稽核分析

1. 1. 1. 若委外單位已有ISMS文件與經驗，則以委外單位之資產清冊進行資產、資通系統盤點，並確認資料有效性；若委外單位尚未有ISMS文件與經驗，請依國教體系ISMS文件之「ISMS-2-001資訊資產管理程序書」落實盤點人員類、資訊類、硬體類、軟體類、環境保護類之資訊資產。

      2. 應確實盤點資產建立清冊，並定期更新資產清冊，委外單位若無ISMS文件與經驗，請參考國教體系ISMS文件之「ISMS-2-001-01資訊資產清冊」並定期更新與維護之。

🔸 資訊資產分類：

1. 人員類：編制內人員、臨時鐘點人員、委外受託單位/駐點人員、委外委託單位

範例—正式編制人員、臨時人員、工讀生、專案人員、委外受託單位……等。

2. 資訊類：作業文件、系統文件、契約資通紀錄(電子/紙本)、系統紀錄(Log)
   範例：資料庫與資料檔案、備份資料、原始程式碼、網路架構圖、系統文件、操作或支援程序、使用手冊、教育訓練教材、管理制度文件、緊急應變& 復原計畫、營運持續計劃（BCP）、稽核日誌、契約與協議、報表、表單記錄……等。

3. 硬體類：個人電腦、可攜式電腦、伺服器、資安設備、網路設備、可攜式儲存媒體、電腦保護設施、其他硬體

範例：

• 一般硬體：包含電腦設備（伺服器、筆記型電腦、個人電腦、工作站）、 CD/DVD 燒錄器、CD/DVD 光碟機、磁帶機、軟碟機、投影機、PDA、印表機……等。

• 通訊設備：集線器、橋接器、網路交換器、路由器、數據機、電話自動交換機（PBX）、網路纜線、防火牆、入侵偵測系統、視訊會議設備、傳真機、手機。 

• 儲存媒體：CD/DVD（空白）、硬碟（無資料）、磁片（空白）、磁帶（空白）、移動式硬碟（空白）、錄音/影帶（無資料）……等。

4. 軟體類：作業系統、應用系統、套裝軟體、軟體開發工具、資通安全系統

範例：應用系統軟體、作業系統軟體、開發工具、套裝軟體、公用程式、防火牆軟體、防毒軟體、驗證軟體、資料庫管理系統(DBMS)、加密軟體、文件管理系統、內部開發程式、內部發展系統......等。

5. 環境保護類：一般辦公區域、特殊辦公區域、資通機房、倉庫、建築保護設施

範例：

• 建築類：電腦機房、會議室、辦公室、監控室、接待區、交貨區/裝載區……等。

• 環境保護設施：不斷電系統、第二電力供應迴路、穩壓器、機櫃、避雷裝置、警報系統、備用發電系統、環境控制系統（火偵測、熱偵測、水偵測、溫濕度偵測、自動消防滅火系統）……等。

🔸 資訊資產分級：

1. 機敏：

• 含機密或敏感資訊,僅提供少數相關業務承辦人員及其權責單位主管,或被授權之單位及人員使用。

• 發生資通安全事件可能造成未經授權之資訊揭露,對機關之營運、資產或信譽等方面將產生非常嚴重或災難性之影響。

• 資訊資產存取權限須經由高階主管核准同意。

2. 限閱：

• 含部分敏感資訊,僅供組織內部人員或被授權之外部單位使用。

• 發生資通安全事件可能造成未經授權之資訊揭露,對機關之營運、資產或信譽等方面將產生嚴重之影響。

• 資訊資產存取權限須經由權責單位主管核准同意。

3. 一般：

• 為一般性資料可對外公開,但須遵守相關發布流程。

• 發生資通安全事件可能造成未經授權之資訊揭露，對機關之營運、資產或信譽等方面將產生有限之影響。

• 資訊資產存取權限只須經由資訊資產使用者同意。

1. 1. 1. 若無ISMS文件與經驗，則可參考國教體系ISMS文件之「ISMS-2-007帳號密碼及存取控制管理程序書」第6.6.2節之帳號密碼使用管理原則，各資通系統管理者每年應審查所有系統使用者及管理者帳號一次，以確保所有帳號及存取權限之合法使用，並將查核結果記錄於「ISMS-2-007-03系統帳號審查紀錄單」中備查。

      2. 若委外單位已有ISMS文件與經驗，請比對管理文件是否有符合國教署管理文件之查核規定。

1. 1. 1. 系統具備帳號管理機制(申請、建立、修改、啟用、停用、刪除)。

      2. 定期檢視是否帳號異常建立、竄改或啟用等。

      3. 建立基準使用者設定檔並偵測異常行為，如以下操作：

• 在不尋常的時間嘗試登入

• 來自異常位置的登入嘗試

• 來自未知裝置的登入嘗試

1. 1. 4. 密碼複雜度包含長度限制及組成字元種類，強制密碼最短效其目的防止短期內頻繁變換密碼後又改回原始密碼，強制最常效期目的避免固定使用同一密碼。實務可參考政府組態基準建議值。

      5. 前3次舊密碼應被保留(以雜湊值形式)，設定新密碼若雜湊值同前則拒絕之。

      6. 系統應實作帳戶鎖定機制，於鎖定期間禁止該帳號所有登入嘗試，超過鎖定時間則重新計次。

詳細內容可參考👉資安技術分享 

1. 1. 1. 若委外單位無ISMS文件與經驗，則可參考國教體系ISMS文件之「ISMS-2-009資訊備份管理程序書」第6.5.6節配合相關作業，至少每年執行資料回復測試，以確認備份資料之可用性。並將測試結果紀錄於「ISMS-2-009-02備份資料回復測試紀錄表」。

      2. 若委外單位有ISMS文件與經驗，則以委外單位之ISMS文件作為稽核參考。

🔸資料備份

• 資料備份3-2-1原則

• 至少三份備份、分別放置兩種不同儲存媒體、一份存放於異地

🔸資料備份週期

• 視資料量成整速度、重要性、資料總量來制定備份週期。

• 備份週期直接與資通系統定義之RPO關聯。

• 備份週期關係到資源分配與備份成本。

🔸資料備份確認

• 國教體系「ISMS-2-009-01 資通系統備份計畫表」

🔸資通系統之備份涵蓋範圍

• 系統：系統設定檔、程式碼、資料庫、系統日誌等。

• 網通設備：交換器設定檔、防火牆設定檔、防火牆政策規則、

• 使用者個人資料：電子郵件資料庫、個人雲端文件庫

• 歷史資料：因法規或相關政策規範所必須留存之歷史資料。

1. 1. 1. 若委外單位無ISMS文件與經驗，則可參考國教體系ISMS文件之「ISMS-2-006網路安全管理程序書」第6.2.9.1節配合相關作業，依照資通安全責任等級A級之公務機關應辦事項規定，須依系統防護等級定期執行資通系統弱點掃描、滲透測試、源碼檢測、資安健診等安全性檢測作業，如業管單位未能依限改善，應填寫「ISMS-2-006-06安全性檢測風險處理單」，於處理說明補強措施，並簽陳國教署核可，以便進行追蹤列管，並留下處置紀錄。

      2. 若委外單位有ISMS文件與經驗，則以委外單位之ISMS文件作為稽核參考。

1. 1. 1. 目前中心已提供主機弱掃、網頁弱掃、源碼檢測服務。(由委外建置系統單位提出檢測需求，中心固定每個月執行主機弱掃、每半年執行源碼檢測，若檢測報告有中高風險，由各組承辦進行管考與追蹤)

1. 1. 1. 國教體系ISMS文件之「ISMS-2-012資訊業務委外作業管理程序書」第6.8.2節之規定，應依據與委外受託單位所簽訂契約或任何安全協議中所陳述之資通安全規範。

1. 1. 1. 該項目為2023年度新上榜的項目，主要是因要求上有做一些新增與調整，可參考上方【稽核常見】的說明，檢查委辦契約是否有加入或調整這些要求。

1. 1. 1. 若委外單位無ISMS文件與經驗，則可參考國教體系ISMS文件之「ISMS-3-001一般資通設備安全管理作業標準書」第5.3節規定，電腦使用者或管理者應定期更新作業系統及其它應用程式之弱點修補程式，並保持更新至最新狀態。

      2. 若委外單位有ISMS文件與經驗，則以委外單位之ISMS文件作為稽核參考。

應定期進行軟體元件漏洞修復與更新，包含作業系統、資通系統伺服器、開發框架，以及第三方函式庫等軟體元件。

可參考資安技術網頁的說明。