🚧持續更新🚧
組織與人員
Q1.專職人員/專責人員區別與配置說明?
專職人員:全職執行資通安全業務者。
專責人員:專責人力是指機關應有專人負責資通安全事務,並無全職投入人力之要求 。
Q2.如何知道本校屬於資通安全法責任分級中的哪一個等級?
公立學校依其被核定資安責任等級之規定。
私立學校依教育部指示比照C級特定非公務機關之規定。
Q3.符合ISMS全校導入的狀態為何?
全校各單位均依ISMS的規範完成PDCA的運作循環,並將相關記錄與佐證在資安專章或其附錄中呈現。
Q4.資安推動組織層級為何?
依據「國立大專校院資通安全維護作業指引」,宜由主任秘書以上人員兼任資通安全長,召集全校各一級單位主管或副主管組成。
Q5.資訊安全目標及衡量指標訂定的涵蓋範圍為何?
實施資通安全維護計畫,適用範圍應涵蓋全校各系、院、所教學單位及各行政單位(全校各單位),故宜全校各單位參與執行。在資訊安全目標及衡量指標訂定應包含全校性之項目。
Q7.資通安全責任等級分級辦法附表10所要求的資通系統應保存日 誌log之項目為何?
各機關於日常維運資通系統時,應訂定日誌之記錄時間週期及留存政策,並保留日誌至少6個月,其保存項目建議如下:
作業系統日誌(OS event log)
網站日誌(web log)
應用程式日誌(AP log)
登入日誌(logon log)
Q8.利害關係人有哪些?
ISO 27001:2013本文4及7.4 利害關係人指機關資通系統維運、資安推動所涉及的內外部 對象,包含上級/監督機關、所屬/所管機關、IT/OT、軟 硬體或資通服務(含SOC)供應商,及與機關連線作業單位等。
管理審查會議
Q1.管理審查會議參與人員應包含哪些?
如學校資安組織(如資安委員會)中,負有管理審查之責任,依該組織的規程辦理會議。(建議宜七成以上出席率。)
Q2.管理審查會議建議應包含哪些討論議題?
管理審查題應包含下列討論事項
1. 過往管理審查議案之處理狀態。
2. 與資通安全管理系統有關之內部及外部議題的變更,如法令變 更、上級機關要求、資通安全推動小組決議事項等。
3. 資通安全維護計畫內容之適切性。
4. 資通安全績效之回饋
A. 資通安全政策及目標之實施情形。
B. 資通安全人力及資源之配置之實施情形。
C. 資通安全防護及控制措施之實施情形。
D. 內外部稽核結果。
E. 不符合項目及矯正措施。
5. 風險評鑑結果及風險處理計畫執行進度。
6. 重大資通安全事件之處理及改善情形。
7. 利害關係人之回饋。
8. 持續改善之機會。
請參考數位發展部資通安全署
所提供的資通安全維護計畫範本。
資訊清單
Q1.資通系統及資訊之盤點範圍為何?
各校辦理資通系統及資訊之盤點,盤點範圍應包含全校各單位。因此除資訊單位系統外,其他單位 例如行政、教學、研究單位的系統也應一併納入盤點。
無論是單位自行開發的系統或是委外開發的系統皆需要。
各校每年提交之「資通系統資產清冊」至少應包含落於各校IP 網段內、或使用各校網域名稱之資通系統。
公立應遵循「國立大專校院資通安全維護作業指引」。
私立依「111年全國大專院資安長會議」紀錄明示,亦參照之。
Q2.學校採購及公務使用設備中有哪些產品為IoT(物聯網)設備,須 將其納入IoT盤點清冊之項目?
IoT設備的定義:具有網路連接功能的實體設備,能透過互聯網進行通信或數據交換,即為IoT設備。
如:網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等。
依據民國110年9月22日
教育部臺教資(四)字第1100128345號函中說明第一條第一項所列舉
Q3. IoT設備盤點列表建議注意事項為何?
全校普查設備清單且分類完成後區別出獨立清冊,往後週期性維護清單。
盤點可輔以軟體工具偵測,避免遺漏。
盤點清冊應檢核不得使用廠商預設密碼、弱密碼,須符合規範之密碼複雜度要求。
建議設定適當網路存取限制及納入防火牆管理。
建議訂定安全控制措施及落實。
安全檢測
Q1.安全檢測之弱點掃描應注意事項為何?
建議弱點掃描宜涵蓋所有資訊系統,包括主機系統弱點掃描與 Web 網頁(宜包含網域底下的全部子目錄)弱點掃描。
弱點掃描應包含初掃及複掃,掃描結果之弱點修補後,再進行複掃,直至所規範之風險皆已修補完成。
Q2.資安弱點通報機制(VANS)導入規範為?
公務機關VANS導入範圍以全機關之資訊資產為原則,有關支持核心業務持續運作相關之資通系統主機與電腦應於規定時限內完成導入。
應完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
A、B級公務機關
應於111年8月22日前、初次核定或等級變更後1年內完成。
C 級公務機關
應於112年8月22日前、初次核定或等級變更後2年內完成。
Q3.教育體系的安全檢測資源有哪些?
弱點掃描
教育體系網站弱點掃描服務平台(VA)
https://va.nycu.edu.tw/
教育單位弱點檢測平台(EVS)
(大專院校需洽區網網中心,由中心協助新增掃描目標。)
https://evs.ncku.edu.tw/
資通系統
Q1.核心系統如何訂定?
核心資通系統,指支持核心業務持續運作必要之系統,或依資通安全責任等級分級辦法附表九資通系統防護需求分級原則之規定,判定其防護需求等級為高者。
依據資通安全管理法施行細則第七條第2項
Q2.訂定學校系統的MTD、RTO及RPO建議考量那些因素 ?
針對各校系統建議先依據「資通安全責任等級分級辦法 」第11條附表九「資通系統防護需求分級原則」評估該校實務需求,對資通系統進行普、中、高的原則分級。
再考量各資通系統的備分週期及該校資安量能後訂定MTD、RTO及RPO,RTO應小於MTD。
*定期進行系統備份是減少RTO時間的關鍵。
教育訓練
Q1.資安通識教育訓練稽核注意事項?
全應提出全員參訓之佐證及統計紀錄。
應到、實到的統計比率。
未完成的後續追蹤及強化措施。
Q2.教育體系之教育訓練、資安證照相關資源有哪些?
學校可利用E等公務園線上課程辦理。
教育機構資安驗證中心 (ISCB)、
教育體系資安檢測技術服務中心 (TACCST)
均有承教育部委辦對全國各校的各項資安教育訓練,供各校同仁報名。