• 1.1 核心業務及重要性盤點

• 證明資料：

• 佐證資料：資安維護計畫之核心系統

• 相應作法：

• 2.1 資通安全政策訂定及核定

• 證明資料：資通安全政策 [文件]

• 佐證資料：資通安全政策(如資通安全維護計畫)

• 相應作法：資安管理審查會議可滾動式調整

• 2.2 資通安全目標之訂定

• 證明資料：

• 佐證資料：資通安全政策

• 相應作法：

• 2.3 資通安全政策及目標宣導

• 證明資料：

• 佐證資料：函知各單位、會議宣導、網站公告、教育訓練、辦理測驗、E-mail等

• 相應作法：

• 2.4 資通安全政策及目標定期檢視

• 參考資料：資安管審會議紀錄

• 佐證資料：管審會會議資料、資安政策之檢視

• 相應作法：「資通安全政策」每年要審查乙次政策之適切性及有效性，並列入*管審會議記錄*

• 3.1 設定資通安全長？

• 參考資料：109學年度資安組織成員表

• 佐證資料：資通安全組織成員表

• 相應作法：導入ISMS D-001資通安全組織成員表

• 相應作法：組織成員表需因應每學年度人事異動後，要有所調整

• 3.2 設置或加入資通安全推動小組

• 參考資料：

• 佐證資料：資通安全委員會或管審會簽到單(資安長參加會議次數)

• 相應作法：

• 4.1 專職(責)人員配置

• 參考資料：人員安全守則

• 佐證資料：呈報署內專職(責)人員公文

• 佐證資料：附表一　資安專責人力表（如資通安全維護計畫）

• 相應作法：

• 4.2 經費之配置

• 參考資料：資安或資訊相關經費情形

• 佐證資料：附表二　經費配置表

• 相應作法：

  • 學校應依據資訊安全維運計畫中第6點專職(責)人力及經費配置

  • 資訊安全小組於規劃配置相關經費及資源時，應考量本校之資通安全政策及目標，並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源。 

  • 各單位於規劃建置資通系統建置時，應一併規劃資通系統之資安防護需求，並於整體預算中合理分配資通安全預算所佔之比例。 

  • 各單位如有資通安全資源之需求，應配合機關預算規劃期程向資訊安全小組提出需求，由資訊安全小組視整體資通安全資源進行分配，並經資通安全長核定後，進行相關之建置。 

  • 資通安全經費、資源之配置情形應每年定期檢討，並納入資通安全維護計畫持續改善機制之管理審查。 

• 5.1 資訊及資通系統之盤點

• 參考資料：資訊資產清單

• 佐證資料：附表三　資通系統資產清冊

• 相應作法：參閱資訊資產管理程序書、參閱文件管理程序書 、參閱校內各處室英譯

• 相應作法：

• 6.1 資通安全風險評估及因應

• 參考資料：

• 佐證資料：資訊資產盤點清冊、威脅弱點評估表、風險評估彙整表、風險改善紀錄表

• 相應作法：

• 7.1 資通安全防護及控制措施

• 參考資料：

• 佐證資料：實體安全管理程序書、存取控制管理程序書、通訊與作業管理程序書、系統開發及維護管理程序書

• 相應作法：

• 8.1 訂定資通安全事件通報、應變及演練相關機制

• 參考資料：

• 佐證資料：學校資通安全事件通報及應變管理程序

• 相應作法：

• 8.2 資通安全事件通報、應變及演練

• 參考資料：

• 佐證資料：資安事件通報：教育機構資安通報平臺111年資料

• 佐證資料：111年通報應變演練：演練證明(演練平臺通報資料、簡訊、E-mail等)

• 相應作法：

• 9.1 資通安全情資之評估及因應措施

• 參考資料：

• 佐證資料：資實地稽核檢視，本項無需繳交

• 相應作法：

• 10.1 選任受託者應注意事項

• 參考資料：

• 佐證資料：針對八大項目自我檢核

    1. 應符合資安法施行細則第四條之受託者(委外廠商)應具備與應提供事項，

如：資安專業人員、資安管理措施或第三方驗證

    2. 系統上線之安全檢測證明

    3. 應與廠商約定委外系統適用之防護基準

    4. 應與廠商約定維護水準，

如：保證系統的完修時間、符合資安維護計畫中的最大容忍中斷時間、備份週期符合系統RPO

    5. 應依資安維護計畫，落實委外廠商與人員簽屬保密協議

    6. 應將軟體開發生命週期之各階段安全要求納入合約

    7. 應將委外關係結束後之資料返還、刪除與保密責任列入合約要求中

    8. 應約定受委託廠商，知悉資安事件的通報與應變處理責任

• 相應作法：

• 10.2 監督受託者資通安全維護情形應注意事項

• 參考資料：

• 佐證資料：同10.1

• 相應作法：

• 10.3 是否辦理委外廠商查核

• 參考資料：

• 佐證資料：委外昌商自我檢核表或委外廠商查核資料

• 相應作法：

• 11.1 機關人員接受資通安全教育訓練情形

• 參考資料：

• 佐證資料：自辦課程資料、訓練內容與完成比例

• 相應作法：

• 12.1 訂定考核機制並進行考核

• 參考資料：

• 佐證資料：

1. 機關相關獎懲法規

2. 110年學校相關人員獎懲名單

• 相應作法：

• 13.1 資通安全維護計畫實施情形之稽核機制

• 參考資料：

• 佐證資料：年度稽核計畫、稽核檢查表、稽核報告書

• 相應作法：

• 13.2 資通安全維護計畫之持續精進及績效管理

• 參考資料：

• 佐證資料：矯正預防處理單、管審會績效追蹤表

• 相應作法：

• 14.1 資通系統分級及防護基準

• 參考資料：

• 佐證資料：附表3-資通系統資產清冊

• 相應作法：

• 14.2 資訊安全管理系統之導入及通過公正第三方之驗證

• 參考資料：

• 佐證資料：ISMS文件列表及資通安全維護計畫(C級機關持續導入資通安全管理系統即可)

• 相應作法：

• 14.3 資通安全專責人員

• 參考資料：

• 佐證資料：附表1-資安專責人力表

• 相應作法：

• 14.4 內部資通安全稽核

• 參考資料：

• 佐證資料：同13.1(二年一次)

• 相應作法：

• 14.5 業務持續運作演練

• 參考資料：

• 佐證資料：業務持續運作演練紀錄

• 相應作法：

• 安全性檢測

  • 15.1 弱點掃描

  • 參考資料：

• 佐證資料：核心系統弱點掃描紀錄(主機及系統皆要做弱點掃描，初測跟復測皆須繳交)(二年一次)

• 相應作法：

• 15.2 滲透測試

• 參考資料：

• 佐證資料：核心系統滲透測試紀錄(主機及網頁皆要做滲透測試，初測跟復測皆須繳交)(二年一次)

• 相應作法：

• 資通安全健診

  • 15.3 網路架構檢視

  • 參考資料：

• 佐證資料：資通安全健診網路架構檢視報告(資通安全健診報告跟修補證明，二年一次)

• 相應作法：

• 15.4 網路惡意活動檢視

• 參考資料：

• 佐證資料：資通安全檢診網路惡意活動檢視報告(二年一次)

• 相應作法：

• • 15.5 使用者端電腦惡意活動檢視

  • 參考資料：

• 佐證資料：資通安全檢診使用者端電腦惡意活動檢視報告(二年一次)

• 相應作法：

• 15.6 伺服器主機惡意活動檢視

• 參考資料：

• 佐證資料：資通安全檢診伺服器主機惡意活動檢視報告(二年一次)

• 相應作法：

• 15.7 目錄伺服器設定及防火牆連線設定檢視

• 參考資料：

• 佐證資料：資通安全檢診伺服器設定及防火牆連線設定檢視報告(二年一次)

• 相應作法：

• 15.8 資通安全弱點通報機制

• 參考資料：

• 佐證資料：

1. 廠商導入作業契約

2. 截行政院資通安全弱點通報系統(VANS)資訊資產上傳平台圖

• 相應作法：

• 資通安全教育

  • 16.1 資通安全專職人員訓練

  • 參考資料：

• 佐證資料：教育訓練佐證資料(需含專業證照與職能證書，同11點繳交)

• 相應作法：

• 16.2 資通安全專職人員以外之資訊人員

• 參考資料：

• 佐證資料：教育訓練佐證資料

• 相應作法：

• • 16.3 一般使用者及主管

  • 參考資料：

• 佐證資料：教育訓練佐證資料

• 相應作法：