全校資通系統盤點過程,建議可由計資中心人員協助各單位系統管理人進行資訊資產盤點及風險評估作業,進一步也要針對系統管理人員、系統委外承辦人員、系統開發人員等三類人員進行教育訓練,充分認知與自身職責相關的稽核重點,進而落實相關資安工作。

1.資通安全法則遵循

2.委外辦理之管理措施

3.資通系統防護基準

4.安全系統發展生命週期

基於檢核表「第7構面資通安全防護及控制措施」,學校必須對各單位建置的系統之系統管理人員進行重點宣導。基於檢核表「第5構面資通系統或服務委外辦理之管理措施」,負責資通系統或服務委外的承辦人必須知道如何具體要求委外廠商落實資安管理措施,學校必須對系統委外承辦人員進行重點宣導。基於檢核表「第8構面資通系統發展及維護安全」,必須要求系統開發人員落實安全系統發展生命週期(Secure Software Development Life Cycle, SSDLC)。

系統管理人員

【系統管理人員】應注意檢核表「第7構面資通安全防護及控制措施」要求事項,例如系統的防護基準與安全健診、資訊資產與實體環境管理等。

資通安全實地稽核檢核項目第七大類 (資安防護與控制)

教育機構資安驗證中心針對檢核表7構面要求事項設計此宣導簡報,歡迎各校加以利用,讓系統管理人員能充分了解如何進行必要的資安管理工作

系統委外承辦人員

依據「資通安全管理法FAQ」的3.18解釋「資通安全專責人員以外之資訊人員」包含 "業務單位"負責資通系統"委外"的承辦人員,也就是各業務部門已有或即將辦理資通系統委外案的人員都視為廣義的資訊人員。

【系統委外承辦人員】應注意檢核表「第5構面資通系統或服務委外辦理之管理措施」要求事項,在擬定委外作業徵求說明書(RFP)時,應將防護基準需求納入。

資通安全實地稽核檢核項目第五大類 (系統委外開發者)

教育機構資安驗證中心針對檢核表第5構面要求事項設計此宣導簡報,歡迎各校加以利用,讓系統委外承辦人員能充分了解如何進行必要的資安管理工作。

除了提供宣導簡報,我們也拍攝了這部分的宣導影片,各校也可以直接提供給系統委外承辦人員線上觀看,配合宣導簡報觀看能更快對自己的責任有所了解。

特別提醒:依據行政院秘書長110年7月13日院臺護長字第1100177483號函,要求各機關資通訊相關採購案,應參考公共工程委員會「投標須知範本」及「資訊服務採購契約範本」,落實資訊服務採購案之資安檢核事項相關要求。

公共工程委員會「投標須知範本

採購(投標須知範本1100730修正).pdf

公共工程委員會「資訊服務採購契約範本

採購(資訊服務採購契約範本1100409).odt

系統開發人員

【系統開發人員】應注意檢核表「第8構面資通系統發展及維護安全」要求事項,資通系統開發過程依安全系統發展生命週期(SSDLC)納入資安要求,若是委外開發則應納入委外契約。

資通安全實地稽核檢核項目第八大類 (系統開發SSDLC)

教育機構資安驗證中心針對檢核表第8構面要求事項設計此宣導簡報,歡迎各校加以利用,讓系統開發人員能充分了解如何進行必要的資安管理工作。

除了提供宣導簡報,我們也拍攝了這部分的宣導影片,各校也可以直接提供給系統開發人員線上觀看,配合宣導簡報觀看能更快對自己的責任有所了解。