資安稽核是評估組織資訊安全措施和政策是否符合標準的關鍵程序。我們將2020至2023年的稽核缺失項目統計出前十項常見問題,並按角色分類,包括系統管理者、一般使用者/主管和開發人員,介紹這些問題和解決方案。通過了解問題根源並採取適當措施,組織可以增強資訊安全防護,降低風險。讓我們一同探索這些重要議題,確保組織內的資訊安全得到適當保護。
右側Sunburst動態圖表呈現系統管理者的常見缺失項目,您可以點選年度和主題進一步查看相關資訊。
在2023年,新增了履約檢核與督導管理以及身分驗證管理的項目,主要是因為今年度在這兩個要求上更加嚴謹。
在過去三年中,資產盤點清冊與更新這類的缺失較為普遍,於是,本計畫針對這方面加強教育訓練讓各統維運團隊的資產盤點管理更加落實,讓這方面的缺失數量逐年下降。其次,2020年教育訓練這類的缺失排名第二,同樣是加強教育訓練後,在2021、2022年此類缺失已不在前十名了。另外,在2020、2022年,契約簽訂這類的缺失位居前三名,這表示在契約方面存在一些瑕疵,其中最需要改善的就是資安防護需求應納入契約規範。
每一類常見缺失都應引以為鑑,先看看自己是否也犯了稽核常見的狀況。然後,就要基於自己遵循的ISMS制度(如自己學校的ISMS規範),查看程序書的相關條文,以及落實資安管理作為後留下的佐證文件,當然受委託的各團隊亦可遵循國教體系ISMS管理文件規範(展開觀看)。基本上,了解應遵循的程序及落實的做法之後,要達成合規的細節就參閱每一類最後的建議事項。
未執行資訊資產系統盤點作業。
資訊資產盤點作業應再落實,如未列出資訊系統、廠商人員、資料庫、跳板機等資訊資產。
未隨時維護更新資訊資產清冊及進行風險評估。
國教體系ISMS管理文件規範:
若委外單位已有ISMS文件與經驗,則以委外單位之資產清冊進行資產、資通系統盤點,並確認資料有效性;若委外單位尚未有ISMS文件與經驗,請依國教體系ISMS文件之「ISMS-2-001資訊資產管理程序書」落實盤點人員類、資訊類、硬體類、軟體類、環境保護類之資訊資產。
應確實盤點資產建立清冊,並定期更新資產清冊,委外單位若無ISMS文件與經驗,請參考國教體系ISMS文件之「ISMS-2-001-01資訊資產清冊」並定期更新與維護之。
建議事項:
🔸 資訊資產分類:
人員類:編制內人員、臨時鐘點人員、委外受託單位/駐點人員、委外委託單位
範例—正式編制人員、臨時人員、工讀生、專案人員、委外受託單位……等。
資訊類:作業文件、系統文件、契約資通紀錄(電子/紙本)、系統紀錄(Log)
範例:資料庫與資料檔案、備份資料、原始程式碼、網路架構圖、系統文件、操作或支援程序、使用手冊、教育訓練教材、管理制度文件、緊急應變& 復原計畫、營運持續計劃(BCP)、稽核日誌、契約與協議、報表、表單記錄……等。
硬體類:個人電腦、可攜式電腦、伺服器、資安設備、網路設備、可攜式儲存媒體、電腦保護設施、其他硬體
範例:
一般硬體:包含電腦設備(伺服器、筆記型電腦、個人電腦、工作站)、 CD/DVD 燒錄器、CD/DVD 光碟機、磁帶機、軟碟機、投影機、PDA、印表機……等。
通訊設備:集線器、橋接器、網路交換器、路由器、數據機、電話自動交換機(PBX)、網路纜線、防火牆、入侵偵測系統、視訊會議設備、傳真機、手機。
儲存媒體:CD/DVD(空白)、硬碟(無資料)、磁片(空白)、磁帶(空白)、移動式硬碟(空白)、錄音/影帶(無資料)……等。
4. 軟體類:作業系統、應用系統、套裝軟體、軟體開發工具、資通安全系統
範例:應用系統軟體、作業系統軟體、開發工具、套裝軟體、公用程式、防火牆軟體、防毒軟體、驗證軟體、資料庫管理系統(DBMS)、加密軟體、文件管理系統、內部開發程式、內部發展系統......等。
5. 環境保護類:一般辦公區域、特殊辦公區域、資通機房、倉庫、建築保護設施
範例:
建築類:電腦機房、會議室、辦公室、監控室、接待區、交貨區/裝載區……等。
環境保護設施:不斷電系統、第二電力供應迴路、穩壓器、機櫃、避雷裝置、警報系統、備用發電系統、環境控制系統(火偵測、熱偵測、水偵測、溫濕度偵測、自動消防滅火系統)……等。
🔸 資訊資產分級:
機敏:
含機密或敏感資訊,僅提供少數相關業務承辦人員及其權責單位主管,或被授權之單位及人員使用。
發生資通安全事件可能造成未經授權之資訊揭露,對機關之營運、資產或信譽等方面將產生非常嚴重或災難性之影響。
資訊資產存取權限須經由高階主管核准同意。
限閱:
含部分敏感資訊,僅供組織內部人員或被授權之外部單位使用。
發生資通安全事件可能造成未經授權之資訊揭露,對機關之營運、資產或信譽等方面將產生嚴重之影響。
資訊資產存取權限須經由權責單位主管核准同意。
一般:
為一般性資料可對外公開,但須遵守相關發布流程。
發生資通安全事件可能造成未經授權之資訊揭露,對機關之營運、資產或信譽等方面將產生有限之影響。
資訊資產存取權限只須經由資訊資產使用者同意。
委外系統應納入資安相關法規。
宜再確認委外合約之資安條款、違約罰則及個資保護之項目是否完備。
僅有申請機制,未簽約。
應再審視與委外廠商合約終止或解除時,廠商所留存機關系統機敏資料(如:備份檔、程式碼、組態檔...等)的處置要求與規範的適切性。
國教體系ISMS管理文件規範:
國教體系ISMS文件之「ISMS-2-012資訊業務委外作業管理程序書」第6.6.1.4節之規定,委外合約中應包含保密條款並簽署「保密同意書」,若須接觸機敏資訊時,應簽署「保密切結書」,並遵守相關法令法規及資通安全規範,有關同意書及切結書應採用公共工程委員會頒布之資訊服務採購契約範本之版本。
系統發展安全政策相關安全工程原則亦適用資通系統委外開發,並應納入合約規範並定期檢視,以確認供應商系統開發遵從相關安全程序與原則。[ISMS-2-008系統發展與維護管理程序書第6.2節]
建議事項:
🔸可於契約中加入下列文字:
1. 系統必須完全符合「資通安全責任等級分級辦法」附表十「資通系統防護基準」相關要求,且乙方應遵守資通安全管理法、其相關子法及行政院所頒訂之各項資通安全規範及標準,並遵守機關資通安全管理及保密相關規定。
2. 乙方應就承作本專案而蒐集、處理、利用之個人資料建構完備之資料控管保護機制,並遵守個人資料保護相關法令規定及資訊保密附加條款。
應依據與委外受託單位所簽訂契約或任何安全協議中所陳述之資通安全規範
受託機構應填寫「保密合約書」,相關人員均應簽訂簽訂「保密同意書」。
受託機構團隊成員不得為陸籍人士,並不得提供及使用大陸廠牌資通訊產品。
依「資通安全責任等級分級辦法」附表九「資通系統防護需求分級原則」載明資通系統防護需求等級(防護需求等級為普、中、高級),並依「資通安全責任等級分級辦法」附表十「資通系統防護基準」完成相對應防護需求等級之資通系統防護基準控制措施。
經費編列明細表及投標清單明列資訊及資安經費,並資安經費須占資訊經費百分之五估算。
受託機構執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應立即通知本署及採行之補救措施,提出緊急應變處置,並配合機關做後續處理;必要時,得由資通安全管理法主管機關於適當時機公告與事件相關之必要內容及因應措施,並提供相關協助。
國教體系ISMS管理文件規範:
國教體系ISMS文件之「ISMS-2-012資訊業務委外作業管理程序書」第6.8.2節之規定,應依據與委外受託單位所簽訂契約或任何安全協議中所陳述之資通安全規範。
建議事項:
該項目為2023年度新上榜的項目,主要是因條文上有做一些修改與增加要求,可參考上方【稽核常見】的說明,納入合約中。
(new)身分驗證管理:資通系統及委辦計畫團隊所在場域或執行計畫相關業務之個人電腦密碼設定
帳號管理:資通系統之管理權限帳號設定
帳號以8碼以上組成,需包含英文大、小寫、數字以上3種字元之其中2種。
帳號密碼不可相同。
不可使用鍵盤順序鍵(如:qwer)。
不可使用身分證字號。
身分驗證管理:資通系統之管理權限密碼設定
密碼以12碼以上組成,需包含英文大、小寫、數字、特殊符號以上4種字元之其中3種。
帳號密碼不可相同。
不可使用鍵盤順序鍵(如:qwer)。
建立帳號管理機制,包含帳號之申請、建立、修改、啟用、停用及刪除之程序。
具備帳戶鎖定機制,帳號登入進行身分驗證失敗達三次後,至少十五分鐘內不允許該帳號繼續嘗試登入或使用機關自建之失敗驗證機制。
使用密碼進行驗證時,應強制最低密碼複雜度;強制密碼最短及最長之效期限制。(對非內部使用者,可依機關自行規範辦理)
密碼變更時,至少不可以與前3次使用過之密碼相同。(對非內部使用者,可依機關自行規範辦理)
國教體系ISMS管理文件規範:
若無ISMS文件與經驗,則可參考國教體系ISMS文件之「ISMS-2-007帳號密碼及存取控制管理程序書」第6.6.2節之帳號密碼使用管理原則,各資通系統管理者每年應審查所有系統使用者及管理者帳號一次,以確保所有帳號及存取權限之合法使用,並將查核結果記錄於「ISMS-2-007-03系統帳號審查紀錄單」中備查。
若委外單位已有ISMS文件與經驗,請比對管理文件是否有符合國教署管理文件之查核規定。
建議事項:
系統具備帳號管理機制(申請、建立、修改、啟用、停用、刪除)。
定期檢視是否帳號異常建立、竄改或啟用等。
建立基準使用者設定檔並偵測異常行為,如以下操作:
在不尋常的時間嘗試登入
來自異常位置的登入嘗試
來自未知裝置的登入嘗試
密碼複雜度包含長度限制及組成字元種類,強制密碼最短效其目的防止短期內頻繁變換密碼後又改回原始密碼,強制最常效期目的避免固定使用同一密碼。實務可參考政府組態基準建議值。
前3次舊密碼應被保留(以雜湊值形式),設定新密碼若雜湊值同前則拒絕之。
系統應實作帳戶鎖定機制,於鎖定期間禁止該帳號所有登入嘗試,超過鎖定時間則重新計次。