20230915資通安全實地稽核

審查結果    符合 

   委員建議    核心業務之重要性說明請再調整，學校機關非關鍵基礎設施 

   修正             修正核心業務以及非核心業務 

審查結果     符合 

  委員建議     資安政策定性目標內容屬"量化"指標，定量目 標末兩項屬"定性"指標，宜再調整。 

  修正                修正第二頁   4 目標 

審查結果      不符合 

委員建議      佐證資料之管審會議議程未見資通安全政策及目標檢視紀錄 

修正               1.  已補充本校資通安全政策並於網頁中公告          2.  補足各次會議紀錄

審查結果      不符合 

委員建議      佐證資料未見專職(責)人員之呈報公文或專責人力表  

修正               資訊通安全組織成員表(202211)        資訊通安全組織成員表(202309)

審查結果      不符合 

委員建議      無佐證資料 

修正               國立屏東高級中學-實施情形

審查結果      不符合 

委員建議      佐證資料內容皆屬設備類資產，無系統、資料、軟體、人員等資產紀錄。  

修正               1.  一般性財產          2.  非消耗性財產        國立屏東高級中學實施情形(111年)-附表3-3-機關資通訊設備清冊

審查結果      不符合 

委員建議      佐證資料未見威脅弱點評估表紀錄，且風險評估彙整表亦為空白，而風險改善紀錄表無對應之改善策略及時程規劃。  

修正               1.  已補充本校資通安全政策並於網頁中公告          2.  補足各次會議紀錄

審查結果      不符合 

委員建議      佐證資料僅為資安通報平台介面截圖，非資通安全事件通報及應變管理程序。 

修正               112資安演練

審查結果      不符合 

委員建議      佐證資料之委外契約條款中未見滿足法規規範之委外資安條款。 

修正               10.1委外廠商執行人員保密同意書   委外廠商保密切結(人員)    委外廠商保密切結(公司)

審查結果      不符合 

委員建議      佐證資料之委外契約條款中未見滿足法規規範之委外資安條款。 

修正               10.2委外廠商保密同意書     屏東高中112年無線案簽約證照  10.2國立高中維護合約書本文   委外廠商保密切結(人員)    委外廠商保密切結(公司)

審查結果      不符合 

委員建議      佐證資料僅為保密切結書，非委外廠商查核。 

修正               10.3廠商稽核   照片1  照片2  照片3  照片4  照片5  

審查結果      不符合 

委員建議      佐證資料僅專責人員個人紀錄，非全校人員參與資通安全教育訓練紀錄。 

修正               已於第三季資通安全會議中通過預計本年度於10月分開始同仁上網參加資通安全教育訓練

審查結果      不符合 

委員建議      佐證資料未見資通安全相關考核機制與紀錄。  

修正               國立屏東高級中學資訊安全內部稽核計畫

審查結果      部分符合  

委員建議      佐證資料未見稽核計畫，且查檢表紀錄僅有圖書館查檢紀錄，另查檢項目過於簡易(僅設備相關查檢項目)，應擴大查檢範圍及項目。  

修正               稽核項目記錄表(核章)   13.1國立屏東高級中學資訊安全內部稽核計畫

審查結果      不符合 

委員建議      佐證資料未見管審會進行資通安全維護計畫執行績效追蹤紀錄。  

修正               13.2矯正及預防管理程序書-矯正及預防管理制度 

審查結果      不符合 

委員建議      佐證資料非指定之附表3-資通系統資產清冊。  

修正               國立屏東高級中學實施情形(111年)-附表3-3-機關資通訊設備清冊

審查結果      部分符合  

委員建議      佐證資料未見稽核計畫，且查檢表紀錄僅有圖書館查檢紀錄，另查檢項目過於簡易(僅設備相關查檢項目)，應擴大查檢範圍及項目。  

修正               13.1國立屏東高級中學資訊安全內部稽核計畫

審查結果      不符合 

委員建議      無佐證資料。  

修正               本校未安排資安健檢

審查結果      不符合 

委員建議      無佐證資料。 

修正               130305_屏東高中_自我檢核表     130305_屏東高中_主幹網路和班級教室網路佈線圖    1_1_1屏東高中完成架網路架構圖

審查結果      不符合 

委員建議      無佐證資料。  

修正               外來攻擊

審查結果      不符合 

委員建議      無佐證資料。  

修正               本校未安排資安健檢

審查結果      不符合 

委員建議      無佐證資料。  

修正               外來攻擊

審查結果      不符合 

委員建議      無佐證資料。  

修正               本校未有設定AD

審查結果      不符合 

委員建議      佐證資料雖有 vans 資訊資產上傳平台截圖， 但內容顯示校方無上傳資訊資產紀錄。  

修正               15.8 vans資料上傳

審查結果      不符合 

委員建議      無佐證資料  

修正               資訊通安全組織成員表(202211)        資訊通安全組織成員表(202309)

審查結果      不符合 

委員建議      佐證資料未見全校人員參與資通安全教育訓練紀錄,且資安課程訓練時數未達3小時要求(僅30分鐘)。  

修正               已於第三季資通安全會議中通過預計本年度於10月分開始同仁上網參加資通安全教育訓練