依據「資通安全實地稽核項目」的「2.4成立資通安全推動組織,負責推動、協調監督及審查資通安全管理事項?推動組織層級之適切性,且業務單位是否積極參與?」,各單位主管不只應參與資通安全推動相關會議,更重要的是在單位內必須有積極的資安推動作為,督導單位人員落實下列五大資安工作重點。
Embedded Files
資安文件:主管應要求單位自建或委外開發系統(包含APP)之負責人員應落實建立資安管控文件。
落實資安:主管應要求單位內落實辦公室資安管理措施,並張貼海報強化宣導效果。
教育訓練:主管應要求單位內人員達成必要的資安通識、資安專業訓練。
採購規範:主管應要求單位內辦理採購資通系統與服務委外業務者善盡風險評估及受託者選任監督相關措施。
配合稽核:主管應要求單位內人員配合稽核並定期追蹤改善情形。
以上建議主管應督導單位人員落實五大資安工作重點,是資安驗證中心逐一分析「資通安全實地稽核項目」整理出來的,建議校方應落實對單位主管宣導,並且在實地稽核時能提出相關作為佐證資料供稽核委員查閱。
特別提醒:「公務機關所屬人員資通安全事項獎懲辦法」於109年修正第四條懲處條文,增訂第四款「對業務督導不力,致其屬員、所屬或所監督機關之人員有前三款情形之一。」,即是要求主管應善盡資安督導工作,若有違反資安規範情節重大或導致評定績效不良,應懲處主管。
Page updated
Report abuse