取起來並按滑鼠右鍵執行 [刪除 1欄 ],然後再將表格標題字體大小位置調整一下,有必要也請自行[插入][頁碼],最後一部分列出承辦人用印之處也依實際需要格式自行調整。

調整頁首頁尾內容

版型文件中的[頁首]預設內容,請自行進入調整文件名稱、編號、版次。[頁尾]預設內容,請自行進入調整單位名稱。[頁首格式]及[頁尾格式]也可自行調整,譬如把頁首、頁尾的邊界都設定為0就能保留更多空間做為內文範圍。

產出表單2的版型文件

點選執行「建立 [表單2的版型文件(Google Doc)]」這項功能,執行過程會整個掃描「命題(公務機關實地稽核項目檢核)」工作表或「命題([非]公務機關實地稽核項目檢核)」工作表的題項來建立版型文件,執行完成會在右下方出現提示訊息。

調整部分版面編排

再來到雲端硬碟查看,就會發現新建立的「實地稽核[資通安全稽核項目]自評 (版型)」Google文件檔。打開該檔案可以看到列出表單題項及對應變數(%1%、%2%、...),這樣在產出PDF時就會套疊資料上去。

因為無法完全程式自動化調整到位,還有需要手動調整的有幾個地方,一定要做的是把表格裡面同一列的粉底色格子選取起來並按滑鼠右鍵執行 [合併儲存格 ] (超過 70列要有耐心全部做完 ),然後再將表格標題字體大小位置調整一下,有必要也請自行[插入][頁碼],最後一部分列出承辦人用印之處也依實際需要格式自行調整。

調整頁首頁尾內容

版型文件中的[頁首]預設內容,請自行進入調整文件名稱、編號、版次。[頁尾]預設內容,請自行進入調整單位名稱。[頁首格式]及[頁尾格式]也可自行調整,譬如把頁首、頁尾的邊界都設定為0就能保留更多空間做為內文範圍。

填寫表單後即自動套版產出PDF

啟動觸發程式

點選執行「啟動 [填寫表單後即自動套版產出PDF並寄出]」這項功能,執行完成會在右下方出現提示訊息。

注意執行順序

如果沒有先執行前述功能產出兩個版型文件,這個功能就不會啟動,因為沒有版型文件就無法套版產出PDF檔,所以就出現如圖所示資訊,要求先執行前述兩項版型文件產出功能。

如果是已經執行過兩項版型文件產出功能但卻自行將版型文件檔案改名或移動,也同樣會出現此一警示訊息。

公告或傳送表單填寫網址

「實地稽核[資通系統防護基準]自評」、「實地稽核[資通安全稽核項目]自評」這兩個Google表單,都可以從[傳送]功能取得填寫表單的網址,公告或傳送給需要填寫這份文件的人員知道。

填寫表單之後.....

填寫表單1

「實地稽核[資通系統防護基準]自評」這個Google表單,是每個核心資通系統的管理員都必須配合填答。若貴單位當年度被列入「教育部資通安全稽核計畫」指定稽核名單內,就必須將全部核心資通系統的填答資料彙整提供出來。

填畢收到通知信

「實地稽核[資通系統防護基準]自評」這個Google表單填寫完畢提交後,填表人隨即收到通知信。信件內的附件,是以「實地稽核[資通系統防護基準]自評 (版型)」Google文件為版型套疊資料建立的PDF檔。信件內容包含可再修改回覆內容網址,填表人可點擊該連結來到Google表單修改先前填錯或不完整的內容,而且也會在修改完畢提交後隨即收到通知信。

注意: 以客製程式寄發信件,一般的 Google帳號只能 100次/天,但如果是 Google for Education帳號則是 1500次/天。所以,將這個解決方案建立在Google for Education帳號的雲端硬碟上,就幾乎不會有什麼使用限制了。

表單資料記錄在試算表

「實地稽核[資通系統防護基準]自評」這個Google表單填寫資料當然是記錄在「表單回應 1」工作表,最後還有將產出的PDF檔網址及修改回覆內容網址都記錄在最後兩欄,以備管理人員日後方便調閱或修正內容。產出的PDF檔,也就存放在同一個資料夾裡面。

填寫表單2

「實地稽核[資通安全稽核項目]自評」這個Google表單,應該是貴單位資安專責人員負責填答。若貴單位當年度被列入「教育部資通安全稽核計畫」指定稽核名單內,就必須將這部分的填答資料提供出來。


填畢收到通知信

「實地稽核[資通安全稽核項目]自評」這個Google表單填寫完畢提交後,填表人隨即收到通知信。信件內的附件,是以「實地稽核[資通安全稽核項目]自評 (版型)」Google文件為版型套疊資料建立的PDF檔 (但此時的 PDF檔內容尚欠缺全部核心資通系統關聯資料的呈現 )信件內容包含可再修改回覆內容網址,填表人可點擊該連結來到Google表單修改先前填錯或不完整的內容,而且也會在修改完畢提交後隨即收到通知信。

注意: 此時的 PDF檔內容尚欠缺全部核心資通系統關聯資料的呈現,要以最後一項功能「執行 [指定產出實地稽核項目檢核表 PDF ]」產出完整版的 PDF檔

表單資料記錄在試算表

「實地稽核[資通安全稽核項目]自評」這個Google表單填寫資料當然是記錄在「表單回應 2」工作表,最後還有將產出的PDF檔網址及修改回覆內容網址都記錄在最後兩欄,以備管理人員日後方便調閱或修正內容。產出的PDF檔,也就存放在同一個資料夾裡面。

再次產出PDF

核心系統防護基準表

「實地稽核[資通安全稽核項目]自評」這個Google表單填寫完畢提交後,填表人應該隨即收到通知信及附件。但若填寫表單時正好碰上了Google雲端硬碟服務異常(我們多次測試遇過一次不明原因的服務異常),還是可能沒有觸發程式產出PDF檔並寄送通知信,那麼就需要點選「執行 [指定產出核心系統防護基準表PDF]」這項功能,指定要將「表單回應 1」工作表的第幾筆資料重新產出PDF並寄發通知信。

此文件納入「教育部資通安全稽核計畫」附件 4「核心資通系統調查表」,以及「資通安全責任等級分級辦法」附表十「資通系統防護基準」所列 7大構面控制措施,做為資通系統防護基準自評及檢核用途,是每個核心資通系統的管理員都必須配合填答。若貴單位當年度被列入「教育部資通安全稽核計畫」指定稽核名單內,就必須將全部核心資通系統的填答資料彙整提供出來。

實地稽核項目檢核表

「實地稽核[資通安全稽核項目]自評」這個Google表單填寫完畢提交後,填表人隨即收到通知信內的附件尚缺全部核心資通系統關聯資料的呈現(也就是那些粉底色格子並未將關聯的防護基準項目資料彙整進來)。要能產出完整版的實地稽核[資通安全稽核項目]自評文件,必須在此「執行 [指定產出實地稽核項目檢核表PDF]」這項功能,跳出兩次對話框,第一次是指定要將「表單回應 2」工作表的第幾筆資料產出PDF檔,第二次是指定「表單回應 1」工作表的哪幾筆資料要關聯進來呈現 (在粉底色格子處 ),這樣在自評或稽核時都能更容易將關聯的防護基準項目資料對照著看。

此文件納入「教育部資通安全稽核計畫」附件 1「資通安全實地稽核項目檢核表」所列 9大構面稽核項目,做為資安管理自評及檢核用途,應該是貴單位資安專責人員負責填答。若貴單位當年度被列入「教育部資通安全稽核計畫」指定稽核名單內,就必須將這部分的填答資料提供出來。

而且,因為還有指定「表單回應 1」工作表的哪幾筆資料要關聯進來呈現 (在粉底色格子處 ),這樣在自評或稽核時都能更容易將關聯的防護基準項目資料對照著看。

先產出空白檢核表看看

在沒有填寫「實地稽核[資通安全稽核項目]自評」這個Google表單之前,建議先依照產出空白檢核表看看,可以先了解檢核表裡面哪些項目與防護基準項目有關聯 (在粉底色格子處 ),這樣在自評或稽核時都能更容易將關聯的防護基準項目資料對照著看。

寄送自評資料至ISCB資安驗證中心
(被通知排定實地稽核前三週)