技術檢核所需資料調查
基於Google雲端硬碟平台開發出「技術檢核所需資料調查」線上調查工具,任何人都可移植到自己的雲端硬碟執行喔~~~
因為開放、所以安心
整個客製程式內建於Google試算表裡面,只要點選 [工具] > [程式碼編輯器] 即可看到全部的原始碼,任何對於Google Apps Script稍具了解的資訊人員都能檢查裡面絕無任何後門惡意程式碼,可以安心使用。
注意: 若無法開啟程式碼編輯器,應該是你同時登入多個Google帳號而無法進入程式碼編輯器,建議使用無痕式視窗並登入單一Google帳號進行查看。
整個複製到自己的雲端硬碟使用
建立副本
將這個Google試算表「技術檢核[比照資安健診涵蓋面]所需資料調查 (回應)」建立副本到你自己的雲端硬碟
個人帳號下的副本
建立的副本隨即被開啟,後續兩個步驟就是"確認新增的檔案"、"將檔案移到新增的資料夾"(參閱另一自評工具的使用介紹),不同的是這個Google試算表有四個連動Google表單,所以建立副本會同時產生五個檔案,所以要將五個檔案移至新資料夾,且五個檔名都應該移除掉 "副本 "字樣。
首次執行客製功能必須先完成授權程序
開始執行客製程式
在選單最右邊的「資安表單自訂功能」選項,是由程式產生的自訂選單(剛開啟Google試算表要等數秒鐘後才會出現),從這裡選擇要執行的客製功能。
首先,請務必 點選執行「初執行需要授權 - 創用CC授權(姓名標示)」這項功能,目的是在首次執行客製功能前會自動跳出要求你完成授權同意程序。完成授權同意程序後,還要再點選執行一次,確認可正常執行。這兩個步驟"開始執行客製程式"、"再次執行[創用CC授權]"的操作請參閱另一自評工具的使用介紹。
確認試算表共用設定限制及使用者
記得關心資安風險
點選執行「確認 [此試算表共用設定限制及使用者] 」這項功能,呈現Google試算表目前存取權限,也會強制將其共用設定限制,以避免資料外洩。如此進行資訊安全風險評估,採行相符安全控制措施, 可確保系統安全防護水準。
檢視四個Google表單並建立完整題項
檢視Google表單及對應工作表
至雲端硬碟分別開啟「技術檢核[使用者電腦安全檢測]所需資料調查」、「技術檢核[組態設定安全檢測]所需資料調查」、「技術檢核[目錄伺服器安全檢測]所需資料調查」、「技術檢核[網路惡意活動檢視]所需資料調查」這四個Google表單,一開始都是只有三個問題 (電子郵件地址、填表人、同時知會ISMS窗口),這是必要且不可刪除或移動。
前述四個表單的填答內容將會分別儲存在Google試算表的「表單回應 1」、「表單回應 2」、「表單回應 3」、「表單回應 4」工作表,初始狀態尚未建立完整題項。
建立Google表單的完整題項
分別點選執行「建立 [表單1第二區段後的防護基準題項]」、「建立 [表單2第二區段後的防護基準題項]」、「建立 [表單3第二區段後的防護基準題項]」、「建立 [表單4第二區段後的防護基準題項]」這幾項功能,每個功能的執行過程都需要一點時間,程式會將對應的命題工作表的題目逐一建立到對應的Google表單第二區段之後。這兩個步驟"建立Google表單的完整題項"、"確認Google表單題項的完整性"的操作請參閱另一自評工具的使用介紹。
四個表單納入「教育部資通安全稽核計畫」附件 3「技術檢測基本資料調查表」所涵蓋資安健診的四類項目資料,做為技術檢核前被要求提供資料之調查與自評用途。
確認Google表單題項的完整性
建立四個Google表單完整題項的執行過程是刻意將程式執行速度放慢,我們多次測試發現產生題目速度過快就偶爾造成題項內容不完整,所以才設定成目前較慢的速度。不過,還是建議逐一確認表單題項的完整性,若有題項內容不完整(與題項來源的命題工作表內容對照檢查發現有缺漏),可以再試著重新執行一次「建立 [表單#第二區段後的防護基準題項]」。
注意: 特別要檢查的是標題為 "【是】接著或【否】跳過下個區段問題..."的區段,其選項 "否(跳過下個區段問題)"應該是被設定成前往下下個區段,如右圖為第3區段,要能跳到下下區段就應該設定成"前往區段5"。我們多次測試遇過一次這部分設定異常,如果重新執行一次「建立 [表單#第二區段後的防護基準題項]」仍有這個問題,就得要自己在Google表單編輯模式手動更正設定。
表單的版型文件產出後再加以編排
產出表單的版型文件
分別點選執行「建立 [表單1的版型文件(Google Doc)]」、「建立 [表單2的版型文件(Google Doc)]」、「建立 [表單3的版型文件(Google Doc)]」、「建立 [表單4的版型文件(Google Doc)]」這幾項功能,每個功能的執行過程會整個掃描對應的命題工作表題項來建立版型文件,執行完成會在右下方出現提示訊息。
調整部分版面編排
再來到雲端硬碟查看,就會發現新建立的四個版型Google文件檔。打開該檔案可以看到列出表單題項及對應變數(%1%、%2%、...),這樣在產出PDF時就會套疊資料上去。
因為無法完全程式自動化調整到位,還有需要手動調整的有幾個地方,像是將表格標題字體大小位置調整一下,有必要也請自行[插入][頁碼],最後一部分列出承辦人用印之處也依實際需要格式自行調整。
調整頁首頁尾內容
版型文件中的[頁首]預設內容,請自行進入調整文件名稱、編號、版次。[頁尾]預設內容,請自行進入調整單位名稱。[頁首格式]及[頁尾格式]也可自行調整,譬如把頁首、頁尾的邊界都設定為0就能保留更多空間做為內文範圍。
填寫表單後即自動套版產出PDF
啟動觸發程式
點選執行「啟動 [填寫表單後即自動套版產出PDF並寄出]」這項功能,這兩個步驟"啟動觸發程式"、"注意執行順序"的操作請參閱另一自評工具的使用介紹。
公告或傳送表單填寫網址
「技術檢核[使用者電腦安全檢測]所需資料調查」、「技術檢核[組態設定安全檢測]所需資料調查」、「技術檢核[目錄伺服器安全檢測]所需資料調查」、「技術檢核[網路惡意活動檢視]所需資料調查」這四個Google表單,都可以從[傳送]功能取得填寫表單的網址,公告或傳送給需要填寫這份文件的人員知道。
填寫表單之後.....
填寫表單
這四個Google表單,應該是分別由單位內負責 [使用者電腦安全]、[GCB組態設定]、[目錄伺服器安全]、[網路惡意活動檢視]等工作的同仁進行填答。若貴單位當年度被列入「教育部資通安全稽核計畫」指定稽核名單內,就必須將全部的填答資料彙整提供出來。這三個步驟"填寫表單"、"填畢收到通知信"、"表單資料記錄在試算表"的操作請參閱另一自評工具的使用介紹,Google表單填寫完畢提交後,填表人隨即收到通知信。
注意: 以客製程式寄發信件,一般的 Google帳號只能 100次/天,但如果是 Google for Education帳號則是 1500次/天。所以,將這個解決方案建立在Google for Education帳號的雲端硬碟上,就幾乎不會有什麼使用限制了。
再次產出PDF
指定產出PDF
這四個Google表單填寫完畢提交後,填表人應該隨即收到通知信及附件。但若填寫表單時正好碰上了Google雲端硬碟服務異常(我們多次測試遇過一次不明原因的服務異常),還是可能沒有觸發程式產出PDF檔並寄送通知信,那麼就需要點選「執行 [指定產出使用者電腦安全檢測調查表PDF]」、「執行 [指定產出組態設定安全檢測調查表PDF]」、「執行 [指定產出目錄伺服器安全檢測調查表PDF]」、「執行 [指定產出網路惡意活動檢視調查表PDF]」這幾項功能,指定要將「表單回應 #」工作表的第幾筆資料重新產出PDF並寄發通知信。
技術檢核所需資料
四份文件為「教育部資通安全稽核計畫」附件 3「技術檢測基本資料調查表」所涵蓋資安健診的四類項目資料,做為技術檢核前被要求提供資料之調查與自評用途,應該是分別由單位內負責 [使用者電腦安全]、[GCB組態設定]、[目錄伺服器安全]、[網路惡意活動檢視]等工作的同仁進行填答。若貴單位當年度被列入「教育部資通安全稽核計畫」指定稽核名單內,就必須將全部的填答資料彙整提供出來。
寄送調查資料至ISCB資安驗證中心
(被通知排定技術檢核前三週)
(被通知排定技術檢核前三週)
"網路架構"及"物聯網"檢測所需資料調查
建立副本
由於"網路架構"及"物聯網"檢測所需資料調查不容易以Google表單方式進行,這部份的資料直接編輯 Google試算表內容較為方便。
將這個Google試算表「技術檢核["網路架構"及"物聯網"檢測]所需資料調查」建立副本到你自己的雲端硬碟。
設定共同編輯
這部分要填報的資料包含各類服務主機資訊、防護主機資訊、核心網路設備資訊、線路資訊、網段資訊、使用者電腦網段配置、物聯網設備資訊,應該是邀請各業務負責人來共同編輯。
在Google雲端硬碟的這個試算表「技術檢核["網路架構"及"物聯網"檢測]所需資料調查」檔案上按滑鼠右鍵,進入 [共用] 設定,進行 [新增使用者],把各業務負責人加入成為 [編輯者]。
發出通知信
點選「通知 [共同編輯此試算表的業務負責人]」這項功能,前述設定對這個試算表有編輯權限的人員信箱清單就會在此自動帶入(但仍可編輯更改成只寄給部分人員),按下 [確認] 就會自動寄出通知信,讓業務負責人員知道可共同編輯的試算表網址,也提醒他們可以參考下列的編輯操作介紹。
若出現最後一個畫面的警示訊息,不明原因造成無法執行,請確定瀏覽器只有登入一個Google帳號,或改在無痕模式下登入,再試試看,若仍無法正常執行就複製下方內容自行寄信通知吧!!
編輯操作介紹
填寫步驟
某一類型的資料筆數不超過既有列數的話,就直接在A欄 [勾選] 核取方塊,C欄的預設資料就會清空,然後自行在每一格輸入資料。
沒有勾選A欄核取方塊,將視為只是舉例的資料留著,最後輸出成文件時會略過。
我們曾經遇過不明原因造成此功能無法執行,但也不影響後續功能的執行。若你也剛好遇到無法執行的情況,就請複製內容自行寄信通知吧。
項次增加
某一類型的資料筆數會超過既有列數的話,先在左側選取要複製的列數,按滑鼠右鍵進行 [向下插入#列]。再從左側選取要複製的範圍進行 [複製],然後再選取剛剛插入的空白列範圍,直接以鍵盤輸入組合鍵 [Ctrl] + [V] 複製過來,然後就比照前一步驟自行在每一格輸入資料。
輸出文件方式
輸出文件
點選「輸出 [技術檢核所需這部分資料調查文件]」這項功能,執行過程會整個掃描每一筆筆記錄輸出成Google文件,執行完成會在右下方出現提示訊息。
請至Google雲端硬碟查看由程式建立的文件檔,自行開啟該文件進行版面編排。
調整部分版面編排
再來到雲端硬碟查看新建立的Google文件檔,可以看到試算表裡面填寫的資料 (舉例資料及空白列皆略過 )已經全部輸出到文件上,再稍微調整部分版面編排後就可以直接將文件列印出來囉。
因為無法完全程式自動化調整到位,還有需要手動調整的地方就跟前面的調整部分版面編排、調整頁首頁尾內容的做法差不多,就是將表格標題字體大小位置調整一下,有必要也請自行[插入][頁碼],最後一部分列出承辦人用印之處也依實際需要格式自行調整,版型文件中的[頁首]預設內容,請自行進入調整文件名稱、編號、版次。[頁尾]預設內容,請自行進入調整單位名稱。[頁首格式]及[頁尾格式]也可自行調整,譬如把頁首、頁尾的邊界都設定為0就能保留更多空間做為內文範圍。
寄送調查資料至ISCB資安驗證中心
(被通知排定技術檢核前三週)
(被通知排定技術檢核前三週)