校園資通安全維護計畫實施情形

D級機關檢核表(參考)

一、核心業務及其重要性

1.1 核心業務及重要性盤點
證明資料：

佐證資料：資安維護計畫之核心系統
相應作法：

二、資通安全政策及目標之訂定

2.1 資通安全政策訂定及核定
證明資料：資通安全政策 [文件]
佐證資料：資通安全政策(如資通安全維護計畫)
相應作法：資安管理審查會議可滾動式調整

2.2 資通安全目標之訂定
證明資料：

佐證資料：資通安全政策
相應作法：

2.3 資通安全政策及目標宣導
證明資料：
佐證資料：函知各單位、會議宣導、網站公告、教育訓練、辦理測驗、E-mail等
相應作法：

2.4 資通安全政策及目標定期檢視
參考資料：資安管審會議紀錄

佐證資料：管審會會議資料、資安政策之檢視
相應作法：「資通安全政策」每年要審查乙次政策之適切性及有效性，並列入*管審會議記錄*

三、設置資通安全推動組織

3.1 設定資通安全長？
參考資料：109學年度資安組織成員表
佐證資料：資通安全組織成員表
相應作法：導入ISMS D-001資通安全組織成員表
相應作法：組織成員表需因應每學年度人事異動後，要有所調整

3.2 設置或加入資通安全推動小組
參考資料：
佐證資料：資通安全委員會或管審會簽到單(資安長參加會議次數)
相應作法：

四、專責人力及經費之配置

4.1 專職(責)人員配置
參考資料：人員安全守則
佐證資料：不適用(無需配置專職責人員)
相應作法：

4.2 經費之配置
參考資料：資安或資訊相關經費情形
佐證資料：附表二　經費配置表
相應作法：
- 學校應依據資訊安全維運計畫中第6點專職(責)人力及經費配置
- 資訊安全小組於規劃配置相關經費及資源時，應考量本校之資通安全政策及目標，並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源。
- 各單位於規劃建置資通系統建置時，應一併規劃資通系統之資安防護需求，並於整體預算中合理分配資通安全預算所佔之比例。
- 各單位如有資通安全資源之需求，應配合機關預算規劃期程向資訊安全小組提出需求，由資訊安全小組視整體資通安全資源進行分配，並經資通安全長核定後，進行相關之建置。
- 資通安全經費、資源之配置情形應每年定期檢討，並納入資通安全維護計畫持續改善機制之管理審查。

五、資訊及資通系統之盤點及核心資通系統、相關資產之標示

5.1 資訊及資通系統之盤點
參考資料：資訊資產清單
佐證資料：附表3-資通系統資產清冊
相應作法：參閱資訊資產管理程序書、參閱文件管理程序書、參閱校內各處室英譯
相應作法：

六、資通安全風險評估

6.1 資通安全風險評估及因應
參考資料：
佐證資料：資訊資產盤點清冊、威脅弱點評估表、風險評估彙整表、風險改善紀錄表
相應作法：

七、資通安全防護及控制措施

7.1 資通安全防護及控制措施
參考資料：
佐證資料：實體安全管理程序書、存取控制管理程序書、通訊與作業管理程序書、系統開發及維護管理程序書
相應作法：

八、資通安全事件通報、應變及演練相關機制

8.1 訂定資通安全事件通報、應變及演練相關機制
參考資料：
佐證資料：學校資通安全事件通報及應變管理程序
相應作法：
8.2 資通安全事件通報、應變及演練
參考資料：
佐證資料：資安事件通報：教育機構資安通報平臺111年資料
佐證資料：111年通報應變演練：演練證明(演練平臺通報資料、簡訊、E-mail等)
相應作法：

九、資通安全情資之評估及因應機制

9.1 資通安全情資之評估及因應措施
參考資料：
佐證資料：資實地稽核檢視，本項無需繳交
相應作法：

十、資通系統或服務委外辦理之管理

10.1 選任受託者應注意事項
參考資料：

佐證資料：針對八大項目自我檢核

1. 應符合資安法施行細則第四條之受託者(委外廠商)應具備與應提供事項，

如：資安專業人員、資安管理措施或第三方驗證

2. 系統上線之安全檢測證明

3. 應與廠商約定委外系統適用之防護基準

4. 應與廠商約定維護水準，

如：保證系統的完修時間、符合資安維護計畫中的最大容忍中斷時間、備份週期符合系統RPO

5. 應依資安維護計畫，落實委外廠商與人員簽屬保密協議

6. 應將軟體開發生命週期之各階段安全要求納入合約

7. 應將委外關係結束後之資料返還、刪除與保密責任列入合約要求中

8. 應約定受委託廠商，知悉資安事件的通報與應變處理責任

相應作法：

10.2 監督受託者資通安全維護情形應注意事項
參考資料：

佐證資料：同10.1
相應作法：

10.3 是否辦理委外廠商查核
參考資料：

佐證資料：委外昌商自我檢核表或委外廠商查核資料
相應作法：

十一、資通安全教育訓練

11.1 機關人員接受資通安全教育訓練情形
參考資料：

佐證資料：自辦課程資料、訓練內容與完成比例
相應作法：

十二、公務機關所屬人員辦理業務涉及資通安全事項之考核機制

12.1 訂定考核機制並進行考核
參考資料：

佐證資料：

1. 機關相關獎懲法規

2. 110年學校相關人員獎懲名單

相應作法：

十三、資通安全維護計畫及實施情形之持續精進及績效管理機制

13.1 資通安全維護計畫實施情形之稽核機制
參考資料：

佐證資料：年度稽核計畫、稽核檢查表、稽核報告書
相應作法：

13.2 資通安全維護計畫之持續精進及績效管理
參考資料：

佐證資料：矯正預防處理單、管審會績效追蹤表
相應作法：

十四、管理面

佐證資料：不適用

資通安全防護
- 15.1 防毒軟體
- 參考資料：

佐證資料：軟體授權(截圖)
相應作法：

15.2 網路防火牆
參考資料：
佐證資料：軟體或硬體、防火牆管理介面證明(截圖)
相應作法：

十六、認知與訓練

資通安全教育訓練
- 16.1 一般使用者及主管
- 參考資料：

佐證資料：教育訓練佐證資料

相關附件
- 17 附表1-資安專責人力表
- 18 附表2-經費配置表

19 附表3-資通系統資產清冊

備註：以上三個附件可依「臺教國署秘字1110030499號」函索提供之附件填寫後檢附

備註：核心資訊系統須進行本表個個項目查核

備註：本表參考行政院資通安全會報之資通安全維護計畫制定

Page updated

Report abuse