Embedded Files
⭐4.3
是否建立風險準則且執行風險評估作業,並針對重要資訊資產鑑別其可能遭遇之風險,分析其喪失機密性、完整性及可用性之衝擊?
是否建立風險準則且執行風險評估作業,並針對重要資訊資產鑑別其可能遭遇之風險,分析其喪失機密性、完整性及可用性之衝擊?
⭐4.4
是否訂定風險處理程序,選擇適合之資通安全控制措施,且相關控制措施經權責人員核可?是否妥善處理剩餘之資通安全風險?
是否訂定風險處理程序,選擇適合之資通安全控制措施,且相關控制措施經權責人員核可?是否妥善處理剩餘之資通安全風險?
基本分
檢視【資通系統、資訊資產風險評估方法說明】,檢視【宣導或教育訓練紀錄】或【管審會議紀錄】規劃進行「全校」資訊資產風險評鑑。
再加分
⭐7.1
是否針對全部核心資通系統定期辦理弱點掃描? (A級機關:每年2次;B級機關:每年1次;C級機關:每2年1次)
是否針對全部核心資通系統定期辦理弱點掃描? (A級機關:每年2次;B級機關:每年1次;C級機關:每2年1次)
基本分
檢視【弱點掃描報告(重點摘要)】已有部分系統執行
再加分
檢視【弱點掃描報告(重點摘要)】查證「全部」核心資通系統已執行並符合A/B/C級別應為頻率
👏🏽7.2
是否針對全部核心資通系統定期辦理滲透測試? (A級機關:每年1次;B、C級機關:每2年1次)
是否針對全部核心資通系統定期辦理滲透測試? (A級機關:每年1次;B、C級機關:每2年1次)
不列入基本評分
外加分數
檢視【滲透測試報告(重點摘要)】查證核心資通系統曾執行
👏🏽7.3
是否定期辦理資通安全健診,包含網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆設定檢視等? (A級機關:每年1次;B、C級機關:每2年1次)
是否定期辦理資通安全健診,包含網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆設定檢視等? (A級機關:每年1次;B、C級機關:每2年1次)
不列入基本評分
外加分數
檢視【資安健診報告(重點摘要)】查證資通系統所在環境已著手執行
👏🏽7.4
是否針對安全性檢測及資通安全健診結果執行修補作業,且於修補完成後驗證是否完成改善?
是否針對安全性檢測及資通安全健診結果執行修補作業,且於修補完成後驗證是否完成改善?
不列入基本評分
外加分數
檢視【相關會議紀錄或呈報資安長修補作業的簽呈等】,是否已依檢測結果,完成修補作業並且驗證改善弱點。
👏🏽7.6
是否完成資通安全弱點通報機制(VANS)導入作業,並持續維運及依主管機關指定方式提交資訊資產盤點資料? (A、B級公務機關應於111年8月22日前或核定後1年內完成;C級公務機關應於112年8月22日前或核定後2年內完成)
是否完成資通安全弱點通報機制(VANS)導入作業,並持續維運及依主管機關指定方式提交資訊資產盤點資料? (A、B級公務機關應於111年8月22日前或核定後1年內完成;C級公務機關應於112年8月22日前或核定後2年內完成)
不列入基本評分
外加分數
檢視【VANS建置相關佐證資料】查證已著手執行
⭐7.8
是否完成下列資通安全防護措施?
防毒軟體 ABCD級
網路防火牆 ABCD級
電子郵件過濾機制 ABC級
入侵偵測及防禦機制 AB級
應用程式防火牆(具有對外服務之核心資通系統者) AB級
進階持續性威脅攻擊防禦 A級
是否完成下列資通安全防護措施?
防毒軟體 ABCD級
網路防火牆 ABCD級
電子郵件過濾機制 ABC級
入侵偵測及防禦機制 AB級
應用程式防火牆(具有對外服務之核心資通系統者) AB級
進階持續性威脅攻擊防禦 A級
基本分
檢視【函文】要求「全校」資通系統設置防毒軟體及網路防火牆
再加分
檢視【佐證】啟用IDS/IPS或WAF或APT等資安防護措施(A、B級學校應符合級別要求),並持續使用及適時進行軟硬體之必要更新或升級。
⭐7.9
是否針對電子郵件進行過濾,且定期檢討及更新郵件過濾規則?是否針對電子郵件進行分析,主動發現異常行為且進行改善(如針對大量異常電子郵件來源之IP位址,於防火牆進行阻擋等)?
是否針對電子郵件進行過濾,且定期檢討及更新郵件過濾規則?是否針對電子郵件進行分析,主動發現異常行為且進行改善(如針對大量異常電子郵件來源之IP位址,於防火牆進行阻擋等)?
基本分
檢視【佐證】公務電子郵件系統具備過濾機制
再加分
檢視【最近一次郵件過濾器更新紀錄】查證定期更新過濾規則
👏🏽7.11
是否建立網路服務安全控制措施,且定期檢討?是否定期檢測網路運作環境之安全漏洞?
是否建立網路服務安全控制措施,且定期檢討?是否定期檢測網路運作環境之安全漏洞?
基本分
檢視【網路管理程序書修訂紀錄及修正對照表】確認具備網路區隔及防火牆規定等網路服務安全控制措施
再加分
檢視【最近一次的網路安全漏洞檢測或相關會議紀錄】確認至少「骨幹」網路設備定期檢測
👏🏽7.12
是否已確實設定防火牆並定期檢視防火牆規則,DNS查詢是否僅限於指定DNS伺服器?有效掌握與管理防火牆連線部署?
是否已確實設定防火牆並定期檢視防火牆規則,DNS查詢是否僅限於指定DNS伺服器?有效掌握與管理防火牆連線部署?
基本分
檢視【最近一次的防火牆規則更新或相關會議紀錄】確認核心系統或向上集中系統環境所在防火牆規則定期檢視
再加分
檢視【宣導或函文】推動「全校」公務電腦之DNS查詢限定措施(例如宣導使用指定DNS清單、DNS查詢使用端口納入規則清單或限制53 port連線對象等)
👏🏽7.14
網路架構設計是否符合業務需要及資安要求?是否依網路服務需要區隔獨立的邏輯網域(如DMZ、內部或外部網路等),且建立適當之防護措施,以管制過濾網域間之資料存取?
網路架構設計是否符合業務需要及資安要求?是否依網路服務需要區隔獨立的邏輯網域(如DMZ、內部或外部網路等),且建立適當之防護措施,以管制過濾網域間之資料存取?
基本分
檢視【網路架構圖】完成內外網區隔(核心系統應於獨立內部網段)
再加分
檢視【最近一次的內外網管制檢視或相關會議紀錄】確認具適當防護措施(例如遮蔽機敏資訊後的防火牆規則清查紀錄)
👏🏽7.15
是否針對機關內無線網路服務之存取及應用訂定安全管控程序,且落實執行?
是否針對機關內無線網路服務之存取及應用訂定安全管控程序,且落實執行?
基本分
檢視【網路管理程序書修訂紀錄及修正對照表】確認具備無線網路存取控制措施
再加分
檢視【佐證】無線網路服務為非開放式、限定校內帳號存取
Page updated
Report abuse