開放使用資安教材
資安法及相關子法
108年1月1日開始實施的「資通安全管理法」及相關子法,規範機關必須執行的資安管理作為,從下列心智圖了解這些法規條文重點與關聯是最快的方式(心智圖下方的左右鍵可切換聚焦範圍觀看關聯條文、並提供條文相關資訊超連結),任何機關執行資安管理都必須對這些重點有充分認識與掌握。
教育部實地稽核計畫
由教育機構資安驗證中心協助擬定的「教育部實地稽核計畫」,第13~28頁「資通安全實地稽核項目檢核表」及第62~73頁「資通系統防護基準實施情形調查」是直接引用行政院版本,機關內的資安管理作為應特別注意是否符合檢核項目要求。
若將「資通安全實地稽核項目檢核表」視為題庫來看,當然是應該努力朝符合要求的方向努力,落實相關的資安管理作為,期待能在稽核時少點缺失順利通過。
依據「資通安全實地稽核項目檢核表」,教育機構資安驗證中心將檢核項目設計成「實地稽核[資通安全稽核項目]自評」Google表單並加以開放,任何人都可移植到自己的雲端硬碟執行,機關的資安專責人員就能自行使用其建立的表單進行填寫。由於其中有不少項目在檢核時亦需參考機關內的核心系統防護基準控制措施執行狀況,以確認是否符合資通安全責任等級分級辦法附表十的防護基準要求,所以另外還有「實地稽核[資通系統防護基準]自評」Google表單讓每個核心資通系統的管理員可以填答,透過整合呈現稽核項目的關聯全貌,將有助於受稽單位與稽核委員進行稽核過程更順暢。
另外,在實地稽核前先進行的技術檢核,所需資料調查有四個Google表單,應該是分別由單位內負責 [使用者電腦安全]、[GCB組態設定]、[目錄伺服器安全]、[網路惡意活動檢視]等工作的同仁進行填答。由於"網路架構"及"物聯網"檢測所需資料調查不容易以Google表單方式進行,這部份的資料直接編輯 Google試算表內容較為方便。
稽核項目的各類主題教材
資安管理專業訓練教材
關注資安新興議題
依據資安治理成熟度其中一個題項「納入資安新興議題於年度業務項目」,達到成熟度2之條件是要針對納入考量之資安新興議題之年度業務項目,規劃執行因應措施。最基本的做法,就是要加強關注行政院資通安全處或其他機關的資安議題相關函文,從這些外來文件提到的議題著手,針對各項議題規劃因應措施。
各項議題,都應該規劃能真正降低資安風險且具推動可行性的因應措施,最怕的就是資安窗口僅將函文轉發公告,在單位內不夠積極推動而無法掌握執行成效。以下做法提供大家參考看看~
行政院資通安全處訂定「新進人員資安宣導單」,如果只是將宣導內容公告,如何確認新進人員確實接收相關訊息呢? 所以,採用表單填答並將實施人次統計以圖表呈現是更為積極的管理作為。
行政院資通安全處提醒機關使用雲端硬碟服務可能受害,應檢視使用公有雲之必要性。既然單位內有使用需求,不可能禁止的情況下,可以尋找適當的工具強化權限管控並加以宣導,才是積極的管理作為。
教育部訂定「學校使用資通系統或服務蒐集及使用個人資料注意事項」,其中提到的一些問題是操作錯誤造成的,所以我們立即製作一個教學網站強化宣導操作實務(YouTube),以降低個資外洩資安風險。
行政院資通安全處提醒有多起利用社交工程郵件夾帶微軟Office文件並開啟巨集功能下載惡意程式之攻擊手法,可預期未來還有一些新的社交工程伎倆,建置主題網站持續強化宣導是不能鬆懈的。
臺北市政府為最先訂定「使用即時通訊軟體參考指引」的公務機關,因為使用像是LINE這樣的即時通訊系統處理公務有一些資安疑慮,既然不可能禁止使用,就必須加強宣導使用LINE應有的資安觀念。
行政院要求各機關資通訊相關採購案應參考公共工程委員會「投標須知範本」及「資訊服務採購契約範本」,落實「資訊服務採購案之資安檢核事項」相關要求。(我們特別整理出標示註解的範本PDF檔)
教育部對近期重大資通安全事件進行相關根因分析,其中一項為「人員未經適當資安教育訓練」。資訊人員應包含負責資通系統委外開發的業務單位人員,每2年須完成資安專業教育訓練3小時。
教育部對近期重大資通安全事件進行相關根因分析,其中一項為「人員未經適當資安教育訓練」。所以,必須要求全面落實一般使用者及主管每年須完成資安通識教育訓練3小時(數位課程為主)。
行政院要求110年底前完成汰換所使用或採購大陸廠牌資通訊產品,要說服各單位盡快執行汰換,除了發出公文通告,並建置主題網站持續強化宣導,讓大家都能認識這類產品的風險,以及明確的管控程序。
持續關注數位發展部資通安全署網站
該網站「資安法規專區」公告的最新說明
該網站「資通安全管理法常見問題」之更新內容