依據「資通安全實地稽核項目」的「2.4成立資通安全推動組織,負責推動、協調監督及審查資通安全管理事項?推動組織層級之適切性,且業務單位是否積極參與?」,各單位主管不只應參與資通安全推動相關會議,更重要的是在單位內必須有積極的資安推動作為,督導單位人員落實下列五大資安工作重點。

  1. 資安文件:主管應要求單位自建或委外開發系統(包含APP)之負責人員應落實建立資安管控文件。

  2. 落實資安:主管應要求單位內落實辦公室資安管理措施,並張貼海報強化宣導效果。

  3. 教育訓練:主管應要求單位內人員達成必要的資安通識、資安專業訓練

  4. 採購規範主管應要求單位內辦理採購資通系統與服務委外業務者善盡風險評估及受託者選任監督相關措施。

  5. 配合稽核主管應要求單位內人員配合稽核並定期追蹤改善情形

以上建議主管應督導單位人員落實五大資安工作重點,是資安驗證中心逐一分析「資通安全實地稽核項目」整理出來的,建議校方應落實對單位主管宣導,並且在實地稽核時能提出相關作為佐證資料供稽核委員查閱。

資通安全實地稽核檢核項目各類重點 (單位主管應掌握)

教育機構資安驗證中心針對主管應督導單位人員落實五大資安工作重點設計此宣導簡報,歡迎各校加以利用,讓單位主管能充分了解如何進行必要的資安作為。

除了提供宣導簡報,我們也拍攝了這部分的宣導影片,各校也可以直接提供給單位主管線上觀看,配合宣導簡報觀看能更快對自己的責任有所了解。

特別提醒:公務機關所屬人員資通安全事項獎懲辦法於109年修正第四條懲處條文,增訂第四款對業務督導不力,致其屬員、所屬或所監督機關之人員有前三款情形之一。」,即是要求主管應善資安督導工作,若有違反資安規範情節重大導致評定績效不良,懲處主管。