專職人員：全職執行資通安全業務者。

專責人員：專責人力是指機關應有專人負責資通安全事務，並無全職投入人力之要求 。

實施資通安全維護計畫，適用範圍應涵蓋全校各系、院、所教學單位及各行政單位（全校各單位），故宜全校各單位參與執行。在資訊安全目標及衡量指標訂定應包含全校性之項目。

一般使用者及主管，除包含機關組織編制表內人員外，尚包含得接觸或使用機關資通系統或服務之各類人員。

各機關於日常維運資通系統時，應訂定日誌之記錄時間週期及留存政策，並保留日誌至少6個月，其保存項目建議如下：

作業系統日誌(OS event log)

網站日誌(web log)

應用程式日誌(AP log)

登入日誌(logon log)

ISO 27001:2013本文4及7.4 利害關係人指機關資通系統維運、資安推動所涉及的內外部 對象，包含上級／監督機關、所屬／所管機關、IT/OT、軟 硬體或資通服務(含SOC)供應商，及與機關連線作業單位等。

管理審查題應包含下列討論事項

1. 過往管理審查議案之處理狀態。

2. 與資通安全管理系統有關之內部及外部議題的變更，如法令變        更、上級機關要求、資通安全推動小組決議事項等。

3. 資通安全維護計畫內容之適切性。

4. 資通安全績效之回饋

  A. 資通安全政策及目標之實施情形。

  B. 資通安全人力及資源之配置之實施情形。

  C. 資通安全防護及控制措施之實施情形。

  D. 內外部稽核結果。

  E. 不符合項目及矯正措施。

5. 風險評鑑結果及風險處理計畫執行進度。

6. 重大資通安全事件之處理及改善情形。

7. 利害關係人之回饋。

8. 持續改善之機會。

• 各校辦理資通系統及資訊之盤點，盤點範圍應包含全校各單位。因此除資訊單位系統外，其他單位 例如行政、教學、研究單位的系統也應一併納入盤點。

• 無論是單位自行開發的系統或是委外開發的系統皆需要。

• 各校每年提交之「資通系統資產清冊」至少應包含落於各校IP 網段內、或使用各校網域名稱之資通系統。

IoT設備的定義：具有網路連接功能的實體設備，能透過互聯網進行通信或數據交換，即為IoT設備。

如:網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等。

公務機關VANS導入範圍以全機關之資訊資產為原則，有關支持核心業務持續運作相關之資通系統主機與電腦應於規定時限內完成導入。

應完成資通安全弱點通報機制導入作業，並持續維運及依主管機關指定之方式提交資訊資產盤點資料。

A、B級公務機關

應於111年8月22日前、初次核定或等級變更後1年內完成。

C 級公務機關

應於112年8月22日前、初次核定或等級變更後2年內完成。

核心資通系統，指支持核心業務持續運作必要之系統，或依資通安全責任等級分級辦法附表九資通系統防護需求分級原則之規定，判定其防護需求等級為高者。

針對各校系統建議先依據「資通安全責任等級分級辦法 」第11條附表九「資通系統防護需求分級原則」評估該校實務需求，對資通系統進行普、中、高的原則分級。

再考量各資通系統的備分週期及該校資安量能後訂定MTD、RTO及RPO，RTO應小於MTD。