依據「資通安全實地稽核項目」的「6.3訂定內部資通安全稽核計畫,包含稽核目標、範圍、時間、程序、人員等,且落實執行?」,既然作業指引建議由行政單位或就資通系統(保有個人資料)風險高低、教學單位特性評估訂定推動先後順序分年分階段規劃辦理內部稽核並且規劃及執行稽核發現事項改善措施,那就應該在內部稽核計畫明確訂定逐年進行範圍直到全校完成稽核。
若將「資通安全實地稽核項目檢核表」視為題庫來看,當然校內各單位都應該努力朝符合要求的方向努力,落實相關的資安管理作為,期待能在稽核時少點缺失順利通過。
依據作業指引分年分階段規劃辦理內部稽核,在此之前更是要讓全校人員都能開始重視資安管理,像是新進人員資安宣導、資安通識教育訓練、落實辦公室資安管理措施、社交工程演練、落實資安事件通報。近年來多數資安事件都發生於一般人員對於資訊安全知識認知不足、使用雲端服務收集個人資料卻未做好管控或是公務個人電腦安裝非公務用軟體等等問題,這些缺失都可以透過落實新進人員資安宣導,每年接受三小時以上資通安全通識教育訓練、社交工程演練來強化人員對資訊安全知識的認知,來避免資安事件發生。
行政院資通安全處訂定「新進人員資安宣導單」,如果只是將宣導內容公告,如何確認新進人員確實接收相關訊息呢? 所以,採用表單填答並將實施人次統計以圖表呈現是更為積極的管理作為。
教育部對近期重大資通安全事件進行相關根因分析,其中一項為「人員未經適當資安教育訓練」。所以,必須要求全面落實一般使用者及主管每年須完成資安通識教育訓練3小時(數位課程為主)。
行政院資通安全處提醒機關使用雲端硬碟服務可能受害,應檢視使用公有雲之必要性。既然單位內有使用需求,不可能禁止的情況下,可以尋找適當的工具強化權限管控並加以宣導,才是積極的管理作為。
教育部訂定「學校使用資通系統或服務蒐集及使用個人資料注意事項」,其中提到的一些問題是操作錯誤造成的,所以我們立即製作一個教學網站強化宣導操作實務(YouTube),以降低個資外洩資安風險。
行政院資通安全處提醒有多起利用社交工程郵件夾帶微軟Office文件並開啟巨集功能下載惡意程式之攻擊手法,可預期未來還有一些新的社交工程伎倆,建置主題網站持續強化宣導是不能鬆懈的。
臺北市政府為最先訂定「使用即時通訊軟體參考指引」的公務機關,因為使用像是LINE這樣的即時通訊系統處理公務有一些資安疑慮,既然不可能禁止使用,就必須加強宣導使用LINE應有的資安觀念。
歡迎使用教育機構資安驗證中心設計的內部稽核表單
依據全校落實資通安全管理之優先執行策略(PDF、Google docs) ,資安驗證中心有針對【一般人員】、【委外承辦人員】、【系統管理員】、【核心系統管理員】、【系統開發人員】設計了相關的稽核表單,這些表單除了列入各類人員的檢核項目,在各項說明亦提示相關的程序書、函文規定等參考資訊,導引內部稽核人員向受稽人員提出要求查閱佐證資料,而且採用電子表單記錄稽核發現也能在最後彙整時更有效率,稽核執行小組工作人員可以從試算表快速整理出最終稽核結果。
歡迎使用教育機構資安驗證中心設計的檢核自評工具
依據「資通安全實地稽核項目檢核表」,教育機構資安驗證中心將檢核項目設計成「實地稽核[資通安全稽核項目]自評」Google表單並加以開放,任何人都可移植到自己的雲端硬碟執行,機關的資安專責人員就能自行使用其建立的表單進行填寫。由於其中有不少項目在檢核時亦需參考機關內的核心系統防護基準控制措施執行狀況,以確認是否符合資通安全責任等級分級辦法附表十的防護基準要求,所以另外還有「實地稽核[資通系統防護基準]自評」Google表單讓每個核心資通系統的管理員可以填答,透過整合呈現稽核項目的關聯全貌,將有助於受稽單位與稽核委員進行稽核過程更順暢。
另外,在實地稽核前先進行的技術檢核,所需資料調查有四個Google表單,應該是分別由單位內負責 [使用者電腦安全]、[GCB組態設定]、[目錄伺服器安全]、[網路惡意活動檢視]等工作的同仁進行填答。由於"網路架構"及"物聯網"檢測所需資料調查不容易以Google表單方式進行,這部份的資料直接編輯 Google試算表內容較為方便。
