教育部110年12月30日臺教資(四)字第1100179797號函,訂定國立大專校院資通安全維護作業指引,推動全校落實資通安全管理法相關規定。
各校依資通安全管理法第10條訂定、修正及實施資通安全維護計畫,適用範圍應涵蓋全校各系、院、所教學單位及各行政單位,並應注意下列事項:
(一)資通安全長之配置
(二)資通安全推動組織
(三)資通系統及資訊之盤點
(四)內部資通安全稽核
111年10月12日補充教育機構資安驗證中心函文興計字第1111200182號文(111年3月25日補充教育機構資安驗證中心函文興計字第1111200045號文)之內容:
本中心(資安驗證中心)為協助各校落實上開作業指引,依教育部指引,並參考教育部實地檢核表項目、防護基準控制措施內容及實地稽核發現之經驗,修訂旨揭執行策略,供各校資安長與資安推動小組參考。
公文詳情請點此連結
全校落實資通安全管理之優先執行策略112年修訂版本(PDF、Google docs)
教育機構資安驗證中心協助教育部執行109至110年度、111至112年度資通安全實地稽核計畫,對於教育部部屬機關構及國立大專校院進行稽核,確認在資安法相關要求的法遵符合情形,以及資通安全維護計畫實施情形。實地稽核工作以「資通安全實地稽核項目檢核表」及「資通系統防護基準實施情形調查」為查檢項目,與行政院資通安全稽核所使用的版本相同,檢核表涵蓋了策略面、管理面及技術面,共9大構面115項檢核項目,防護基準包含78項控制措施。實地稽核工作以這些項目與控制措施作為查檢架構,受稽機關同樣也可依據這些項目,檢視機關內的資安管理作為是否已符合要求。
因此,教育機構資安驗證中心以國立大專校院資通安全維護作業指引為框架,並參考檢核表項目、防護基準控制措施內容、實地稽核發現之經驗,依人員的職務與責任整理應辦事項,提供各校落實全機關範圍導入ISMS執行策略之建議。
教育機構資安驗證中心依據前述作業指引,研擬全機關範圍導入ISMS建議優先落實之執行策略,提供各校參考。
(三) 資通系統及資訊之盤點
依據作業指引對全校資通系統進行盤點及風險評估之後,更重要的是系統管理人員、系統委外承辦人員、系統開發人員等三類人員必須充分認知與自身職責相關的稽核重點,進而落實相關資安工作。
(四) 內部資通安全稽核
依據作業指引分年分階段規劃辦理內部稽核,在此之前更是要讓全校人員都能開始重視資安管理,像是新進人員資安宣導、資安通識教育訓練、落實辦公室資安管理措施、社交工程演練、落實資安事件通報。
實地稽核中常見的缺失如:資安推動組織未涵蓋所有單位、組織成員非一級主管、組織架構未完善;核心系統盤點與分級之適切性,以及是否納入ISMS範圍;備份、備援與回復機制的完善、合理性;營運衝擊分析與業務持續運作計畫適切性;資訊或資安經費占比偏低、在專職人力配置、相關證照與教育訓練不足;委外合約中未將防護需求等級、安全系統發展生命週期、對委外廠商之資安要求、監督等項目納入規範;系統身分驗證資訊未遮蔽、使用者帳號清查與權限控管、未限制登入嘗試等。這些稽核發現,也與「國立大專校院資通安全維護作業指引」關注的面向有不少重疊,唯有進一步執行前述優先落實執行策略,才能有效提升全校資安管理意識。