資安管理法

數位發展部資通安全署-資通安全會報

資通安全網路月報(109年12月)

https://moda.gov.tw/ACS/press/report/852

資通安全網路月報(109年12月)

<近期政策重點>

  • 一、為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險,本院於109年12月18日通函重申各公務機關使用資通訊產品(含軟體、硬體及服務)相關原則,重點摘陳如下:

    • (一)公務用之資通設備不得使用中國大陸廠牌,且不得安裝非公務用軟體。

    • (二)個人資通設備不得處理公務事務,亦不得與公務環境介接。

    • (三)各機關應就已使用或採購之中國大陸廠牌資通訊設備列冊管理,且不得與公務環境介接,並儘速汰換。

  • 二、其中,針對上述個人資通設備部分,機關應落實要求大陸廠牌資通訊產品一律禁止處理公務事務或介接公務環境;另,考量機關內部業務實務運作,目前多有透過個人資通訊產品處理公務事務之需求,如收發電子郵件或使用即時通訊軟體等,爰建議如下:

    • (一)各機關應掌握同仁使用情形並適度管控,如採報備制方式了解同仁使用狀況。

    • (二)應強化設備安全性設定、落實定期更新及提升人員資安意識。

  • 三、為利與各機關資通安全長(以下簡稱資安長)溝通本案,本院於109年12月25日召開國家資通安全會報第36次委員會議(擴大會議),責請各機關配合落實辦理下列事項:

    • (一)擴大盤點:請各公務機關擴大盤點機關內部、委外廠商及分包廠商所使用之大陸廠牌資通訊產品。

    • (二)限期汰換:請所有公務機關於110年底前完成汰換大陸廠牌資通訊產品,且汰換前不得與公務環境介接。

    • (三)後續本院資通安全處將協調工程會、工業局及國發會等機關(單位)研議以共同供應契約(以下簡稱共契)作為白名單機制之可行性及相關配套作法,並要求公務機關原則僅能採購共契之品項。



資通安全網路月報(110年11月)

https://moda.gov.tw/ACS/press/report/874

資通安全網路月報(110年11月)

本院於12月7日召開國家資通安全會報第38次委員會議(擴大會議),會中宣達重要事項如下,請各機關配合辦理:

  • 一、優先採購國內資安自主產品,提升機關資安防護能量之際,亦能促進國內資安產業商機。

  • 二、落實原則禁止遠端連線、導入資安弱點通報及端點偵測機制、敏感資訊加密儲存及傳輸、確實設定防火牆、不使用弱密碼或預設密碼、系統上線或更版前辦理安全驗測、資安事件依限通報等配合事項。

  • 三、落實辦理資安防護及事件通報應變,並就有功人員予以獎勵;另,針對未落實管理規範而發生資安事件,或資安事件延遲通報等情形,應依法懲處。

  • 四、依資通安全管理法規定要求,優先補足資安人力。

  • 五、檢視與所屬機關有無系統重複建置情形,應由單一機關提供系統予所屬機關(單位)共用。

  • 六、確認國家資通安全發展方案(110年至113年)中,110年各項具體措施之達成情形,及規劃111年相關應處作為,並請注意資安法子法修法重點。

  • 七、於111年6月底前確認所管關鍵基礎設施提供者及公營事業設置資安長,並將資安專責人力調整為資安專職人力。

  • 八、定期填報大陸廠牌資通訊產品清冊、落實視訊會議及即時通訊軟體使用安全等項,以降低資安風險。

  • 九、於辦理相關資訊服務採購時,應於各階段加強各項資安作為,並定期對委外廠商辦理稽核;另請參考最新版資訊服務採購契約範本,於110年12月底前將資安相關要求納入契約規範。


資通安全網路月報(110年12月)

https://moda.gov.tw/ACS/press/report/876

資通安全網路月報(110年12月)

<近期政策重點>

110年政府機關屢次發生因使用如身分證字號、生日、電話,抑或是123456等簡單規則之弱密碼,導致資通系統遭破解後,機關敏感資訊外洩,請各機關落實下列資安防護措施:

  • 一、資通系統均禁止使用弱密碼,請依循GCB密碼原則。

  • 二、評估重要資通系統採用多因子驗證機制,如搭配手機一次性驗證碼(OTP)等。

  • 三、帳號多次登入錯誤應有鎖定機制,並應向系統管理者發出告警訊息。


資通安全網路月報(110年3月)

https://moda.gov.tw/ACS/press/report/858

資通安全網路月報(110年3月)

<近期政策重點>

本院前於109年12月18日函請各公務機關於110年底前完成汰換所使用或採購大陸廠牌資通訊產品(含硬體、軟體及服務)作業,並於110年1月間配合盤點全機關、委外廠商及其分包廠商所使用或採購上述資通訊產品事宜,截止至3月1日,各機關填報情形重點摘陳如下:

  • 一、大陸廠牌資通訊產品盤點情形
    目前已有99%公務機關完成上述填報作業,其中有2,596個機關使用大陸廠牌資通訊產品(含其委外廠商所使用之產品)數量約有19,256個,另,因部分學校單位之資訊人員係由教師兼任,除平日教學外,尚有校務事務待處理,爰約有1%未完成填報作業(詳如表1)。

  • 二、大陸廠牌資通訊產品使用現況
    針對機關所盤點之大陸廠牌資通訊產品中,軟體、硬體、服務及其他之比例最高廠牌(類型)依序分別如下(詳如表2):



    • (一)軟體:電子書籍、古代書籍及近代期刊等資料庫。


    • (二)硬體:深圳大疆創新科技有限公司(DJI)、普聯技術有限公司(TP-Link)及杭州海康威視數位技術股份有限公司(Hikvision)。


    • (三)服務:駐外館處使用之電信服務、兩岸法律政策研究,以及活動宣傳等服務。


  • 註:表2為本次盤點大陸廠牌資通訊產品統計情形,後續將由本院資安處綜整評估各機關填報內容之妥適性後,另案通知各機關本院評估結果。

  • 三、公務機關使用大陸廠牌資通訊產品之分析說明
    公務機關使用大陸廠牌資通訊產品之用途,在軟體部分,主要多為研究單位及學校進行歷史研究及各領域之教學所用;硬體部分多用於教學、土地勘查、小型簡易辦公環境之連網需求及公務實體環境之保全;服務部分多因為駐外館處地理環境及特殊情勢、兩岸法律政策研究,以及活動宣傳等需求。前揭機關採購或使用中國大陸廠牌資通訊產品,多因設備功能滿足需求、價格低廉且機關經費有限。