臺北市大同區日新國民小學
資通安全維護計畫
第1.1版
生效日期:108年1月18日
文件制/修訂紀錄表
文件版本 | 生效日期 | 制/修定摘要說明 | 承辦單位 | 承辦人 |
V1.0 | 108年1月11日 | 初次建立 | 臺北市政府教育局 資訊教育科 |
康睿宸/陳柏翰 |
V1.1 | 108年1月18日 | 修訂為日新國小版本 |
日新國小教務處 資訊組 |
鄭千佑 |
資訊安全維護計畫目錄
內容
壹、 資通安全推動小組成員及分工表
臺北市大同區日新國小資通安全推動小組成員及分工表
單位職級 | 名稱 | 職掌事項 | 分機 |
備註 (代理人) |
教師兼任 資訊組長 |
鄭千佑 | 資通行政業務、資訊教育推動、 資通安全事件通報、資訊設備維運 |
127 | 陳照明 |
教師兼任 系統管理師 |
陳照明 | 資通安全事件通報、資訊設備維運 | 126 | 鄭千佑 |
資通安全長:校長林裕勝
貳、 實施計畫
一、 依據及目的
本計畫依據資通安全管理法第10條及施行細則第6條訂定。
本計畫依據下列法規訂定:
(一)資通安全管理法第10條及其施行細則第6條。
二、 適用範圍
本計畫適用範圍涵蓋本校全機關含附設幼兒園。
三、 核心業務及重要性
(一)核心業務及重要性:
本機關之核心業務及重要性如下表:
核心業務 | 核心資通系統 | 重要性說明 | 業務失效影響說明 | 最大可容忍中斷時間 |
無 | ||||
各欄位定義:
- 核心業務名稱:請參考資通安全管理法施行細則第7條之規定列示。
- 作業名稱:該項業務內各項作業程序的名稱。
- 重要性說明:說明該業務對機關之重要性,例如對機關財務及信譽上影響,對民眾影響,對社會經濟影響,對其他機關業務運作影響,法律遵循性影響或其他重要性之說明。
- 最大可容忍中斷時間單位以小時計。
(二)非核心業務及說明:
本機關之非核心業務及說明如下表:
非核心業務 | 業務失效影響說明 | 最大可容忍中斷時間 |
學校網頁主機 和DNS Server |
學校網站無法公布學校資訊與訊息 | 24小時 |
防火牆服務 | 本校對外網路中斷或無管制連線。 | 24小時 |
NAS伺服器 | 教師無法正常登入存取相關資料。 | 24小時 |
監視主機系統 | 監視畫面無法掌控。 | 36小時 |
社團報名系統 | 在報名時間需順暢讓家長報名。 | 72小時 (報名期間) |
健康傷病系統 | 無法記錄學生傷病狀況。 | 72小時 |
各欄位定義:
- 業務名稱:公務機關之非核心業務至少應包含輔助單位之業務名稱,如差勤服務、郵件服務、用戶端服務等。(請依機關實際情形列出)
- 作業名稱:該項業務內各項作業程序的名稱。
- 說明:說明該業務之內容。
- 最大可容忍中斷時間單位以小時計。
四、 資通安全政策及目標
(一)資通安全政策
為使本機關業務順利運作,防止資訊或資通業務受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:
- 定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
- 針對各資料的機密性與完整性應妥善保護,避免資料遭竄改。
- 建立資通安全防護(如:防火牆、防毒軟體)。
- 辦理資通安全教育訓練(一般使用者與主管,每人每年三小時以上之一般資通安全教育訓練),提升同仁資通安全意識。
- 禁止多人共用同一帳號。
- 落實資通安全通報機制。
(二)資通安全目標
- 資安事件發生,於規定的時間完成通報、應變及復原作業。
- 全年度資安通報平臺之資安事件等級第1、2級發生件數少於3件(含)以下,等級第3、4級不得發生。
- 達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
(三)資通安全政策及目標核定程序
資通安全政策由本校教務處簽陳至資通安全長,由校務會議通過實施。
(四)資通安全政策及目標之宣導
- 本機關之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向機關內所有人員進行宣導,並檢視執行成效。
- 本機關應每年向利害關係人(例如社團報名系統委由廠商提供服務(非本機關維運自行或委由廠商建置之資通系統))進行資安政策及目標宣導,並檢視執行成效。
(五)資通安全政策及目標定期檢討程序
資通安全政策及目標應定期於資通安全管理審查會議(資訊小組會議)中檢討其適切性。
五、 資通安全推動組織
(一)資通安全長
依本法第11條之規定,本機關訂定校長為資通安全長,負責督導機關資通安全相關事項,其任務包括:
- 資通安全管理政策及目標之核定、核轉及督導。
- 資通安全責任之分配及協調。
- 資通安全資源分配。
- 資通安全防護措施之監督。
- 資通安全事件之檢討及監督。
- 資通安全相關規章與程序、制度文件核定。
- 資通安全管理年度工作計畫之核定。
- 資通安全相關工作事項督導及績效管理。
- 其他資通安全事項之核定。
(二)資通安全推動小組(同資訊小組)
- 組織
為推動本機關之資通安全相關政策、落實資通安全事件通報及相關應變處理,由資通安全長召集各業務部門主管/副主管以上之人員代表成立資通安全推動小組,其任務包括:
- 跨處室資通安全事項權責分工之協調。
- 應採用之資通安全技術、方法及程序之協調研議。
- 整體資通安全措施之協調研議。
- 資通安全計畫之協調研議。
- 其他重要資通安全事項之協調研議。
- 分工及職掌
本機關之資通安全推動小組依下列分工進行責任分組,並依資通安全長之指示負責下列事項,本機關資通安全推動小組分組人員名單及職掌應列冊,並適時更新之:
- 策略規劃組:
- 資通安全政策及目標之研議。
- 訂定機關資通安全相關規章與程序、制度文件,並確保相關規章與程序、制度合乎法令及契約之要求。
- 依據資通安全目標擬定機關年度工作計畫。
- 傳達機關資通安全政策與目標。
- 其他資通安全事項之規劃。
- 資安防護組:
- 資通安全技術之研究、建置及評估相關事項。
- 資通安全相關規章與程序、制度之執行。
- 資訊及資通系統之盤點及風險評估。
- 資料及資通系統之安全防護事項之執行。
- 資通安全事件之通報及應變機制之執行。
- 其他資通安全事項之辦理與推動。
- 績效管理組:
- 辦理資通安全內部稽核。
- 每年10月前召開資通安全管理審查會議,提報資通安全事項執行情形,以利教育部稽核審查使用。
- 成員由資通安全長指派之。
六、 專職人力及經費配置
(一)人力及資源配置
- 本機關依資通安全責任等級分級辦法之規定,屬資通安全責任等級D級,最低應設置資通安全兼辦人員1人,其分工如下,本機關現有資通安全專責人員名單及職掌應列冊,並適時更新。
- 負責資通系統分級、內部資通安全稽核、防護基準及教育訓練業務之推動。
- 負責資通安全防護設施建置及資通安全事件通報及應變業務之推動。
- 本機關之承辦單位於辦理資通安全人力資源業務時,應加強資通安全人員之培訓,並提升機關內資通安全專業人員之資通安全管理能力。本機關之相關單位於辦理資通安全業務時,如資通安全人力或經驗不足,得洽請相關學者專家或專業機關(構)提供顧問諮詢服務。
- 本機關負責重要資通設備之管理、維護、設計及操作之人員,應妥適分工,分散權責,若負有機密維護責任者,應簽屬書面約定,並視需要實施人員輪調,建立人力備援制度。
- 本機關之首長及各級業務主管人員,應負責督導所屬人員之資通安全作業,防範不法及不當行為。
- 專業人力資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改善機制之管理審查。
(二)經費配置
- 資通安全推動小組於規劃配置相關經費及資源時,應考量本機關之資通安全政策及目標,並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源。
- 各單位於規劃建置資通系統建置時,應一併規劃資通系統之資安防護需求,並於整體預算中合理分配資通安全預算所佔之比例。
- 各單位如有資通安全資源之需求,應配合機關預算規劃期程向資通安全推動小組提出,由資通安全推動小組視整體資通安全資源進行分配,並經資通安全長(資通安全管理代表)核定後,進行相關之建置。
- 資通安全經費、資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改善機制之管理審查。
七、 資訊及資通系統之盤點
(一)資訊及資通系統盤點
- 本機關每年辦理資訊及資通系統資產盤點,依管理責任指定對應之資產管理人,並依資產屬性進行分類,分別為資訊資產、軟體資產、實體資產、支援服務資產等。
- 資訊及資通系統資產項目如下:
資產類別 | 資產項目 |
資訊資產 (未含有個資) |
|
軟體資產 |
|
硬體資產 |
|
服務資產 |
|
人員資產 |
|
個資資產 |
|
(二)機關資通安全責任等級分級
本機關自行辦理資通業務,未維運自行或委外開發之資通系統者,其資通安全責任等級為 D 級。
八、 資通安全風險評估
(一)本機關應每年針對資訊及資通設備資產進行風險評估。
(二)執行風險評估時應參考臺北市政府教育局「資訊資產風險評鑑管理辦法」執行相關作業。
(三)本機關應每年依據資通安全責任等級分級辦法之規定,分別就機密性、完整性、可用性、法律遵循性等構面評估。
九、 資通安全防護及控制措施
本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項,全機關之防護及控制措施詳如本機關資通安全維護計畫,採行相關之防護及控制措施如下:
(一)資訊及資通設備之管理
- 資訊及資通設備之使用
- 本機關同仁使用資訊及資通設備須遵守設備管理機關相關規範。
- 本機關同仁使用資訊及資通設備時,應留意其資通安全要求事項,並負對應之責任。
- 本機關同仁使用資訊及資通設備後,應依規定之程序歸還。資訊類資訊之歸還應確保相關資訊已正確移轉,並安全地自原設備上抺除。
- 非本機關同仁使用本機關之資訊及資通設備,應確實遵守本機關之相關資通安全要求,且未經授權不得任意複製資訊。
- 對於資訊及資通設備,宜識別並以文件記錄及實作可被接受使用之規則。
(二)存取控制與加密機制管理
- 網路安全控管
- 本機關之防火牆由本機關自行管理,區域劃分如下:
- 外部網路:對外網路區域,連接外部廣網路(Wide Area Network, WAN)。
- 內部區域網路 (Local Area Network, LAN) :機關內部單位人員及內部伺服器使用之網路區段。
- 外部網路及內部區域網路間連線需經防火牆進行存取控制,非允許的服務與來源不能進入其他區域。
- 本機關應定期檢視防火牆政策是否適當。
- 本機關內部網路之區域應做合理之區隔,使用者應經授權後在授權之範圍內存取網路資源。
- 對網路系統管理人員或資通安全主管人員的操作,均應建立詳細的紀錄。並應定期檢視網路安全相關設備設定規則與其日誌紀錄,並檢討執行情形。
- 使用者應依機關規定之方式存取網路服務。
- 網域名稱系統防護
- 一般伺服器應關閉DNS服務,防火牆政策亦應針對DNS進行控管,關閉不需要的DNS服務存取。
- DNS伺服器應經常性進行弱點漏洞管理與修補、落實存取管控機制。
- 內部主機位置查詢應指向機關內部DNS伺服器。
- 無線網路防護
- 機密資料原則不得透過無線網路及設備存取、處理或傳送。
- 無線設備應具備安全防護機制以降低阻斷式攻擊風險,且無線網路之安全防護機制應包含外來威脅及預防內部潛在干擾。
- 行動通訊或紅外線傳輸等無線設備原則不得攜入涉及或處理機密資料之區域。
- 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站,應安裝防毒軟體,並定期更新病毒碼。
- 本機關之防火牆由本機關自行管理,區域劃分如下:
- 資通業務權限管理
- 本機關之資通業務應設置通行碼管理,通行碼之要求需滿足:
- 通行碼長度8碼以上。
- 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。
- 使用者每90天應更換一次通行碼。
- 使用者辦理資通業務前應經授權,並使用唯一之使用者ID,除有特殊營運或作業必要經核准並紀錄外,不得共用ID。
- 使用者無繼續辦理資通業務時,應立即停用或移除使用者ID,資通業務管理者應定期清查使用者之權限。
- 本機關之資通業務應設置通行碼管理,通行碼之要求需滿足:
- 特權帳號之存取管理
- 資通設備之特權帳號請應經正式申請授權方能使用,特權帳號授權前應妥善審查其必要性,其授權及審查記錄應留存。
- 資通設備之特權帳號不得共用。
- 對於特權帳號,宜指派與該使用者日常公務使用之不同使用者ID。
- 資通設備之特權帳號應妥善管理,並應留存特殊權限帳號之使用軌跡。
- 資通設備之管理者每季應清查系統特權帳號並劃定特權帳號逾期之處理方式。
- 加密管理
- 本機關之機密資訊於儲存或傳輸時應進行加密。
- 本機關之加密保護措施應遵守下列規定:
- 應落實使用者更新加密裝置並備份金鑰。
- 應避免留存解密資訊。
- 一旦加密資訊具遭破解跡象,應立即更改之。
(三)作業與通訊安全管理
- 防範惡意軟體之控制措施
- 本機關之主機及個人電腦應安裝防毒軟體,並時進行軟、硬體之必要更新或升級。
- 經任何形式之儲存媒體所取得之檔案,於使用前應先掃描有無惡意軟體。
- 電子郵件附件及下載檔案於使用前,宜於他處先掃描有無惡意軟體。
- 確實執行網頁惡意軟體掃描。
- 管理者並應每年定期針對管理之設備進行軟體清查。
- 使用者不得私自使用已知或有嫌疑惡意之網站。
- 使用者應定期進行作業系統及軟體更新,以避免惡意軟體利用系統或軟體漏洞進行攻擊。
- 本機關之主機及個人電腦應安裝防毒軟體,並時進行軟、硬體之必要更新或升級。
- 遠距工作之安全措施
- 本機關資通業務之操作及維護以現場操作為原則,避免使用遠距工作,如有緊急需求時,應申請並經資通安全推動小組同意後始可開通。
- 資通安全推動小組應定期審查已授權之遠距工作需求是否適當。
- 針對遠距工作之連線應採適當之防護措施(並包含伺服器端之集中過濾機制檢查使用者之授權),並且記錄其登入情形。
- 提供適當通訊設備,並指定遠端存取之方式。
- 提供虛擬桌面存取,以防止於私有設備上處理及儲存資訊。
- 遠距工作終止時之存取權限撤銷,並應返還相關設備。
- 電子郵件安全管理
- 使用者使用電子郵件時應提高警覺,並使用純文字模式瀏覽,避免讀取來歷不明之郵件或含有巨集檔案之郵件。
- 原則不得電子郵件傳送機密性或敏感性之資料,如有業務需求者應依相關規定進行加密或其他之防護措施。
- 使用者不得利用機關所提供電子郵件服務從事侵害他人權益或違法之行為。
- 使用者應確保電子郵件傳送時之傳遞正確性。
- 本機關應配合上級機關辦理電子郵件社交工程演練,並檢討執行情形。
- 確保實體與環境安全措施
- 通訊機房(機櫃)之管理
- 通訊機房(機櫃)應進行實體隔離。
- 機關人員或來訪人員應申請及授權後方可進入通訊機房(機櫃)1,通訊機房(機櫃)管理者並應定期檢視授權人員之名單。
- 人員進入管制區應配載身分識別之標示,並隨時注意身分不明或可疑人員。
- 僅於必要時,得准許外部支援人員進入通訊機房(機櫃)。
- 人員及設備進出通訊機房(機櫃)應留存記錄。
- 通訊機房(機櫃)之環境控制
- 通訊機房(機櫃)之空調、電力得建立備援措施。
- 通訊機房(機櫃)得安裝之安全偵測及防護措施,包括熱度及煙霧偵測設備、火災警報設備、溫濕度監控設備、漏水偵測設備、入侵者偵測系統,以減少環境不安全引發之危險。
- 各項安全設備應定期執行檢查、維修,並應定時針對設備之管理者進行適當之安全設備使用訓練。
- 辦公室區域之實體與環境安全措施
- 應考量採用辦公桌面的淨空政策,以減少文件及可移除式媒體等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。
- 文件及可移除式媒體在不使用或不上班時,應存放在櫃子內。
- 機密性及敏感性資訊,不使用或下班時應該上鎖。
- 機密資訊或處理機密資訊之資通業務應避免存放或設置於公眾可接觸之場域。
- 顯示存放機密資訊或具處理機密資訊之資通業務地點之通訊錄及內部人員電話簿,不宜讓未經授權者輕易取得。
- 資訊或資通業務相關設備,未經管理人授權,不得被帶離辦公室。
- 通訊機房(機櫃)之管理
- 資料備份
- 重要資料應進行資料備份,其備份之頻率應滿足復原時間點目標之要求,並執行異地存放。
- 本機關應每季確認重要資料備份之有效性。且測試該等資料備份時,宜於專屬之測試系統上執行,而非直接於覆寫回原資通設備。
- 敏感或機密性資訊之備份應加密保護。
- 媒體防護措施
- 使用隨身碟或磁片等存放資料時,具機密性、敏感性之資料應與一般資料分開儲存,不得混用並妥善保管。
- 資訊如以實體儲存媒體方式傳送,應留意實體儲存媒體之包裝,選擇適當人員進行傳送,並應保留傳送及簽收之記錄。
- 為降低媒體劣化之風險,宜於所儲存資訊因相關原因而無法讀取前,將其傳送至其他媒體。
- 對機密與敏感性資料之儲存媒體實施防護措施,包含機密與敏感之紙本或備份磁帶,應保存於上鎖之櫃子,且需由專人管理鑰匙。
- 電腦使用之安全管理
- 電腦、業務系統或自然人憑證,若超過十五分鐘不使用時,應立即登出或啟動螢幕保護功能並取出自然人憑證。
- 禁止私自安裝點對點檔案分享軟體及未經合法授權軟體。
- 連網電腦應隨時配合更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
- 筆記型電腦及實體隔離電腦應定期以人工方式更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
- 下班時應關閉電腦及螢幕電源。
- 如發現資安問題,應主動循機關之通報程序通報。
- 支援資訊作業的相關設施如影印機、傳真機等,應安置在適當地點,以降低未經授權之人員進入管制區的風險,及減少敏感性資訊遭破解或洩漏之機會。
- 行動設備之安全管理
- 機密資料不得由未經許可之行動設備存取、處理或傳送。
- 機敏會議或場所不得攜帶未經許可之行動設備進入
(四)資通安全防護設備
- 本機關應建置防毒軟體、網路防火牆、電子郵件過濾裝置,持續使用並適時進行軟、硬體之必要更新或升級。
- 資安設備應定期備份日誌紀錄,定期檢視並由主管複核執行成果,並檢討執行情形。
十、 資通安全事件通報、應變及演練相關機制
為即時掌控資通安全事件,並有效降低其所造成之損害,本機關應訂定資通安全事件通報、應變及演練相關機制,詳資通安全事件通報應變程序2。
十一、 資通安全情資之評估及因應
本機關接獲資通安全情資,應評估該情資之內容,並視其對本機關之影響、本機關可接受之風險及本機關之資源,決定最適當之因應方式,必要時得調整資通安全維護計畫之控制措施,並做成紀錄。
- 資通安全情資之分類評估
本機關接受資通安全情資後,應指定資通安全專責(兼職)人員進行情資分析,並依據情資之性質進行分類及評估,情資分類評估如下:
- 資通安全相關之訊息情資
資通安全情資之內容如包括重大威脅指標情資、資安威脅漏洞與攻擊手法情資、重大資安事件分析報告、資安相關技術或議題之經驗分享、疑似存在系統弱點或可疑程式等內容,屬資通安全相關之訊息情資。
- 入侵攻擊情資
資通安全情資之內容如包含特定網頁遭受攻擊且證據明確、特定網頁內容不當且證據明確、特定網頁發生個資外洩且證據明確、特定系統遭受入侵且證據明確、特定系統進行網路攻擊活動且證據明確等內容,屬入侵攻擊情資。
- 機敏性之情資
資通安全情資之內容如包含姓名、出生年月日、國民身份證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接識別之個人資料,或涉及個人、法人或團體營業上秘密或經營事業有關之資訊,或情資之公開或提供有侵害公務機關、個人、法人或團體之權利或其他正當利益,或涉及一般公務機密、敏感資訊或國家機密等內容,屬機敏性之情資。
- 涉及核心業務、核心資通系統之情資
資通安全情資之內容如包含機關內部之核心業務資訊、核心資通系統、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作等內容,屬涉及核心業務、核心資通系統之情資。
- 資通安全情資之因應措施
本機關於進行資通安全情資分類評估後,應針對情資之性質進行相應之措施,必要時得調整資通安全維護計畫之控制措施。
- 資通安全相關之訊息情資
由資通安全推動小組(資訊小組)彙整情資後進行風險評估,並依據資通安全維護計畫之控制措施採行相應之風險預防機制。
- 入侵攻擊情資
由資通安全專責(兼職)人員判斷有無立即之危險,必要時採取立即之通報應變措施,並依據資通安全維護計畫採行相應之風險防護措施,另通知各單位進行相關之預防。
- 機敏性之情資
就涉及個人資料、營業秘密、一般公務機密、敏感資訊或國家機密之內容,應採取遮蔽或刪除之方式排除,例如個人資料及營業秘密,應以遮蔽或刪除該特定區段或文字,或採取去識別化之方式排除之。
- 涉及核心業務、核心資通系統之情資
資通安全推動小組應就涉及核心業務、核心資通系統之情資評估其是否對於機關之運作產生影響,並依據資通安全維護計畫採行相應之風險管理機制。
十二、 資通系統或服務委外辦理之管理
本機關(目前)無委外辦理資通系統之建置、維運或資通服務之提供,若另有需求時得應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
十三、 資通安全教育訓練
- 資通安全教育訓練要求
- 資安兼任或資訊人員每人每年至少接受6小時以上之資安專業課程訓練。
- 本機關之一般使用者與主管,每人每年接受3小時以上之一般資通安全教育訓練。
- 資通安全教育訓練辦理方式
十四、 公務機關所屬人員辦理業務涉及資通安全事項之考核機制
本機關所屬人員之平時考核或聘用,依據公務機關所屬人員資通安全事項獎懲辦法、臺北市政府及所屬各機關學校公務人員平時獎懲標準表,及臺北市國民小學組織規程規定辦理之。
十五、 資通安全維護計畫及實施情形之持續精進及績效管理機制
- 資通安全維護計畫之實施
為落實本安全維護計畫,使本機關之資通安全管理有效運作,相關單位於訂定各階文件、流程、程序或控制措施時,應與本機關之資通安全政策、目標及本安全維護計畫之內容相符,並應保存相關之執行成果記錄。
- 資通安全維護計畫實施情形之稽核機制
- 稽核機制之實施
- 資通安全推動小組應定期(至少每年一次)或於系統重大變更或組織改造後執行一次內部稽核作業,以確認人員是否遵循本規範與機關之管理程序要求,並有效實作及維持管理制度。
- 辦理稽核前資通安全推動小組應擬定資通安全稽核計畫8並安排稽核成員,稽核計畫應包括稽核之依據與目的、期間、重點領域、稽核小組組成方式、保密義務9、稽核方式、基準與項目及受稽單位協助事項,並應將前次稽核之結果納入稽核範圍。
- 辦理稽核時,資通安全推動小組應於執行稽核前14日,通知受稽核單位,並將稽核期程、稽核項目紀錄表10及稽核流程等相關資訊提供受稽單位。
- 本機關之稽核人員應受適當培訓並具備稽核能力,且不得稽核自身經辦業務,以確保稽核過程之客觀性及公平性;另,於執行稽核時,應填具稽核項目紀錄表,待稽核結束後,應將稽核項目紀錄表內容彙整至稽核結果及改善報告11中,並提供給受稽單位填寫辦理情形。
- 稽核結果應對相關管理階層(含資安長)報告,並留存稽核過程之相關紀錄以作為資通安全稽核計畫及稽核事件之證據。
- 稽核人員於執行稽核時,應至少執行一項特定之稽核項目(如是否瞭解資通安全政策及應負之資安責任、是否訂定人員之資通安全作業程序與權責、是否定期更改密碼)。
- 稽核改善報告
- 受稽單位於稽核實施後發現有缺失或待改善項目者,應對缺失或待改善之項目研議改善措施、改善進度規劃,並落實執行。
- 受稽單位於稽核實施後發現有缺失或待改善者,應判定其發生之原因,並評估是否有其類似之缺失或待改善之項目存在。
- 受稽單位於判定缺失或待改善之原因後,應據此提出並執行相關之改善措施及改善進度規劃,必要時得考量對現行資通安全管理制度或相關文件進行變更。
- 機關應定期審查受稽單位缺失或待改善項目所採取之改善措施、改善進度規劃及佐證資料之有效性。
- 受稽單位於執行改善措施時,應留存相關之執行紀錄,並填寫稽核結果及改善報告。
- 稽核機制之實施
- 資通安全維護計畫之持續精進及績效管理
- 本機關之資通安全推動小組應於每年10月底前召開資通安全管理審查會議,確認資通安全維護計畫之實施情形,確保其持續適切性、合宜性及有效性。
- 管理審查議題應包含下列討論事項:
- 過往管理審查議案之處理狀態。
- 與資通安全管理業務有關之內部及外部議題的變更,如法令變更、上級機關要求、資通安全推動小組決議事項等。
- 資通安全維護計畫內容之適切性。
- 資通安全績效之回饋,包括:
- 資通安全政策及目標之實施情形。
- 資通安全人力及資源之配置之實施情形。
- 資通安全防護及控制措施之實施情形。
- 內外部稽核結果。
- 不符合項目及矯正措施。
- 風險評鑑結果及風險處理計畫執行進度。
- 重大資通安全事件之處理及改善情形。
- 利害關係人之回饋。
- 持續改善之機會。
- 持續改善機制之管理審查應做成改善績效追蹤報告12,相關紀錄並應予保存,以作為管理審查執行之證據。
十六、 資通安全維護計畫實施情形之提出
本機關依據資通安全管理法第12條之規定,應於每年11月中向臺北市政府教育局資訊教育科,提出資通安全維護計畫實施情形13,使其得瞭解本機關之年度資通安全計畫實施情形。
十七、 相關法規、程序及表單
- 相關法規及參考文件
- 資通安全管理法
- 資通安全管理法施行細則
- 資通安全責任等級分級辦法
- 資通安全事件通報及應變辦法
- 資通安全情資分享辦法
- 公務機關所屬人員資通安全事項獎懲辦法
- 資訊系統風險評鑑參考指引
- 政府資訊作業委外安全參考指引
- 無線網路安全參考指引
- 網路架構規劃參考指引
- 行政裝置資安防護參考指引
- 政府行動化安全防護規劃報告
- 安全軟體發展流程指引
- 安全軟體設計指引
- 安全軟體測試指引
- 資訊作業委外安全參考指引
- 本機關資通安全事件通報及應變程序
- 附件表單
- 資通安全推動小組成員及分工表
- 資通安全保密同意書
- 資通安全需求申請單
- 資訊及資通資產清冊
- 風險評估表
- 風險類型暨風險對策參考表
- 管制區域人員進出登記表
- 委外廠商執行人員保密切結書、保密同意書
- 委外廠商查核項目表
- 年度資通安全教育訓練計畫
- 資通安全認知宣導及教育訓練簽到表
- 資通安全維護計畫實施情形
- 資通安全稽核計畫
- 稽核項目紀錄表
- 稽核結果紀錄表
- 稽核委員聘任同意保密切結書
- 稽核結果及改善報告
- 改善績效追蹤報告