全校資通系統盤點過程,建議可由計資中心人員協助各單位系統管理人進行資訊資產盤點及風險評估作業,進一步也要針對系統管理人員、系統委外承辦人員、系統開發人員等三類人員進行教育訓練,充分認知與自身職責相關的稽核重點,進而落實相關資安工作。
1.資通安全法則遵循
2.委外辦理之管理措施
3.資通系統防護基準
4.安全系統發展生命週期
系統管理人員
系統管理人員
【系統管理人員】應注意檢核表「第7構面資通安全防護及控制措施」要求事項,例如系統的防護基準與安全健診、資訊資產與實體環境管理等。
教育機構資安驗證中心針對檢核表第7構面要求事項設計此宣導簡報,歡迎各校加以利用,讓系統管理人員能充分了解如何進行必要的資安管理工作。
系統委外承辦人員
系統委外承辦人員
依據「資通安全管理法FAQ」的3.18解釋「資通安全專責人員以外之資訊人員」包含 "業務單位"負責資通系統"委外"的承辦人員,也就是各業務部門已有或即將辦理資通系統委外案的人員都視為廣義的資訊人員。
【系統委外承辦人員】應注意檢核表「第5構面資通系統或服務委外辦理之管理措施」要求事項,在擬定委外作業徵求說明書(RFP)時,應將防護基準需求納入。
特別提醒:依據行政院秘書長110年7月13日院臺護長字第1100177483號函,要求各機關資通訊相關採購案,應參考公共工程委員會「投標須知範本」及「資訊服務採購契約範本」,落實「資訊服務採購案之資安檢核事項」相關要求。
系統開發人員
系統開發人員
【系統開發人員】應注意檢核表「第8構面資通系統發展及維護安全」要求事項,資通系統開發過程依安全系統發展生命週期(SSDLC)納入資安要求,若是委外開發則應納入委外契約。