一、核心業務及其重要性
1.1 核心業務及重要性盤點
證明資料:
佐證資料:資安維護計畫之核心系統
相應作法:
三、設置資通安全推動組織
3.1 設定資通安全長?
參考資料:109學年度資安組織成員表
佐證資料:資通安全組織成員表
相應作法:導入ISMS D-001資通安全組織成員表
相應作法:組織成員表需因應每學年度人事異動後,要有所調整
3.2 設置或加入資通安全推動小組
參考資料:
佐證資料:資通安全委員會或管審會簽到單(資安長參加會議次數)
相應作法:
四、專責人力及經費之配置
4.1 專職(責)人員配置
參考資料:人員安全守則
佐證資料:呈報署內專職(責)人員公文
佐證資料:附表一 資安專責人力表(如資通安全維護計畫)
相應作法:
4.2 經費之配置
參考資料:資安或資訊相關經費情形
佐證資料:附表二 經費配置表
相應作法:
學校應依據資訊安全維運計畫中第6點專職(責)人力及經費配置
資訊安全小組於規劃配置相關經費及資源時,應考量本校之資通安全政策及目標,並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源。
各單位於規劃建置資通系統建置時,應一併規劃資通系統之資安防護需求,並於整體預算中合理分配資通安全預算所佔之比例。
各單位如有資通安全資源之需求,應配合機關預算規劃期程向資訊安全小組提出需求,由資訊安全小組視整體資通安全資源進行分配,並經資通安全長核定後,進行相關之建置。
資通安全經費、資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改善機制之管理審查。
六、資通安全風險評估
6.1 資通安全風險評估及因應
參考資料:
佐證資料:資訊資產盤點清冊、威脅弱點評估表、風險評估彙整表、風險改善紀錄表
相應作法:
七、資通安全防護及控制措施
7.1 資通安全防護及控制措施
參考資料:
佐證資料:實體安全管理程序書、存取控制管理程序書、通訊與作業管理程序書、系統開發及維護管理程序書
相應作法:
八、資通安全事件通報、應變及演練相關機制
8.1 訂定資通安全事件通報、應變及演練相關機制
參考資料:
佐證資料:學校資通安全事件通報及應變管理程序
相應作法:
8.2 資通安全事件通報、應變及演練
參考資料:
佐證資料:資安事件通報:教育機構資安通報平臺111年資料
佐證資料:111年通報應變演練:演練證明(演練平臺通報資料、簡訊、E-mail等)
相應作法:
九、資通安全情資之評估及因應機制
9.1 資通安全情資之評估及因應措施
參考資料:
佐證資料:資實地稽核檢視,本項無需繳交
相應作法:
十、資通系統或服務委外辦理之管理
10.1 選任受託者應注意事項
參考資料:
佐證資料:針對八大項目自我檢核
1. 應符合資安法施行細則第四條之受託者(委外廠商)應具備與應提供事項,
如:資安專業人員、資安管理措施或第三方驗證
2. 系統上線之安全檢測證明
3. 應與廠商約定委外系統適用之防護基準
4. 應與廠商約定維護水準,
如:保證系統的完修時間、符合資安維護計畫中的最大容忍中斷時間、備份週期符合系統RPO
5. 應依資安維護計畫,落實委外廠商與人員簽屬保密協議
6. 應將軟體開發生命週期之各階段安全要求納入合約
7. 應將委外關係結束後之資料返還、刪除與保密責任列入合約要求中
8. 應約定受委託廠商,知悉資安事件的通報與應變處理責任
相應作法:
10.2 監督受託者資通安全維護情形應注意事項
參考資料:
佐證資料:同10.1
相應作法:
10.3 是否辦理委外廠商查核
參考資料:
佐證資料:委外昌商自我檢核表或委外廠商查核資料
相應作法:
十一、資通安全教育訓練
11.1 機關人員接受資通安全教育訓練情形
參考資料:
佐證資料:自辦課程資料、訓練內容與完成比例
相應作法:
十二、公務機關所屬人員辦理業務涉及資通安全事項之考核機制
12.1 訂定考核機制並進行考核
參考資料:
佐證資料:
1. 機關相關獎懲法規
2. 110年學校相關人員獎懲名單
相應作法:
十三、資通安全維護計畫及實施情形之持續精進及績效管理機制
13.1 資通安全維護計畫實施情形之稽核機制
參考資料:
佐證資料:年度稽核計畫、稽核檢查表、稽核報告書
相應作法:
13.2 資通安全維護計畫之持續精進及績效管理
參考資料:
佐證資料:矯正預防處理單、管審會績效追蹤表
相應作法:
十四、管理面
14.1 資通系統分級及防護基準
參考資料:
佐證資料:附表3-資通系統資產清冊
相應作法:
14.2 資訊安全管理系統之導入及通過公正第三方之驗證
參考資料:
佐證資料:ISMS文件列表及資通安全維護計畫(C級機關持續導入資通安全管理系統即可)
相應作法:
14.3 資通安全專責人員
參考資料:
佐證資料:附表1-資安專責人力表
相應作法:
14.4 內部資通安全稽核
參考資料:
佐證資料:同13.1(二年一次)
相應作法:
14.5 業務持續運作演練
參考資料:
佐證資料:業務持續運作演練紀錄
相應作法:
十五、技術面
安全性檢測
15.1 弱點掃描
參考資料:
佐證資料:核心系統弱點掃描紀錄(主機及系統皆要做弱點掃描,初測跟復測皆須繳交)(二年一次)
相應作法:
15.2 滲透測試
參考資料:
佐證資料:核心系統滲透測試紀錄(主機及網頁皆要做滲透測試,初測跟復測皆須繳交)(二年一次)
相應作法:
資通安全健診
15.3 網路架構檢視
參考資料:
佐證資料:資通安全健診網路架構檢視報告(資通安全健診報告跟修補證明,二年一次)
相應作法:
15.4 網路惡意活動檢視
參考資料:
佐證資料:資通安全檢診網路惡意活動檢視報告(二年一次)
相應作法:
15.5 使用者端電腦惡意活動檢視
參考資料:
佐證資料:資通安全檢診使用者端電腦惡意活動檢視報告(二年一次)
相應作法:
15.6 伺服器主機惡意活動檢視
參考資料:
佐證資料:資通安全檢診伺服器主機惡意活動檢視報告(二年一次)
相應作法:
15.7 目錄伺服器設定及防火牆連線設定檢視
參考資料:
佐證資料:資通安全檢診伺服器設定及防火牆連線設定檢視報告(二年一次)
相應作法:
15.8 資通安全弱點通報機制
參考資料:
佐證資料:
1. 廠商導入作業契約
2. 截行政院資通安全弱點通報系統(VANS)資訊資產上傳平台圖
相應作法:
資通安全防護
15.9 防毒軟體
參考資料:
佐證資料:軟體授權(截圖)
相應作法:
15.10 網路防火牆
參考資料:
佐證資料:軟體或硬體、防火牆管理介面證明(截圖)
相應作法:
15.11 具有郵件伺服器者,應備電子郵件過濾機制
參考資料:
佐證資料:過濾機制截圖或過濾機授權制軟體硬體(無郵件伺服器則不適用)
相應作法:
十六、認知與訓練
資通安全教育
16.1 資通安全專職人員訓練
參考資料:
佐證資料:教育訓練佐證資料(需含專業證照與職能證書,同11點繳交)
相應作法:
16.2 資通安全專職人員以外之資訊人員
參考資料:
佐證資料:教育訓練佐證資料
相應作法:
16.3 一般使用者及主管
參考資料:
佐證資料:教育訓練佐證資料
相應作法:
相關附件
17 附表1-資安專責人力表
18 附表2-經費配置表
19 附表3-資通系統資產清冊
備註:以上三個附件可依「臺教國署秘字1110030499號」函索提供之附件填寫後檢附