:::

卓清國小資通安全維護計畫

花蓮縣花蓮縣卓清國民小學

資通安全維護計畫

 

修訂人核章

陳彥婷

單位主管核章

羅崇瑚

校長核章

鄭嘉毅

版次:V1.0(初版)

 

 

 

中華民國109年7月16日

資通安全維護計畫

文件制/修訂紀錄表

文件版本

修訂日期

修訂內容

修訂單位

修訂人

核定人

(資安長)

 

V1.0(初版)

109年7月16日

新擬訂文件

卓清國小

陳彥婷

鄭嘉毅

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

目  錄

 

壹、 依據及目的.... 1

貳、 適用範圍.... 1

參、 核心業務及重要性.... 1

一、  核心業務及重要性:... 1

二、  非核心業務及說明:... 2

肆、 資通安全政策及目標.... 4

一、  資通安全政策... 4

二、  資通安全目標... 4

三、  資通安全政策及目標之核定程序... 4

四、  資通安全政策及目標之宣導... 4

五、  資通安全政策及目標定期檢討程序... 4

伍、 資通安全推動組織.... 4

一、  資通安全長... 4

二、  資通安全推動小組... 5

陸、 專職人力及經費配置.... 6

一、  專職人力及資源之配置... 6

二、  經費之配置... 7

柒、 資訊及資通系統之盤點... 7

一、  資訊及資通系統盤點... 7

二、  機關資通安全責任等級分級... 8

捌、 資通安全風險評估.... 8

一、  資通安全風險評估... 8

玖、 資通安全防護及控制措施.... 9

一、  資訊及資通設備之管理... 9

二、  存取控制與加密機制管理... 9

三、  作業與通訊安全管理... 11

四、  業務持續運作演練... 15

五、  資通安全防護設備... 15

壹拾、 資通安全事件通報、應變及演練相關機制... 15

壹拾壹、 資通安全情資之評估及因應.... 15

一、  資通安全情資之分類評估... 16

二、  資通安全情資之因應措施... 16

壹拾貳、 資通系統或服務委外辦理之管理... 17

一、  選任受託者應注意事項... 18

二、  監督受託者資通安全維護情形應注意事項... 18

壹拾參、 資通安全教育訓練.... 18

一、  資通安全教育訓練要求... 18

二、  資通安全教育訓練辦理方式... 18

壹拾肆、 公務機關所屬人員辦理業務涉及資通安全事項之考核機制    19

壹拾伍、 資通安全維護計畫及實施情形之持續精進及績效管理機制    19

一、  資通安全維護計畫之實施... 19

二、  資通安全維護計畫實施情形之稽核機制... 19

三、  資通安全維護計畫之持續精進及績效管理... 20

壹拾陸、 資通安全維護計畫實施情形之提出.... 21

壹拾柒、 相關法規、程序及表單.... 22

一、  相關法規及參考文件... 22

二、  附件表單... 22

壹、依據及目的

本計畫依據下列法規訂定:

  • 通安全管理法第10條及其施行細則第6條
  • 花蓮縣政府資通安全維護計畫。

貳、適用範圍

本計畫適用範圍涵蓋:花蓮縣卓溪鄉卓清國民小學

參、核心業務及重要性

一、核心業務及重要性:

本機關之核心業務及重要性如下表:

核心業務

核心資通系統

重要性說明

業務失效影響說明

最大可容忍中斷時間

□為主管機關指定之關鍵基礎設施

□為主管機關核定資通安全責任等級A級或B級機關所涉業務

█為本機關依組織法執掌,足認為重要者

財務損失:

民眾生命財產損失:

經濟發展受阻:

影響其他機關業務運作(相依性)

違反法遵義務:

機關信譽:

其他:

IP

系統管理單位:

系統管理人員:

系統維護廠商:

24小時

□為主管機關指定之關鍵基礎設施

□為主管機關核定資通安全責任等級A級或B級機關所涉業務

█為本機關依組織法執掌,足認為重要者

財務損失:

民眾生命財產損失:

經濟發展受阻:

影響其他機關業務運作(相依性)

違反法遵義務:

機關信譽:

其他:

IP

系統管理單位:

系統管理人員:

系統維護廠商:

24小時

各欄位定義:

  1. 核心業務名稱:請參考資通安全管理法施行細則第7條之規定列示。
  2. 作業名稱:該項業務內各項作業程序的名稱。
  3. 重要性說明:說明該業務對機關之重要性,例如對機關財務及信譽上影響,對民眾影響,對社會經濟影響,對其他機關業務運作影響,法律遵循性影響或其他重要性之說明。
  4. 最大可容忍中斷時間單位以小時計(對外服務以小時,對內服務以工作小時計)
  5. IP:系統使用者連線IP
  6. 系統管理單位:實際管理單位(科室)
  7. 系統管理人員:實際管理單位負責人
  8. 系統維護廠商:負責維護廠商

二、非核心業務及說明:

本機關之非核心業務及說明如下表:

非核心業務

業務失效影響說明

最大可容忍中斷時間

輔助核心業務達成之事務,為本機關之非核心業務

影響本機關政令宣導、政府資訊公開及民眾網路查詢為民服務相關業務等事宜

系統管理人員:陳彥婷

系統維護廠商:教育處網路中心

72小時

公文電子交換系統

電子公文無法即時送達機關,影響機關行政效率

24小時

公文整合資訊系統

影響機關行政效率

24小時

差勤及費用請領表單系統

影響機關行政效率

24小時

NAS

影響機關行政效率

24小時

各欄位定義:

  1. 業務名稱:公務機關之非核心業務至少應包含輔助單位之業務名稱,如差勤服務、郵件服務、用戶端服務等。(請依機關實際情形列出)
  2. 作業名稱:該項業務內各項作業程序的名稱。
  3. 說明:說明該業務之內容。
  4. 最大可容忍中斷時間單位以小時計(對外服務以小時,對內服務以工作小時計)
  5. IP:系統使用者連線IP
  6. 系統管理單位:實際管理單位(科)
  7. 系統管理人員:實際管理單位負責人
  8. 系統維護廠商:負責維護廠商

肆、資通安全政策及目標

一、資通安全政策

為使本機關業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality、完整性(Integrity及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:

  1. 應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
  2. 應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
  3. 應強固資通系統之韌性,確保機關業務持續營運。
  4. 應因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本機關同仁之資通安全意識,本機關同仁亦應確實參與訓練。
  5. 針對辦理資通安全業務有功人員應進行獎勵。
  6. 勿開啟來路不明或無法明確辨識寄件人之電子郵件。
  7. 禁止多人共用單一資通系統帳號。
  8. 落實資通安全通報機制。

二、資通安全目標

  1. 提報國家資通安全通報應變網站之資通安全3、4級事件不得發生,1、2級事件發生應為2件以下(含)。
  2. 系統所提供資訊無缺漏,每年系統所提供資訊,缺漏事件不得發生2件以下(含)。
  3. 針對非天災、電力中斷、火災引起之資訊安全事故,導致本機關使用網際網路服務停頓,每年小於2次(含)以下,每次不得超過可接受服務中斷時間(MTPD)。
  4. 鑑別出並符合所須遵循之法令法規,未鑑別出所需遵循法規次數不得發生2件以下(含)。
  5. 全年不得違反所須遵循之法令法規,違反需遵循法規次數不得發生2件以下(含)。

三、資通安全政策及目標之核定程序

資通安全政策由本機關資訊業務承辦人簽陳資通安全長核定。

四、資通安全政策及目標之宣導

  1. 本機關之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向機關內所有人員進行宣導,並檢視執行成效。
  2. 本機關應每年向利害關係人(例如IT服務供應商、與機關連線作業有關單位)進行資安政策及目標宣導,並檢視執行成效,宣導之方式可透過教育訓練、會議、網站進行。

五、資通安全政策及目標定期檢討程序

 資通安全政策及目標應定期於資通安全管理審查會議中檢討其適切性。

伍、資通安全推動組織

一、資通安全長

依本法第11條之規定,本機關由為校長鄭嘉毅,負責督導機關資通安全相關事項,其任務包括:

(一)資通安全管理政策及目標之核定、核轉及督導。

(二)資通安全責任之分配及協調。

(三)資通安全資源分配。

(四)資通安全防護措施之監督。

(五)資通安全事件之檢討及監督。

(六)資通安全相關規章與行政命令之核定。

(七)資通安全維護計畫之核定。

二、資通安全推動小組(如附件一)

(一)組織

為推動本機關之資通安全相關政策、落實資通安全事件通報及相關應變處理,由資通安全長召集各業務承辦人成立資通安全推動小組[1],其任務包括:

  1. 跨業務資通安全事項權責分工之協調。
  2. 應採用之資通安全技術、方法及程序之協調研議。
  3. 整體資通安全措施之協調研議。
  4. 資通安全計畫之協調研議。
  5. 其他重要資通安全事項之協調研議。

(二)分工及職掌

本機關之資通安全推動小組依下列分工進行責任分組,並依資通安全長之指示負責下列事項,本機關資通安全推動小組分組人員名單及職掌應列冊,並適時更新之[2]

  1. 策略規劃組:
  1. 資通安全政策及目標之研議。
  2. 訂定機關資通安全相關規章與程序、制度文件,並確保相關規章與程序、制度合乎法令及契約之要求。
  3. 依據資通安全目標擬定機關年度工作計畫。
  4. 傳達機關資通安全政策與目標。
  5. 其他資通安全事項之規劃。
  6. 成員由資通安全業務主管單位或資通安全長指派之。
  1. 資安防護組:
  1. 資通安全技術之研究、建置及評估相關事項。
  2. 資通安全相關規章與程序、制度之執行。
  3. 資訊及資通系統之盤點及風險評估。
  4. 及資通系統之安全防護事項及緊急處理之執行。
  5. 資通安全事件之通報及應變機制之執行。
  6. 其他資通安全事項之辦理與推動。
  7. 成員由資通系統機關窗口或資通安全長指派之。
  1. 績效管理組:
  1. 辦理資通安全內部稽核。
  2. 每年定期召開資通安全管理審查會議,提報資通安全事項執行情形。
  3. 成員由資通安全業務主管單位或資通安全長指派之。

陸、專職人力及經費配置

一、專職人力及資源之配置

  1. 本機關依資通安全責任等級分級辦法之規定,屬資通安全責任等級E級,最低應設置資通安全兼辦人員1人,其分工如下,本機關現有資通安全專責人員名單及職掌應列冊,並適時更新[3]
  1. 負責推動內部資通安全稽核及教育訓練等業務之推動。
  2. 負責資通安全防護設施建置、資通安全事件通報及應變業務之推動。
  1. 本機關之承辦單位於辦理資通安全人力資源業務時,應加強資通安全人員之培訓,並提升機關內資通安全專業人員之資通安全管理能力。本機關之相關單位於辦理資通安全業務時,如資通安全人力或經驗不足,得洽請縣政府資管科、相關學者專家或專業機關(構)提供顧問諮詢服務。
  2. 本機關負責重要資通設備之管理、維護、設計及操作之人員,應妥適分工,分散權責,若負有機密維護責任者,應簽屬書面約定[4],並視需要實施人員輪調,建立人力備援制度。
  3. 本機關之首長及各業務人員,應負責所屬業務資料之資通安全作業,防範不法及不當行為。
  4. 專業人力資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改善機制之管理審查。

二、經費之配置

  1. 資通安全推動小組於規劃配置相關經費及資源時,應考量本機關之資通安全政策及目標,並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源[5]
  2. 各單位於規劃建置資通系統建置時,應一併規劃資通系統之資安防護需求,並於整體預算中合理分配資通安全預算所佔之比例。
  3. 各單位如有資通安全資源之需求,應配合機關預算規劃期程向資通安全推動小組提出[6],由資通安全推動小組視整體資通安全資源進行分配,並經資通安全長核定後,進行相關之建置。
  4. 資通安全經費、資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改善機制之管理審查。

柒、資訊及資通系統之盤點

一、資訊及資通系統盤點

  1. 本機關每年辦理資訊及資通系統資產盤點,依管理責任指定對應之資產管理人,並依資產屬性進行分類,分別為資訊資產、軟體資產、實體資產、服務資產、人員資產、個資資產等。
  2. 資訊及資通系統資產項目如下

1.硬體資產:電腦及通訊設備、可攜式設備及資通系統相關之設備等。

2.軟體資產:包括下列二類型-

(1)應用軟體、系統軟體、開發工具、套裝軟體及電腦作業系統等。
(2)以數位等形式儲存之資訊,如資料庫、資料檔案、系統文件、操作手冊、訓練教材、研究報告、作業程序、永續運作計畫、稽核紀錄及歸檔之資訊等。

3.支援服務資產:

(1)支援服務之相關人員。
(2)相關基礎設施級其他機關內部之支援服務,如電力、消防等。
  1. 本機關每年應依資訊及資通系統盤點結果[7],製作「資訊及資通系統資產清冊」[8]欄位應包含:資訊系統名稱、業務屬性、資訊系統安全等級、共同性系統、承辦(管理)單位等
  2. 資訊及資通系統之硬體資產應以標籤標示於設備明顯處,並由總務人員載明財產編號、保管人、廠牌、型號等資訊。
  3. 各業務管理之資訊或資通設備如有異動,應即時通知資通安全推動小組更新資產清冊。

二、機關資通安全責任等級分級

本機關自行辦理資通業務,未維運自行或委外開發之資通系統者,其資通安全責任等級為 E 級。。

捌、資通安全風險評估

一、資通安全風險評估

  1. 本機關應每年針對資訊及資通設備資產進行風險評估。
  2. 執行風險評估時應依據南投縣政府資訊安全維護計畫第捌點執行相關作業。
  3. 本機關應每年依據資通安全責任等級分級辦法之規定,分別就機密性、完整性、可用性、法律遵循性等構面評估。

玖、資通安全防護及控制措施

本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項,採行相關之防護及控制措施,全機關之防護及控制措施詳如本機關資通安全維護計畫。

本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項,採行相關之防護及控制措施如下:

一、資訊及資通系統之管理

(一)資訊及資通系統之使用

  1. 本機關同仁使用資訊及資通系統須遵守系統管理機關相關規範。
  2. 本機關同仁使用資訊及資通系統時,應留意其資通安全要求事項,並負對應之責任。
  3. 本機關同仁使用資訊及資通系統後,應依規定之程序歸還。資訊類資訊之歸還應確保相關資訊已正確移轉,並安全地自原設備上抺除。
  4. 非本機關同仁使用本機關之資訊及資通系統,應確實遵守本機關之相關資通安全要求,且未經授權不得任意複製資訊。
  5. 對於資訊及資通系統,宜識別並以文件記錄及實作可被接受使用之規則。

二、存取控制與加密機制管理

(一)網路安全控管

  1. 本機關之網路區域劃分如下:
  1. 外部網路:對外網路區域,連接外部廣網路(Wide Area Network, WAN)。
  2. 非軍事區(DMZ):放置機關對外服務伺服器之區段。
  3. 內部區域網路 (Local Area Network, LAN) :機關內部單位人員及內部伺服器使用之網路區段。
  4. 實體隔離網路(註:戶所及地所適用):連接中央系統之專屬網路。
  1. 外部網路、非軍事區及內部區域網路間連線需經防火牆進行存取控制,非允許的服務與來源不能進入其他區域。
  2. 應定期檢視防火牆政策是否適當,並適時進行防火牆軟、硬體之必要更新或升級。
  3. 對於通過防火牆之來源端主機IP位址、目的端主機IP位址、來源通訊埠編號、目的地通訊埠編號、通訊協定、登入登出時間、存取時間以及採取的行動,均應予確實記錄。
  4. 本機關內部網路之區域應做合理之區隔,使用者應經授權後在授權之範圍內存取網路資源。
  5. 對網路系統管理人員或資通安全主管人員的操作,均應建立詳細的紀錄。並應定期檢視網路安全相關設備設定規則與其日誌紀錄,並檢討執行情形。
  6. 使用者應依規定之方式存取網路服務,不得於辦公室內私裝電腦及網路通訊等相關設備。
  7. 網域名稱系統(DNS)防護
  1. 一般伺服器應關閉DNS服務,防火牆政策亦應針對DNS進行控管,關閉不需要的DNS服務存取。
  2. DNS伺服器應經常性進行弱點漏洞管理與修補、落實存取管控機制。
  3. DNS伺服器應設定指向GSN Cache DNS。
  4. 內部主機位置查詢應指向機關內部DNS伺服器。
  1. 無線網路防護
  1. 機密資料原則不得透過無線網路及設備存取、處理或傳送。
  2. 無線設備應具備安全防護機制以降低阻斷式攻擊風險,且無線網路之安全防護機制應包含外來威脅及預防內部潛在干擾。
  3. 行動通訊或紅外線傳輸等無線設備原則不得攜入涉及或處理機密資料之區域。
  4. 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站,應安裝防毒軟體,並定期更新病毒碼。

(二)資通系統權限管理

  1. 本機關之資通系統應設置通行碼管理,通行碼之要求需滿足:
  1. 通行碼長度8碼以上。
  2. 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。
  3. 使用者每90天應更換一次通行碼。
  1. 使用者使用資通系統前應經授權,並使用唯一之使用者ID,除有特殊營運或作業必要經核准並紀錄外,不得共用ID。
  2. 使用者無繼續使用資通系統時,應立即停用或移除使用者ID,資通系統管理者應定期清查使用者之權限。

(三)特權帳號之存取管理

  1. 資通設備之特權帳號請應經正式申請授權方能使用,特權帳號授權前應妥善審查其必要性,其授權及審查記錄應留存。
  2. 資通設備之特權帳號不得共用。
  3. 對於特權帳號,宜指派與該使用者日常公務使用之不同使用者ID。
  4. 資通設備之特權帳號應妥善管理,並應留存特殊權限帳號之使用軌跡。
  5. 資通設備之管理者每季應清查系統特權帳號並劃定特權帳號逾期之處理方式。

(四)加密管理

  1. 本機關之機密資訊於儲存或傳輸時應進行加密。
  2. 本機關之加密保護措施應遵守下列規定:
  1. 應落實使用者更新加密裝置並備份金鑰。
  2. 應避免留存解密資訊。
  3. 一旦加密資訊具遭破解跡象,應立即更改之。

三、作業與通訊安全管理

(一)防範惡意軟體之控制措施

  1. 本機關之主機及個人電腦應安裝防毒軟體,並時進行軟、硬體之必要更新或升級。
  1. 經任何形式之儲存媒體所取得之檔案,於使用前應先掃描有無惡意軟體。
  2. 電子郵件附件及下載檔案於使用前,宜於他處先掃描有無惡意軟體。
  3. 確實執行網頁惡意軟體掃描。
  1. 使用者未經同意不得私自安裝應用軟體,管理者並應每半年定期針對管理之設備進行軟體清查。
  2. 使用者不得私自使用已知或有嫌疑惡意之網站。
  3. 設備管理者應定期進行作業系統及軟體更新,以避免惡意軟體利用系統或軟體漏洞進行攻擊。

(二)遠距工作之安全措施

  1. 本機關資通系統之操作及維護以現場操作為原則,避免使用遠距工作,如有緊急需求時,應申請並經內部程序核可同意後始可開通。
  2. 資通安全推動小組應定期審查已授權之遠距工作需求是否適當。
  3. 針對遠距工作之連線應採適當之防護措施(並包含伺服器端之集中過濾機制檢查使用者之授權),並且記錄其登入情形。
  1. 提供適當通訊設備,並指定遠端存取之方式。
  2. 提供虛擬桌面存取,以防止於私有設備上處理及儲存資訊。
  3. 進行遠距工作時之安全監視。
  4. 遠距工作終止時之存取權限撤銷,並應返還相關設備。

(三)電子郵件安全管理

  1. 本機關人員到職後應經申請方可使用電子郵件帳號,並應於人員離職後刪除電子郵件帳號之使用。
  2. 電子郵件系統管理人應定期進行電子郵件帳號清查。
  3. 電子郵件伺服器應設置防毒及過濾機制,並適時進行軟硬體之必要更新。
  4. 使用者使用電子郵件時應提高警覺,並使用純文字模式瀏覽,避免讀取來歷不明之郵件或含有巨集檔案之郵件。
  5. 原則不得電子郵件傳送機密性或敏感性之資料,如有業務需求者應依相關規定進行加密或其他之防護措施。
  6. 使用者不得利用機關所提供電子郵件服務從事侵害他人權益或違法之行為。
  7. 使用者應確保電子郵件傳送時之傳遞正確性。
  8. 使用者使用電子郵件時,應注意電子簽章之要求事項。
  9. 本機關應定期舉辦(或配合上級機關舉辦)電子郵件社交工程演練,並檢討執行情形。

(四)確保實體與環境安全措施

  1. 電腦機房之門禁管理---機關目前無設電腦機房
  1. 電腦機房應進行實體隔離。
  2. 機關人員或來訪人員應申請及授權後方可進入電腦機房[9],電腦機房管理者並應定期檢視授權人員之名單。
  3. 人員進入管制區應配載身分識別之標示,並隨時注意身分不明或可疑人員。
  4. 僅於必要時,得准許外部支援人員進入電腦機房。
  5. 人員及設備進出電腦機房應留存記錄。
  1. 電腦機房之環境控制
  1. 電腦機房之空調、電力應建立備援措施。
  2. 電腦機房之溫濕度管控範圍為:溫度範圍 : 25 +/- 5度;濕度範圍 : 50 +/- 10%
  3. 電腦機房應安裝之安全偵測及防護措施,包括熱度及煙霧偵測設備、火災警報設備、溫濕度監控設備、漏水偵測設備、入侵者偵測系統,以減少環境不安全引發之危險。
  4. 各項安全設備應定期執行檢查、維修,並應定時針對設備之管理者進行適當之安全設備使用訓練。
  1. 辦公室區域之實體與環境安全措施
  1. 應考量採用辦公桌面的淨空政策,以減少文件及可移除式媒體等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。
  2. 文件及可移除式媒體在不使用或不上班時,應存放在櫃子內。
  3. 機密性及敏感性資訊,不使用或下班時應該上鎖。
  4. 機密資訊或處理機密資訊之資通系統應避免存放或設置於公眾可接觸之場域。
  5. 顯示存放機密資訊或具處理機密資訊之資通系統地點之通訊錄及內部人員電話簿,不宜讓未經授權者輕易取得。
  6. 資訊或資通系統相關設備,未經管理人授權,不得被帶離辦公室。

(五)資料備份

  1. 重要資料應進行資料備份,其備份之頻率應滿足復原時間點目標之要求,並執行異地存放。
  2. 本機關應每半年確認重要資料備份之有效性。且測試該等資料備份時,宜於專屬之測試系統上執行,而非直接於覆寫回原資通設備。
  3. 敏感或機密性資訊之備份應加密保護。

(六)媒體防護措施

  1. 使用隨身碟或磁片等存放資料時,具機密性、敏感性之資料應與一般資料分開儲存,不得混用並妥善保管。
  2. 資訊如以實體儲存媒體方式傳送,應留意實體儲存媒體之包裝,選擇適當人員進行傳送,並應保留傳送及簽收之記錄。
  3. 為降低媒體劣化之風險,宜於所儲存資訊因相關原因而無法讀取前,將其傳送至其他媒體。
  4. 對機密與敏感性資料之儲存媒體實施防護措施,包含機密與敏感之紙本或備份磁帶,應保存於上鎖之櫃子,且需由專人管理鑰匙。

(七)電腦使用之安全管理

  1. 電腦、業務系統或自然人憑證,若超過15分鐘不使用時,應立即登出或啟動螢幕保護功能並取出自然人憑證。
  2. 禁止私自安裝點對點檔案分享軟體及未經合法授權軟體。
  3. 連網電腦應隨時配合更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
  4. 筆記型電腦及實體隔離電腦應定期以人工方式更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
  5. 下班時應關閉電腦及螢幕電源。
  6. 如發現資安問題,應主動循機關之通報程序通報。
  7. 支援資訊作業的相關設施如影印機、傳真機等,應安置在適當地點,以降低未經授權之人員進入管制區的風險,及減少敏感性資訊遭破解或洩漏之機會。

(八)行動設備之安全管理

  1. 機密資料不得由未經許可之行動設備存取、處理或傳送。
  2. 機敏會議或場所不得攜帶未經許可之行動設備進入

(九)即時通訊軟體之安全管理

1.使用即時通訊軟體傳遞機關內部公務訊息,其內容不得涉及機密資料。

2.因特殊需求須使用即時通訊軟體傳遞非機密之公務訊息時,應簽核至縣府一層長官同意後,方可開放,然大陸地區設計製造之即時通訊軟體仍不得使用。若中央訂有統一機關使用之即時通訊軟體,則應全面改用之。

四、業務持續運作演練

依花蓮縣政府資通安全維護計畫第玖點、五、業務持續運作縯練規定有核心資通系統之C級機關適用,本機關無核心資通系統為D級機關,無強制規定需持續運作演練,餘配合縣府規定辦理。

五、資通安全防護設備

  1. 本機關應建置防毒軟體、網路防火牆、電子郵件過濾裝置,持續使用並適時進行軟、硬體之必要更新或升級,連外網路屬上級機關VPN時,得由上級機關代為建置
  2. 資安設備應定期備份日誌紀錄,定期檢視並由主管複核執行成果,並檢討執行情形。

壹拾、資通安全事件通報、應變及演練相關機制

為即時掌控資通安全事件,並有效降低其所造成之損害,本機關應訂定資通安全事件通報、應變及演練相關機制,詳資通安全事件通報應變程序[10]

壹拾壹、資通安全情資之評估及因應

本機關接獲資通安全情資,應評估該情資之內容,並視其對本機關之影響、本機關可接受之風險及本機關之資源,決定最適當之因應方式,必要時得調整資通安全維護計畫之控制措施,並做成紀錄。

一、資通安全情資之分類評估

本機關接受資通安全情資後,應指定人員進行情資分析,並依據情資之性質進行分類及評估,情資分類評估如下:

(一)資通安全相關之訊息情資

資通安全情資之內容如包括重大威脅指標情資、資安威脅漏洞與攻擊手法情資、重大資安事件分析報告、資安相關技術或議題之經驗分享、疑似存在系統弱點或可疑程式等內容,屬資通安全相關之訊息情資。

(二)入侵攻擊情資

資通安全情資之內容如包含特定網頁遭受攻擊且證據明確、特定網頁內容不當且證據明確、特定網頁發生個資外洩且證據明確、特定系統遭受入侵且證據明確、特定系統進行網路攻擊活動且證據明確等內容,屬入侵攻擊情資。

(三)機敏性之情資

資通安全情資之內容如包含姓名、出生年月日、國民身份證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接識別之個人資料,或涉及個人、法人或團體營業上秘密或經營事業有關之資訊,或情資之公開或提供有侵害公務機關、個人、法人或團體之權利或其他正當利益,或涉及一般公務機密、敏感資訊或國家機密等內容,屬機敏性之情資。

(四)涉及核心業務、核心資通系統之情資

資通安全情資之內容如包含機關內部之核心業務資訊、核心資通系統、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作等內容,屬涉及核心業務、核心資通系統之情資。

二、資通安全情資之因應措施

本機關於進行資通安全情資分類評估後,應針對情資之性質進行相應之措施,必要時得調整資通安全維護計畫之控制措施。

(一)資通安全相關之訊息情資

由資通安全推動小組彙整情資後進行風險評估,並依據資通安全維護計畫之控制措施採行相應之風險預防機制。

(二)入侵攻擊情資

由指定人員判斷有無立即之危險,必要時採取立即之通報應變措施,並依據資通安全維護計畫採行相應之風險防護措施,另通知各單位進行相關之預防。

(三)機敏性之情資

就涉及個人資料、營業秘密、一般公務機密、敏感資訊或國家機密之內容,應採取遮蔽或刪除之方式排除,例如個人資料及營業秘密,應以遮蔽或刪除該特定區段或文字,或採取去識別化之方式排除之。

(四)涉及核心業務、核心資通系統之情資

資通安全推動小組應就涉及核心業務、核心資通系統之情資評估其是否對於機關之運作產生影響,並依據資通安全維護計畫採行相應之風險管理機制。

壹拾貳、資通系統或服務委外辦理之管理

本機關委外辦理資通系統之建置、維運或資通服務之提供時,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。

一、選任受託者應注意事項

  1. 受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證[11]
  2. 受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。
  3. 受託者辦理受託業務得否複委託、得複委託之範圍與對象,及複委託之受託者應具備之資通安全維護措施。
  4. 受託業務涉及國家機密者,應考量受託業務所涉及國家機密之機密等級內容,於招標公告、招標文件及契約中,註明受託者辦理該項業務人員及可能接觸該國家機密人員應接受適任性查核,並依國家機密保護法之規定,管制其出境。
  5. 前點適任性查核得在必要範圍內就下列事項查核,查核前應經當事人書面同意:
  1. 曾犯洩密罪,或於動員戡亂時期終止後,犯內亂罪、外患罪,經判刑確定,或通緝有案尚未結案者。
  2. 曾任公務人員因違反相關安全保密規定,受懲戒處分、記過以上行政懲處者。
  3. 曾受到外國政府、大陸地區或香港、澳門官方之利誘、脅迫,從事不利國家安全或重大利益情事者。
  4. 其他與國家機密保護相關之具體項目。

二、監督受託者資通安全維護情形應注意事項

  1. 受託業務包括客製化資通系統開發者,受託者應提供該資通系統之第三方安全性檢測證明;涉及利用非自行開發之系統或資源者,並應標示非自行開發之內容與其來源及提供授權證明。
  2. 受託者執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應1小時內通知委託機關及採行之補救措施。
  1. 資訊資料遭洩漏。
  2. 資訊系統遭竄改。
  3. 系統之運作受影響或停頓。
  1. 委託關係終止或解除時,應確認受託者返還、移交、刪除或銷毀履行委託契約而持有之資料。
  2. 受託者應採取之其他資通安全相關維護措施[12]
  3. 本機關應定期或於知悉受託者發生可能影響受託業務之資通安全事件時,以稽核或其他適當方式確認受託業務之執行情形[13]

壹拾參、資通安全教育訓練

一、資通安全教育訓練要求

  1. 資安兼人員每人每年至少接受6小時以上之資安專業課程訓練或資安職能訓練。
  2. 資訊人員每人每年至少接受6小時以上之資安專業課程訓練。
  3. 本機關之一般使用者與主管,每人每年接受3小時以上之一般資通安全教育訓練。

二、資通安全教育訓練辦理方式

  1. 承辦單位應於每年年初,考量管理、業務及資訊等不同工作類別之需求,擬定資通安全認知宣導及教育訓練計畫[14]或配合縣府計畫,以建立員工資通安全認知,提升機關資通安全水準,並應保存相關之資通安全認知宣導及教育訓練紀錄[15]
  2. 本機關資通安全認知宣導及教育訓練之內容得包含:
  1. 資通安全政策(含資通安全維護計畫之內容、管理程序、流程、要求事項及人員責任、資通安全事件通報程序等)。
  2. 資通安全法令規定。
  3. 資通安全作業內容。
  4. 資通安全技術訓練。
  1. 員工報到時,應使其充分瞭解本機關資通安全相關作業規範及其重要性。
  2. 資通安全教育及訓練之政策,除適用所屬員工外,對機關外部的使用者,亦應一體適用。

壹拾肆、公務機關所屬人員辦理業務涉及資通安全事項之考核機制

本機關所屬人員之平時考核或聘用,依據公務機關所屬人員資通安全事項獎懲辦法、花蓮縣政府暨所屬各機關學校公務人員平時獎懲標準表規定辦理之。

壹拾伍、資通安全維護計畫及實施情形之持續精進及績效管理機制

一、資通安全維護計畫之實施

為落實本安全維護計畫,使本機關之資通安全管理有效運作,相關單位於訂定各階文件、流程、程序或控制措施時,應與本機關之資通安全政策、目標及本安全維護計畫之內容相符,並應保存相關之執行成果記錄。

二、資通安全維護計畫實施情形之稽核機制

(一)稽核機制之實施

  1. 資通安全推動小組得視需要進行內部稽核作業,可以上級機關之稽核作業代替,以確認人員是否遵循本規範與機關之管理程序要求,並有效實作及維持管理制度。
  2. 辦理稽核前資通安全推動小組應擬定資通安全稽核計畫[16]並安排稽核成員,稽核計畫應包括稽核之依據與目的、期間、重點領域、稽核小組組成方式、保密義務[17]、稽核方式、基準與項目及受稽單位協助事項,並應將前次稽核之結果納入稽核範圍。
  3. 辦理稽核時,資通安全推動小組應於執行稽核前14日,通知受稽核單位,並將稽核期程、稽核項目紀錄表[18]及稽核流程等相關資訊提供受稽單位。
  4. 本機關之稽核人員應受適當培訓並具備稽核能力,且不得稽核自身經辦業務,以確保稽核過程之客觀性及公平性;另,於執行稽核時,應填具稽核項目紀錄表,待稽核結束後,應將稽核項目紀錄表內容彙整至稽核結果及改善報告[19]中,並提供給受稽單位填寫辦理情形。
  5. 稽核結果應對相關管理階層(含資安長)報告,並留存稽核過程之相關紀錄以作為資通安全稽核計畫及稽核事件之證據。
  6. 稽核人員於執行稽核時,應至少執行一項特定之稽核項目(如是否瞭解資通安全政策及應負之資安責任、是否訂定人員之資通安全作業程序與權責、是否定期更改密碼)。

(二)稽核改善報告

  1. 受稽單位於稽核實施後發現有缺失或待改善項目者,應對缺失或待改善之項目研議改善措施、改善進度規劃,並落實執行。
  2. 受稽單位於稽核實施後發現有缺失或待改善者,應判定其發生之原因,並評估是否有其類似之缺失或待改善之項目存在。
  3. 受稽單位於判定缺失或待改善之原因後,應據此提出並執行相關之改善措施及改善進度規劃,必要時得考量對現行資通安全管理制度或相關文件進行變更。
  4. 機關應定期審查受稽單位缺失或待改善項目所採取之改善措施、改善進度規劃及佐證資料之有效性。
  5. 受稽單位於執行改善措施時,應留存相關之執行紀錄,並填寫稽核結果及改善報告。

三、資通安全維護計畫之持續精進及績效管理

  1. 本機關之資通安全推動小組應於每年7月底前(配合縣政府計畫,於收到縣府公文後20日內)召開資通安全管理審查會議,確認資通安全維護計畫之實施情形,確保其持續適切性、合宜性及有效性。
  2. 管理審查議題應包含下列討論事項:
  1. 過往管理審查議案之處理狀態。
  2. 與資通安全管理系統有關之內部及外部議題的變更,如法令變更、上級機關要求、資通安全推動小組決議事項等。
  3. 資通安全維護計畫內容之適切性。
  4. 資通安全績效之回饋,包括:
    1. 資通安全政策及目標之實施情形。
    2. 資通安全人力及資源之配置之實施情形。
    3. 資通安全防護及控制措施之實施情形。
    4. 內外部稽核結果。
    5. 不符合項目及矯正措施。
  5. 風險評鑑結果及風險處理計畫執行進度。
  6. 重大資通安全事件之處理及改善情形。
  7. 利害關係人之回饋。
  8. 持續改之機會。
  1. 持續改善機制之管理審查應做成改善績效追蹤報告[20],相關紀錄並應予保存,以作為管理審查執行之證據。

壹拾陸、資通安全維護計畫實施情形之提出

本機關依據南投縣政府資通安全維護計畫第壹拾陸規定配合辦理,向監督機關-南投縣政府,提出資通安全維護計畫實施情形[21],使其得瞭解本機關之年度資通安全計畫實施情形。

壹拾柒、相關法規、程序及表單

一、相關法規及參考文件

(一)資通安全管理法

(二)資通安全管理法施行細則

(三)資通安全責任等級分級辦法

(四)資通安全事件通報及應變辦法

(五)資通安全情資分享辦法

(六)公務機關所屬人員資通安全事項獎懲辦法

(七)資訊系統風險評鑑參考指引

(八)政府資訊作業委外安全參考指引

(九)南投政府政府資訊安全管理要點

(十)南投縣政府資通安全緊急應變計畫暨作業處理程序

(十一)南投縣政府個人資料保護管理要點

(十二)南投縣政府資通安全處理小組設置及作業要點

(十三)南投縣政府資訊推動小組設置要點

(十四)南投縣資訊系統開發及維運作業要點

(十五)南投縣政府網路使用規範

(十六)南投縣政府電子郵件使用作業規定

(十七)南投縣政府網際網路網站管理要點

(十八)本機關資通安全事件通報及應變管理程序

二、附件表單

  1. 資通安全推動小組成員及分工表
  2. 資通安全保密同意書
  3. 資訊及資通系統資產清冊
  4. 資訊系統資產風險評鑑表
  5. 委外廠商執行人員保密切結書、保密同意書
  6. 委外廠商查核項目表
  7. 年度資通安全教育訓練計畫
  8. 資通安全認知宣導及教育訓練簽到表
  9. 資通安全維護計畫實施情形
  10. 資通安全稽核計畫
  11. 稽核項目紀錄表
  12. 稽核結果紀錄表
  13. 稽核結果及改善報告

 

 

 

 

 

 

 

附件表單(一) 資通安全推動小組成員及分工表

花蓮縣卓溪鄉卓清國民小學

資通安全推動小組成員及分工表

編號:001

製表日期:109年07月16日

單位職級

名稱

資訊推動小組分組

職掌事項

分機

備註

(代理人)

校   長

鄭嘉毅

 

資通安全督導

10

 

教導主任

羅崇瑚

資安防護組

資通安全事件通報

11

 

資訊教師

陳彥婷

資安防護組

資通安全事件通報

25

 

 

 

附件表單(二)資通安全保密同意書-1

資通安全保密同意書(一般人員用)

 

本人___________自民國___年___月___日起,於_______________服務,對於職務上所知悉或持有之機密資料、程式及檔案、媒體等,絕對保守機密,不任意對外洩漏,並能遵守個人資料保護法、國家機密保護法以及本府資訊安全管理要點等法令,如有違誤,願負法律上相關責任,離職後亦同。

 

 

 

 

                           具切結書人(簽章):

戶籍地:

身分證字號:

 

 

中華民國      年     月     日

附件表單(二)資通安全保密同意書-2

資通安全保密同意書(駐點人員用)

 

本人___________自民國___年___月___日起,於

                    進行駐點服務,對於職務上所知悉或持有之機密資料、程式及檔案、媒體等,絕對保守機密,不任意對外洩漏,並能遵守個人資料保護法、國家機密保護法以及本府資訊安全管理要點等法令,如有違誤,願負法律上相關責任,離職後亦同。

 

 

 

 

                           具切結書人(簽章):

戶籍地:

身分證字號:

 

 

中華民國      年     月     日

附件表單(五)委外廠商執行人員保密切結書、保密同意書

資通安全保密切結書(委外廠商用)

具切結人_________________________________________________,於民國______年參與「______________________案」之規劃、設計或設備安裝,謹聲明恪遵契約之精神及規範如下:

 

一、對工作中所持有、知悉之資訊系統作業機密或敏感性業務檔案資料,均保證善盡保密義務與責任,非經機關權責人員之書面核准,不得擷取、持有、傳遞或以任何方式提供給無業務關係之第三人,如有違反願賠償一切因此所生之損害,並擔負相關民、刑事責任,絶無異議。

 

二、本保密切結書不因立切結書人離職而失效。

 

三、立切結書人因違反本保密切結書應盡之保密義務與責任致生之一切損害,立切結書人所屬公司或廠商應負連帶賠償責任。

 

具切結人:

姓名及簽章    身分證字號    聯絡電話   戶籍地址

__________    __________    ________   ____________________
__________    __________    ________   ____________________

__________    __________    ________   ____________________

 

立切結書人所屬廠商:

廠商名稱及蓋章  廠商負責人姓名及簽章    廠商聯絡電話及地址

                                                             

 

說明:本切結書所蒐集之個人資料僅供本專案相關業務使用,並依個人資料保護法之相關規定,遵循本機關資通安全管理規範妥為保存。

 

 

中  華  民  國        年      

附件表單(七)年度資通安全教育訓練計畫

花蓮縣卓溪鄉卓清國民小學     年度資通安全教育訓練計畫

  • 依據

花蓮縣花蓮市明恥國民小學之資通安全維護計畫辦理。

  • 目的

為精進本機關及所屬人員之資通安全意識及職能,並敦促該等人員得以瞭解並執行(本機關)之資通安全維護計畫,以強化(本機關)之資通安全管理能量,爰要求該等人員應接受資通安全之教育訓練,爰擬定本教育訓練計畫。

  • 實施範圍(各機關自行定義)

本機關所屬人員

人員類別

人數

資通安全或資訊人員

1

一般人員

1

主管人員

1

共計

3

 
  • 訓練項目(各機關自行定義)

人員類別

訓練課程[22]

時數

資通安全或資訊人員

電子郵件安全

1

資通安全或資訊人員

資訊系統風險管理

2

一般人員

資訊安全通識

2

主管人員

資訊安全通識

1

 
  • 訓練期程(各機關自行定義)

由各機關自行排定教育訓練期程。

  • 訓練方式(各機關自行定義)

由各機關自行決定教育訓練方式(實體課程、線上課程…)。

附件表單(八)資通安全認知宣導及教育訓練簽到表

花蓮縣卓溪鄉卓清國民小學資通安全認知宣導及教育訓練簽到表

編號:002

課程名稱:資安宣導課程-案例分享、資安防護重點等

時  間:     年    月    日 13:00 ─ 16:00

地    點:_____電腦教室_____________________

單  位

職  稱

姓  名

簽  名

 

校長

鄭嘉毅

 

教導處

主任

羅崇瑚

 

總務處

主任

曹雅華

 

人事處

主任

蘇孝儀

 

總務處

出納

高翠萍

 

教導處

教務組長

蘇素芬

 

教導處

訓導組長

康志豐

 

總導處

資訊人員

陳彥婷

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

附件表單(九)資通安全維護計畫實施情形

花蓮縣卓溪鄉卓清國民小學資通安全維護計畫實施情形

編號:01

本機關(單位)經主管機關核定後本單位之資通安全責任等級為 D ,依資通安全管理法第12條之規定,提出本(109)年度資通安全維護計畫實施情形、執行成果及相關說明如下表所示:

實施項目

實施內容

實施情形說明

  1. 核心業務及其重要性
  1. 核心業務及重要性盤點

本機關核心業務及重要性詳參資通安全維護計畫(詳附件,下同)。

  1. 資通安全政策及目標之訂定
  1. 資通安全政策訂定及核定

本機關已訂定資通安全政策,詳參資通安全維護計畫,並經資安長核定(詳公文附件)。

  1. 資通安全目標之訂定

本機關已訂定資通安全目標,詳參資通安全維護計畫。

  1. 資通安全政策及目標宣導

本機關為推動資通安全政策,已定期向同仁及利害關係人進行宣

  1. 資通安全政策及目標定期檢視

本機關已定期召開資通安全管理審查會議中檢討資通安全政策及目標之適切性 (詳會議記錄) 。

  1. 設置資通安全推動組織
  1. 設定資通安全長

本機關已指定鄭嘉毅校長為資通安全長,其職掌詳參資通安全維護計畫。

  1. 設置資通安全推動小組

本機關已設置資通安全推動小組,其組織、分工及職常詳參資通安全維護計畫。

  1. 專責人力及經費之配置
  1. 專職(責)人員配置

本機關屬資安等級D級無須配置專職(責)人員。

  1. 經費之配置

本機關今年視需求已合理分資安經費,資安經費佔資訊經費之○○%

  1. 資訊及資通系統之盤點及核心資通系統、相關資產之標示
  1. 資訊及資通系統之盤點

本機關已於今年6月盤點本機關之資訊、資通系統,建立資產目錄。

  1. 機關資通安全責任等級分級

本機關依資通安全責任等級分級辦法,為資通安全責任等級D級機關。

  1. 資通安全風險評估
  1. 資通安全風險評估

本機關已於今年6月完成本機關之資訊、資通系統及相關資產之風險分析評估及處理。

  1. 資通安全風險之因應

本機關己依資通安全風險評估之結果擬定對應之資通安全防護及控制措施。

  1. 資通安全防護及控制措施
  1. 資通安全防護及控制措施

本機關己依依安全維護計畫辦理,詳附件資料。

  1. 資訊及通系統之保管

本機關己依依安全維護計畫辦理,詳附件資料。

  1. 存取控制與加密機制管理

本機關己依依安全維護計畫辦理。

  1. 作業及通訊安全管理

本機關己依依安全維護計畫辦理。

  1. 系統獲取、開發及維護

本機關己依依安全維護計畫辦理。

  1. 執行資通安全健診

本機關己依依安全維護計畫辦理。

  1. 資通安全事件通報、應變及演練相關機制
  1. 訂定資通安全事件通報、應變及演練相關機制

本機關己依規定訂定資通安全事件通報應變程序。(詳附件)

  1. 資通安全事件通報、應變及演練

本機關已依規定進行資通安全事件通報。

本機關已依規定於今年  月辦理社交工程演練,並於 月辦理通報應變演練。

  1. 資通安全情資之評估及因應機制
  1. 資通安全情資之分類評估

本機關接受情資後,已進行分類評估。

  1. 資通安全情資之因應措施

本機關已接受情資之分類,採取對應之因應措施。

  1. 資通系統或服務委外辦理之管理
  1. 選任受託者應注意事項

本機關資通系統或服務委外辦理時,已將選任受託者應注意事項加入招標文件中。

  1. 監督受託者資通安全維護情形應注意事項

本機關已依規定監督受託者資通安全維護情形,客製他資通系統開發者

,已要求其出具安全性檢測證明

  1. 資通安全教育訓練
  1. 資通安全教育訓練要求

本機關人員已規定進行資通安全教育訓練。

  1. 辦理資通安全教育訓練

本機關已於今年 月辦理資通安全教育訓練。

  1. 公務機關所屬人員辦理業務涉及資通安全事項之考核機制
  1. 訂定考核機制並進行考核

本機關已建立考核機制,並已依規定進行平時及年終考核。

  1. 資通安全維護計畫及實施情形之持續精進及績效管理機制
  1. 資通安全維護計畫之實施

本機關已依規定訂定各階文件、流程、程序或控制措施,據以實施並保存相關之執行成果記錄。

  1. 資通安全維護計畫實施情形之稽核機制

本機關已依規定辦理內部稽核。

  1. 資通安全維護計畫之持續精進及績效管理

本機關已依規定辦理內部召開管理審查會議,確認資通安全維護計畫之實施情形,確保其持續適切性、合宜性及有效性。

其他說明

 

承辦人:                 單位主管:            資通安全長:

註:陳核層級請機關依需求調整

附件表單(十)資通安全稽核計畫

花蓮縣卓溪鄉卓清國民小學109年度資通安全稽核計畫

  • 花蓮縣卓溪鄉卓清國民小學之資通安全維護計畫辦理。
  • 資通安全管理法第十三條規定辦理。
  • 目的

為瞭解本機關資通安全維護計畫執行之有效性,爰擬定本稽核計畫,執行稽核作業。

  • 稽核期程

自109年01月01日至109年12月31日。

  • 稽核團隊成員

由各機關自行考量稽核之需求,邀請具備資通安全政策或該次稽核所需之技術、管理、法律或實務專業知識之公務機關代表或專家學者,稽核團隊人數原則為3至5人。

教導處  羅崇瑚 主任  

總務處  曹雅華 主任

教導處  陳彥婷 教師

  • 稽核範圍

    花蓮縣卓溪鄉卓清國民小學

  • 稽核項目及內容
    依據各機關安全維護之內容,並參考國際資訊安全管理標準ISO 27001:2013、國際資訊技術服務管理標準 ISO 20000、「個人資料保護法」、「個人資料保護法施行細則」、「政府機關(構)資通安全責任等級分級作業規定」或「資訊系統分級與資安防護基準作業規定」等,以及其他相關規定,由各機關自行定義當年度之稽核項目、內容及執行方式。
  • 核心業務及其重要性:(內容由各機關自行定義)
  • 資通安全政策及目標:(內容由各機關自行定義)
  • 資通安全推動組織:(內容由各機關自行定義)
  • 專責人力及經費之配置:(內容由各機關自行定義)
  • 公務機關資通安全長之配置:(內容由各機關自行定義)
  • 資訊及資通系統之盤點,並標示核心資通系統及相關資產:(內容由各機關自行定義)
  • 資通安全風險評估:(內容由各機關自行定義)
  • 資通安全防護及控制措施:(內容由各機關自行定義)
  • 資通安全事件通報、應變及演練相關機制:(內容由各機關自行定義)
  • 資通安全情資之評估及因應機制:(內容由各機關自行定義)
  • 資通系統或服務委外辦理之管理措施:(內容由各機關自行定義)
  • 公務機關所屬人員辦理業務涉及資通安全事項之考核機制:(內容由各機關自行定義)
  • 資通安全維護計畫及實施情形之持續精進及績效管理機制:(內容由各機關自行定義)
  • 改善作業

(各機關自行定義)
由各機關自行評估對於稽核結果表現優良者是否給予行政獎勵,並針對缺失或待改善項目者研擬後續追蹤方式及頻率(如將前次稽核結果納入本次稽核範圍中追蹤辦理情形及進度)。

附件表單(十一)稽核項目紀錄表

花蓮縣卓溪鄉卓清國民小學稽核項目紀錄表

稽核日期:     年    月    日

稽核範圍:花蓮縣卓溪鄉卓清國民小學

受稽核單位

稽核項目

稽核結果

備註

總務處

資產盤點

□符合

不符合

不適用

經驗證其資產項目表,按規定進行資產盤點,各項資產均依規定建檔並指派責任人。

人事室

權限控管

符合

□不符合

不適用

可使用高權限登入A網站,提供一般同仁進行課程報到作業外,亦可查詢所有同仁之個人資料。

 

 

□符合

不符合

不適用

 

 

 

 

□符合

不符合

不適用

 

 

 

 

□符合

不符合

不適用

 

 

 

 

□符合

不符合

不適用

 

附註

 

受稽核人員:

受稽核單位主管:

註:陳核層級請機關依需求調整

 

附件表單(十二)稽核結果及改善報告

花蓮縣卓溪鄉卓清國民小學稽核結果及改善報告

稽核範圍

花蓮縣卓溪鄉卓清國民小學

稽核日期

               

審查日期

               

改善措施

編號

稽核缺失或待改善稽核項目

改善措施

改善期程規劃

相關證明資料

1

 

 

 

 

2

 

 

 

 

3

 

 

 

 

4

 

 

 

 

5

 

 

 

 

6

 

 

 

 

7

 

 

 

 

8

 

 

 

 

9

 

 

 

 

10

 

 

 

 

11

 

 

 

 

           
 

 

承辦人:             單位主管:        資通安全長:

註:陳核層級請機關依需求調整

附件表單(十三)改善績效追蹤報告

花蓮縣卓溪鄉卓清國民小學改善績效追蹤報告

編號:

製表日期:

稽核發現

稽核日期

             

受稽核單位

 

稽核區域

 

缺失或待改善項目與內容

 

影響範圍評估

 

發生原因分析

 

改善措施成效追蹤

改善措施

預計成效

執行情況

管理面

 

 

 

技術面

 

 

 

人力面

 

 

 

資源面

 

 

 

作業程序

 

 

 

其他

 

 

 

績效管考

改善措施確認

合格/完成

□待追蹤(追蹤期限:       年      月      日)

□不合格(說明:                                        )

經費需求或編列執行金額

    

經費執行情形

 

預定完成日期

               

實際完成日期

              

完成進度或情形說明

 

改善成效考核

 

後續成效追蹤

 

資通安全推動小組

 

資通安全長[24]

 

 

註:陳核層級請機關依需求調整

 

[1] 資通安全推動小組成員由機關之資通安全長召集組成,依資通安全長之指示,負責協助或與機關內之相關單位合作推動機關內部之資通安全業務,如機關未成立資通安全推動小組,相關業務則應由資通安全長責承相關資通安全權責人員辦理之。

[2] 各公務機關應製作「資通安全推動小組成員及分工表」,說明小組成員及相關職掌,格式可參附件:資通安全推動小組成員及分工表。

 

[3] 各公務機關應製作「資通安全專職人員分工表」,說明專職人員及相關職掌,格式可參附件:資通安全推動小組成員及分工表。

[4] 格式可參附件:資通安全保密同意書。

[5] 為有效建置機關之資通安全風險防護機制,公務機關應投入相當之資源,故機關之資通安全推動小組於資源規劃或編制預算時,應考量機關之責任等級、資通安全政策及目標。

[6] 機關可填具資通安全需求申請單,格式可附件:資通安全需求申請單。

[7] 為使公務機關能依其所屬之資通安全責任等級之分級,執行相關之資通安全防護措施,公務機關應先進行機關內部之資訊及資通系統資產之盤點,使其能依據其所擁有之資訊或資通系統依據資通安全責任等級分級辦法進行風險評估。

[8] 參資訊系統風險評鑑參考指引附件詳細風險評鑑空白表單之資訊資產表。

[9] 未具進出管制區權限之人員來訪時,應填具進出登記表,格式可參附件:管制區域人員進出登記表。

[10] 各機關應另訂定資通安全事件通報及應變程序。

[11] 委外單位之管理措施是否完善,可視其人員資格是否具有相關證照、訓練或認證(如ISO 27001CISSPSSCP、各資安教育訓練單位所辦之課程等)做為參考。

[12] 公務機關與委外廠商簽訂契約時,應審查契約中保密條款,並要求委外廠商之業務執行人員簽署委外廠商執行人員保密切結書、保密同意書,格式可參附件:委外廠商執行人員保密切結書、保密同意書。

[13] 稽核項目可參委外廠商查核項目表。

[14] 格式可參附件:年度資通安全教育訓練計畫。

[15] 公務機關辦理教育訓練時,參加人員應簽名留存紀錄,格式可參附件:資通安全認知宣導及教育訓練簽到表。

[16] 格式可參附件:資通安全稽核計畫。

[17] 格式可附件:稽核委員聘任同意暨保密切結書。

[18] 格式可參附件:稽核項目紀錄表

[19] 格式可參附件:稽核結果及改善報告。

[20] 格式可參附件:改善績效追蹤報告

[21] 資通安全維護計畫實施情形之內容,包含上開定期評估、稽核機制、缺失之消除或改正及機關辦理資通安全計畫之相關實施事項,參附件:資通安全維護計畫實施情形。

[22] 可參考行政院國家資通安全會報技術服務中心之資安職能課程項目,網址:https://www.nccst.nat.gov.tw/Capacity?lang=zh 

[23] 各機關可依執行稽核之類別填列適當之依據。

[24] 特定非公務機關部分,可能是資通安全管理代表等相關資通安全負責人。

花蓮縣花蓮縣卓清國民小學

資通安全維護計畫

 

修訂人核章

陳彥婷

單位主管核章

羅崇瑚

校長核章

鄭嘉毅

版次:V1.0(初版)

 

 

 

中華民國109年7月16日

資通安全維護計畫

文件制/修訂紀錄表

文件版本

修訂日期

修訂內容

修訂單位

修訂人

核定人

(資安長)

 

V1.0(初版)

109年7月16日

新擬訂文件

卓清國小

陳彥婷

鄭嘉毅

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

目  錄

 

壹、 依據及目的.... 1

貳、 適用範圍.... 1

參、 核心業務及重要性.... 1

一、  核心業務及重要性:... 1

二、  非核心業務及說明:... 2

肆、 資通安全政策及目標.... 4

一、  資通安全政策... 4

二、  資通安全目標... 4

三、  資通安全政策及目標之核定程序... 4

四、  資通安全政策及目標之宣導... 4

五、  資通安全政策及目標定期檢討程序... 4

伍、 資通安全推動組織.... 4

一、  資通安全長... 4

二、  資通安全推動小組... 5

陸、 專職人力及經費配置.... 6

一、  專職人力及資源之配置... 6

二、  經費之配置... 7

柒、 資訊及資通系統之盤點... 7

一、  資訊及資通系統盤點... 7

二、  機關資通安全責任等級分級... 8

捌、 資通安全風險評估.... 8

一、  資通安全風險評估... 8

玖、 資通安全防護及控制措施.... 9

一、  資訊及資通設備之管理... 9

二、  存取控制與加密機制管理... 9

三、  作業與通訊安全管理... 11

四、  業務持續運作演練... 15

五、  資通安全防護設備... 15

壹拾、 資通安全事件通報、應變及演練相關機制... 15

壹拾壹、 資通安全情資之評估及因應.... 15

一、  資通安全情資之分類評估... 16

二、  資通安全情資之因應措施... 16

壹拾貳、 資通系統或服務委外辦理之管理... 17

一、  選任受託者應注意事項... 18

二、  監督受託者資通安全維護情形應注意事項... 18

壹拾參、 資通安全教育訓練.... 18

一、  資通安全教育訓練要求... 18

二、  資通安全教育訓練辦理方式... 18

壹拾肆、 公務機關所屬人員辦理業務涉及資通安全事項之考核機制    19

壹拾伍、 資通安全維護計畫及實施情形之持續精進及績效管理機制    19

一、  資通安全維護計畫之實施... 19

二、  資通安全維護計畫實施情形之稽核機制... 19

三、  資通安全維護計畫之持續精進及績效管理... 20

壹拾陸、 資通安全維護計畫實施情形之提出.... 21

壹拾柒、 相關法規、程序及表單.... 22

一、  相關法規及參考文件... 22

二、  附件表單... 22

壹、依據及目的

本計畫依據下列法規訂定:

  • 通安全管理法第10條及其施行細則第6條
  • 花蓮縣政府資通安全維護計畫。

貳、適用範圍

本計畫適用範圍涵蓋:花蓮縣卓溪鄉卓清國民小學

參、核心業務及重要性

一、核心業務及重要性:

本機關之核心業務及重要性如下表:

核心業務

核心資通系統

重要性說明

業務失效影響說明

最大可容忍中斷時間

□為主管機關指定之關鍵基礎設施

□為主管機關核定資通安全責任等級A級或B級機關所涉業務

█為本機關依組織法執掌,足認為重要者

財務損失:

民眾生命財產損失:

經濟發展受阻:

影響其他機關業務運作(相依性)

違反法遵義務:

機關信譽:

其他:

IP

系統管理單位:

系統管理人員:

系統維護廠商:

24小時

□為主管機關指定之關鍵基礎設施

□為主管機關核定資通安全責任等級A級或B級機關所涉業務

█為本機關依組織法執掌,足認為重要者

財務損失:

民眾生命財產損失:

經濟發展受阻:

影響其他機關業務運作(相依性)

違反法遵義務:

機關信譽:

其他:

IP

系統管理單位:

系統管理人員:

系統維護廠商:

24小時

各欄位定義:

  1. 核心業務名稱:請參考資通安全管理法施行細則第7條之規定列示。
  2. 作業名稱:該項業務內各項作業程序的名稱。
  3. 重要性說明:說明該業務對機關之重要性,例如對機關財務及信譽上影響,對民眾影響,對社會經濟影響,對其他機關業務運作影響,法律遵循性影響或其他重要性之說明。
  4. 最大可容忍中斷時間單位以小時計(對外服務以小時,對內服務以工作小時計)
  5. IP:系統使用者連線IP
  6. 系統管理單位:實際管理單位(科室)
  7. 系統管理人員:實際管理單位負責人
  8. 系統維護廠商:負責維護廠商

二、非核心業務及說明:

本機關之非核心業務及說明如下表:

非核心業務

業務失效影響說明

最大可容忍中斷時間

輔助核心業務達成之事務,為本機關之非核心業務

影響本機關政令宣導、政府資訊公開及民眾網路查詢為民服務相關業務等事宜

系統管理人員:陳彥婷

系統維護廠商:教育處網路中心

72小時

公文電子交換系統

電子公文無法即時送達機關,影響機關行政效率

24小時

公文整合資訊系統

影響機關行政效率

24小時

差勤及費用請領表單系統

影響機關行政效率

24小時

NAS

影響機關行政效率

24小時

各欄位定義:

  1. 業務名稱:公務機關之非核心業務至少應包含輔助單位之業務名稱,如差勤服務、郵件服務、用戶端服務等。(請依機關實際情形列出)
  2. 作業名稱:該項業務內各項作業程序的名稱。
  3. 說明:說明該業務之內容。
  4. 最大可容忍中斷時間單位以小時計(對外服務以小時,對內服務以工作小時計)
  5. IP:系統使用者連線IP
  6. 系統管理單位:實際管理單位(科)
  7. 系統管理人員:實際管理單位負責人
  8. 系統維護廠商:負責維護廠商

肆、資通安全政策及目標

一、資通安全政策

為使本機關業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality、完整性(Integrity及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:

  1. 應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
  2. 應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
  3. 應強固資通系統之韌性,確保機關業務持續營運。
  4. 應因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本機關同仁之資通安全意識,本機關同仁亦應確實參與訓練。
  5. 針對辦理資通安全業務有功人員應進行獎勵。
  6. 勿開啟來路不明或無法明確辨識寄件人之電子郵件。
  7. 禁止多人共用單一資通系統帳號。
  8. 落實資通安全通報機制。

二、資通安全目標

  1. 提報國家資通安全通報應變網站之資通安全3、4級事件不得發生,1、2級事件發生應為2件以下(含)。
  2. 系統所提供資訊無缺漏,每年系統所提供資訊,缺漏事件不得發生2件以下(含)。
  3. 針對非天災、電力中斷、火災引起之資訊安全事故,導致本機關使用網際網路服務停頓,每年小於2次(含)以下,每次不得超過可接受服務中斷時間(MTPD)。
  4. 鑑別出並符合所須遵循之法令法規,未鑑別出所需遵循法規次數不得發生2件以下(含)。
  5. 全年不得違反所須遵循之法令法規,違反需遵循法規次數不得發生2件以下(含)。

三、資通安全政策及目標之核定程序

資通安全政策由本機關資訊業務承辦人簽陳資通安全長核定。

四、資通安全政策及目標之宣導

  1. 本機關之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向機關內所有人員進行宣導,並檢視執行成效。
  2. 本機關應每年向利害關係人(例如IT服務供應商、與機關連線作業有關單位)進行資安政策及目標宣導,並檢視執行成效,宣導之方式可透過教育訓練、會議、網站進行。

五、資通安全政策及目標定期檢討程序

 資通安全政策及目標應定期於資通安全管理審查會議中檢討其適切性。

伍、資通安全推動組織

一、資通安全長

依本法第11條之規定,本機關由為校長鄭嘉毅,負責督導機關資通安全相關事項,其任務包括:

(一)資通安全管理政策及目標之核定、核轉及督導。

(二)資通安全責任之分配及協調。

(三)資通安全資源分配。

(四)資通安全防護措施之監督。

(五)資通安全事件之檢討及監督。

(六)資通安全相關規章與行政命令之核定。

(七)資通安全維護計畫之核定。

二、資通安全推動小組(如附件一)

(一)組織

為推動本機關之資通安全相關政策、落實資通安全事件通報及相關應變處理,由資通安全長召集各業務承辦人成立資通安全推動小組[1],其任務包括:

  1. 跨業務資通安全事項權責分工之協調。
  2. 應採用之資通安全技術、方法及程序之協調研議。
  3. 整體資通安全措施之協調研議。
  4. 資通安全計畫之協調研議。
  5. 其他重要資通安全事項之協調研議。

(二)分工及職掌

本機關之資通安全推動小組依下列分工進行責任分組,並依資通安全長之指示負責下列事項,本機關資通安全推動小組分組人員名單及職掌應列冊,並適時更新之[2]

  1. 策略規劃組:
  1. 資通安全政策及目標之研議。
  2. 訂定機關資通安全相關規章與程序、制度文件,並確保相關規章與程序、制度合乎法令及契約之要求。
  3. 依據資通安全目標擬定機關年度工作計畫。
  4. 傳達機關資通安全政策與目標。
  5. 其他資通安全事項之規劃。
  6. 成員由資通安全業務主管單位或資通安全長指派之。
  1. 資安防護組:
  1. 資通安全技術之研究、建置及評估相關事項。
  2. 資通安全相關規章與程序、制度之執行。
  3. 資訊及資通系統之盤點及風險評估。
  4. 及資通系統之安全防護事項及緊急處理之執行。
  5. 資通安全事件之通報及應變機制之執行。
  6. 其他資通安全事項之辦理與推動。
  7. 成員由資通系統機關窗口或資通安全長指派之。
  1. 績效管理組:
  1. 辦理資通安全內部稽核。
  2. 每年定期召開資通安全管理審查會議,提報資通安全事項執行情形。
  3. 成員由資通安全業務主管單位或資通安全長指派之。

陸、專職人力及經費配置

一、專職人力及資源之配置

  1. 本機關依資通安全責任等級分級辦法之規定,屬資通安全責任等級E級,最低應設置資通安全兼辦人員1人,其分工如下,本機關現有資通安全專責人員名單及職掌應列冊,並適時更新[3]
  1. 負責推動內部資通安全稽核及教育訓練等業務之推動。
  2. 負責資通安全防護設施建置、資通安全事件通報及應變業務之推動。
  1. 本機關之承辦單位於辦理資通安全人力資源業務時,應加強資通安全人員之培訓,並提升機關內資通安全專業人員之資通安全管理能力。本機關之相關單位於辦理資通安全業務時,如資通安全人力或經驗不足,得洽請縣政府資管科、相關學者專家或專業機關(構)提供顧問諮詢服務。
  2. 本機關負責重要資通設備之管理、維護、設計及操作之人員,應妥適分工,分散權責,若負有機密維護責任者,應簽屬書面約定[4],並視需要實施人員輪調,建立人力備援制度。
  3. 本機關之首長及各業務人員,應負責所屬業務資料之資通安全作業,防範不法及不當行為。
  4. 專業人力資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改善機制之管理審查。

二、經費之配置

  1. 資通安全推動小組於規劃配置相關經費及資源時,應考量本機關之資通安全政策及目標,並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源[5]
  2. 各單位於規劃建置資通系統建置時,應一併規劃資通系統之資安防護需求,並於整體預算中合理分配資通安全預算所佔之比例。
  3. 各單位如有資通安全資源之需求,應配合機關預算規劃期程向資通安全推動小組提出[6],由資通安全推動小組視整體資通安全資源進行分配,並經資通安全長核定後,進行相關之建置。
  4. 資通安全經費、資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改善機制之管理審查。

柒、資訊及資通系統之盤點

一、資訊及資通系統盤點

  1. 本機關每年辦理資訊及資通系統資產盤點,依管理責任指定對應之資產管理人,並依資產屬性進行分類,分別為資訊資產、軟體資產、實體資產、服務資產、人員資產、個資資產等。
  2. 資訊及資通系統資產項目如下

1.硬體資產:電腦及通訊設備、可攜式設備及資通系統相關之設備等。

2.軟體資產:包括下列二類型-

(1)應用軟體、系統軟體、開發工具、套裝軟體及電腦作業系統等。
(2)以數位等形式儲存之資訊,如資料庫、資料檔案、系統文件、操作手冊、訓練教材、研究報告、作業程序、永續運作計畫、稽核紀錄及歸檔之資訊等。

3.支援服務資產:

(1)支援服務之相關人員。
(2)相關基礎設施級其他機關內部之支援服務,如電力、消防等。
  1. 本機關每年應依資訊及資通系統盤點結果[7],製作「資訊及資通系統資產清冊」[8]欄位應包含:資訊系統名稱、業務屬性、資訊系統安全等級、共同性系統、承辦(管理)單位等
  2. 資訊及資通系統之硬體資產應以標籤標示於設備明顯處,並由總務人員載明財產編號、保管人、廠牌、型號等資訊。
  3. 各業務管理之資訊或資通設備如有異動,應即時通知資通安全推動小組更新資產清冊。

二、機關資通安全責任等級分級

本機關自行辦理資通業務,未維運自行或委外開發之資通系統者,其資通安全責任等級為 E 級。。

捌、資通安全風險評估

一、資通安全風險評估

  1. 本機關應每年針對資訊及資通設備資產進行風險評估。
  2. 執行風險評估時應依據南投縣政府資訊安全維護計畫第捌點執行相關作業。
  3. 本機關應每年依據資通安全責任等級分級辦法之規定,分別就機密性、完整性、可用性、法律遵循性等構面評估。

玖、資通安全防護及控制措施

本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項,採行相關之防護及控制措施,全機關之防護及控制措施詳如本機關資通安全維護計畫。

本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項,採行相關之防護及控制措施如下:

一、資訊及資通系統之管理

(一)資訊及資通系統之使用

  1. 本機關同仁使用資訊及資通系統須遵守系統管理機關相關規範。
  2. 本機關同仁使用資訊及資通系統時,應留意其資通安全要求事項,並負對應之責任。
  3. 本機關同仁使用資訊及資通系統後,應依規定之程序歸還。資訊類資訊之歸還應確保相關資訊已正確移轉,並安全地自原設備上抺除。
  4. 非本機關同仁使用本機關之資訊及資通系統,應確實遵守本機關之相關資通安全要求,且未經授權不得任意複製資訊。
  5. 對於資訊及資通系統,宜識別並以文件記錄及實作可被接受使用之規則。

二、存取控制與加密機制管理

(一)網路安全控管

  1. 本機關之網路區域劃分如下:
  1. 外部網路:對外網路區域,連接外部廣網路(Wide Area Network, WAN)。
  2. 非軍事區(DMZ):放置機關對外服務伺服器之區段。
  3. 內部區域網路 (Local Area Network, LAN) :機關內部單位人員及內部伺服器使用之網路區段。
  4. 實體隔離網路(註:戶所及地所適用):連接中央系統之專屬網路。
  1. 外部網路、非軍事區及內部區域網路間連線需經防火牆進行存取控制,非允許的服務與來源不能進入其他區域。
  2. 應定期檢視防火牆政策是否適當,並適時進行防火牆軟、硬體之必要更新或升級。
  3. 對於通過防火牆之來源端主機IP位址、目的端主機IP位址、來源通訊埠編號、目的地通訊埠編號、通訊協定、登入登出時間、存取時間以及採取的行動,均應予確實記錄。
  4. 本機關內部網路之區域應做合理之區隔,使用者應經授權後在授權之範圍內存取網路資源。
  5. 對網路系統管理人員或資通安全主管人員的操作,均應建立詳細的紀錄。並應定期檢視網路安全相關設備設定規則與其日誌紀錄,並檢討執行情形。
  6. 使用者應依規定之方式存取網路服務,不得於辦公室內私裝電腦及網路通訊等相關設備。
  7. 網域名稱系統(DNS)防護
  1. 一般伺服器應關閉DNS服務,防火牆政策亦應針對DNS進行控管,關閉不需要的DNS服務存取。
  2. DNS伺服器應經常性進行弱點漏洞管理與修補、落實存取管控機制。
  3. DNS伺服器應設定指向GSN Cache DNS。
  4. 內部主機位置查詢應指向機關內部DNS伺服器。
  1. 無線網路防護
  1. 機密資料原則不得透過無線網路及設備存取、處理或傳送。
  2. 無線設備應具備安全防護機制以降低阻斷式攻擊風險,且無線網路之安全防護機制應包含外來威脅及預防內部潛在干擾。
  3. 行動通訊或紅外線傳輸等無線設備原則不得攜入涉及或處理機密資料之區域。
  4. 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站,應安裝防毒軟體,並定期更新病毒碼。

(二)資通系統權限管理

  1. 本機關之資通系統應設置通行碼管理,通行碼之要求需滿足:
  1. 通行碼長度8碼以上。
  2. 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。
  3. 使用者每90天應更換一次通行碼。
  1. 使用者使用資通系統前應經授權,並使用唯一之使用者ID,除有特殊營運或作業必要經核准並紀錄外,不得共用ID。
  2. 使用者無繼續使用資通系統時,應立即停用或移除使用者ID,資通系統管理者應定期清查使用者之權限。

(三)特權帳號之存取管理

  1. 資通設備之特權帳號請應經正式申請授權方能使用,特權帳號授權前應妥善審查其必要性,其授權及審查記錄應留存。
  2. 資通設備之特權帳號不得共用。
  3. 對於特權帳號,宜指派與該使用者日常公務使用之不同使用者ID。
  4. 資通設備之特權帳號應妥善管理,並應留存特殊權限帳號之使用軌跡。
  5. 資通設備之管理者每季應清查系統特權帳號並劃定特權帳號逾期之處理方式。

(四)加密管理

  1. 本機關之機密資訊於儲存或傳輸時應進行加密。
  2. 本機關之加密保護措施應遵守下列規定:
  1. 應落實使用者更新加密裝置並備份金鑰。
  2. 應避免留存解密資訊。
  3. 一旦加密資訊具遭破解跡象,應立即更改之。

三、作業與通訊安全管理

(一)防範惡意軟體之控制措施

  1. 本機關之主機及個人電腦應安裝防毒軟體,並時進行軟、硬體之必要更新或升級。
  1. 經任何形式之儲存媒體所取得之檔案,於使用前應先掃描有無惡意軟體。
  2. 電子郵件附件及下載檔案於使用前,宜於他處先掃描有無惡意軟體。
  3. 確實執行網頁惡意軟體掃描。
  1. 使用者未經同意不得私自安裝應用軟體,管理者並應每半年定期針對管理之設備進行軟體清查。
  2. 使用者不得私自使用已知或有嫌疑惡意之網站。
  3. 設備管理者應定期進行作業系統及軟體更新,以避免惡意軟體利用系統或軟體漏洞進行攻擊。

(二)遠距工作之安全措施

  1. 本機關資通系統之操作及維護以現場操作為原則,避免使用遠距工作,如有緊急需求時,應申請並經內部程序核可同意後始可開通。
  2. 資通安全推動小組應定期審查已授權之遠距工作需求是否適當。
  3. 針對遠距工作之連線應採適當之防護措施(並包含伺服器端之集中過濾機制檢查使用者之授權),並且記錄其登入情形。
  1. 提供適當通訊設備,並指定遠端存取之方式。
  2. 提供虛擬桌面存取,以防止於私有設備上處理及儲存資訊。
  3. 進行遠距工作時之安全監視。
  4. 遠距工作終止時之存取權限撤銷,並應返還相關設備。

(三)電子郵件安全管理

  1. 本機關人員到職後應經申請方可使用電子郵件帳號,並應於人員離職後刪除電子郵件帳號之使用。
  2. 電子郵件系統管理人應定期進行電子郵件帳號清查。
  3. 電子郵件伺服器應設置防毒及過濾機制,並適時進行軟硬體之必要更新。
  4. 使用者使用電子郵件時應提高警覺,並使用純文字模式瀏覽,避免讀取來歷不明之郵件或含有巨集檔案之郵件。
  5. 原則不得電子郵件傳送機密性或敏感性之資料,如有業務需求者應依相關規定進行加密或其他之防護措施。
  6. 使用者不得利用機關所提供電子郵件服務從事侵害他人權益或違法之行為。
  7. 使用者應確保電子郵件傳送時之傳遞正確性。
  8. 使用者使用電子郵件時,應注意電子簽章之要求事項。
  9. 本機關應定期舉辦(或配合上級機關舉辦)電子郵件社交工程演練,並檢討執行情形。

(四)確保實體與環境安全措施

  1. 電腦機房之門禁管理---機關目前無設電腦機房
  1. 電腦機房應進行實體隔離。
  2. 機關人員或來訪人員應申請及授權後方可進入電腦機房[9],電腦機房管理者並應定期檢視授權人員之名單。
  3. 人員進入管制區應配載身分識別之標示,並隨時注意身分不明或可疑人員。
  4. 僅於必要時,得准許外部支援人員進入電腦機房。
  5. 人員及設備進出電腦機房應留存記錄。
  1. 電腦機房之環境控制
  1. 電腦機房之空調、電力應建立備援措施。
  2. 電腦機房之溫濕度管控範圍為:溫度範圍 : 25 +/- 5度;濕度範圍 : 50 +/- 10%
  3. 電腦機房應安裝之安全偵測及防護措施,包括熱度及煙霧偵測設備、火災警報設備、溫濕度監控設備、漏水偵測設備、入侵者偵測系統,以減少環境不安全引發之危險。
  4. 各項安全設備應定期執行檢查、維修,並應定時針對設備之管理者進行適當之安全設備使用訓練。
  1. 辦公室區域之實體與環境安全措施
  1. 應考量採用辦公桌面的淨空政策,以減少文件及可移除式媒體等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。
  2. 文件及可移除式媒體在不使用或不上班時,應存放在櫃子內。
  3. 機密性及敏感性資訊,不使用或下班時應該上鎖。
  4. 機密資訊或處理機密資訊之資通系統應避免存放或設置於公眾可接觸之場域。
  5. 顯示存放機密資訊或具處理機密資訊之資通系統地點之通訊錄及內部人員電話簿,不宜讓未經授權者輕易取得。
  6. 資訊或資通系統相關設備,未經管理人授權,不得被帶離辦公室。

(五)資料備份

  1. 重要資料應進行資料備份,其備份之頻率應滿足復原時間點目標之要求,並執行異地存放。
  2. 本機關應每半年確認重要資料備份之有效性。且測試該等資料備份時,宜於專屬之測試系統上執行,而非直接於覆寫回原資通設備。
  3. 敏感或機密性資訊之備份應加密保護。

(六)媒體防護措施

  1. 使用隨身碟或磁片等存放資料時,具機密性、敏感性之資料應與一般資料分開儲存,不得混用並妥善保管。
  2. 資訊如以實體儲存媒體方式傳送,應留意實體儲存媒體之包裝,選擇適當人員進行傳送,並應保留傳送及簽收之記錄。
  3. 為降低媒體劣化之風險,宜於所儲存資訊因相關原因而無法讀取前,將其傳送至其他媒體。
  4. 對機密與敏感性資料之儲存媒體實施防護措施,包含機密與敏感之紙本或備份磁帶,應保存於上鎖之櫃子,且需由專人管理鑰匙。

(七)電腦使用之安全管理

  1. 電腦、業務系統或自然人憑證,若超過15分鐘不使用時,應立即登出或啟動螢幕保護功能並取出自然人憑證。
  2. 禁止私自安裝點對點檔案分享軟體及未經合法授權軟體。
  3. 連網電腦應隨時配合更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
  4. 筆記型電腦及實體隔離電腦應定期以人工方式更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
  5. 下班時應關閉電腦及螢幕電源。
  6. 如發現資安問題,應主動循機關之通報程序通報。
  7. 支援資訊作業的相關設施如影印機、傳真機等,應安置在適當地點,以降低未經授權之人員進入管制區的風險,及減少敏感性資訊遭破解或洩漏之機會。

(八)行動設備之安全管理

  1. 機密資料不得由未經許可之行動設備存取、處理或傳送。
  2. 機敏會議或場所不得攜帶未經許可之行動設備進入

(九)即時通訊軟體之安全管理

1.使用即時通訊軟體傳遞機關內部公務訊息,其內容不得涉及機密資料。

2.因特殊需求須使用即時通訊軟體傳遞非機密之公務訊息時,應簽核至縣府一層長官同意後,方可開放,然大陸地區設計製造之即時通訊軟體仍不得使用。若中央訂有統一機關使用之即時通訊軟體,則應全面改用之。

四、業務持續運作演練

依花蓮縣政府資通安全維護計畫第玖點、五、業務持續運作縯練規定有核心資通系統之C級機關適用,本機關無核心資通系統為D級機關,無強制規定需持續運作演練,餘配合縣府規定辦理。

五、資通安全防護設備

  1. 本機關應建置防毒軟體、網路防火牆、電子郵件過濾裝置,持續使用並適時進行軟、硬體之必要更新或升級,連外網路屬上級機關VPN時,得由上級機關代為建置
  2. 資安設備應定期備份日誌紀錄,定期檢視並由主管複核執行成果,並檢討執行情形。

壹拾、資通安全事件通報、應變及演練相關機制

為即時掌控資通安全事件,並有效降低其所造成之損害,本機關應訂定資通安全事件通報、應變及演練相關機制,詳資通安全事件通報應變程序[10]

壹拾壹、資通安全情資之評估及因應

本機關接獲資通安全情資,應評估該情資之內容,並視其對本機關之影響、本機關可接受之風險及本機關之資源,決定最適當之因應方式,必要時得調整資通安全維護計畫之控制措施,並做成紀錄。

一、資通安全情資之分類評估

本機關接受資通安全情資後,應指定人員進行情資分析,並依據情資之性質進行分類及評估,情資分類評估如下:

(一)資通安全相關之訊息情資

資通安全情資之內容如包括重大威脅指標情資、資安威脅漏洞與攻擊手法情資、重大資安事件分析報告、資安相關技術或議題之經驗分享、疑似存在系統弱點或可疑程式等內容,屬資通安全相關之訊息情資。

(二)入侵攻擊情資

資通安全情資之內容如包含特定網頁遭受攻擊且證據明確、特定網頁內容不當且證據明確、特定網頁發生個資外洩且證據明確、特定系統遭受入侵且證據明確、特定系統進行網路攻擊活動且證據明確等內容,屬入侵攻擊情資。

(三)機敏性之情資

資通安全情資之內容如包含姓名、出生年月日、國民身份證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接識別之個人資料,或涉及個人、法人或團體營業上秘密或經營事業有關之資訊,或情資之公開或提供有侵害公務機關、個人、法人或團體之權利或其他正當利益,或涉及一般公務機密、敏感資訊或國家機密等內容,屬機敏性之情資。

(四)涉及核心業務、核心資通系統之情資

資通安全情資之內容如包含機關內部之核心業務資訊、核心資通系統、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作等內容,屬涉及核心業務、核心資通系統之情資。

二、資通安全情資之因應措施

本機關於進行資通安全情資分類評估後,應針對情資之性質進行相應之措施,必要時得調整資通安全維護計畫之控制措施。

(一)資通安全相關之訊息情資

由資通安全推動小組彙整情資後進行風險評估,並依據資通安全維護計畫之控制措施採行相應之風險預防機制。

(二)入侵攻擊情資

由指定人員判斷有無立即之危險,必要時採取立即之通報應變措施,並依據資通安全維護計畫採行相應之風險防護措施,另通知各單位進行相關之預防。

(三)機敏性之情資

就涉及個人資料、營業秘密、一般公務機密、敏感資訊或國家機密之內容,應採取遮蔽或刪除之方式排除,例如個人資料及營業秘密,應以遮蔽或刪除該特定區段或文字,或採取去識別化之方式排除之。

(四)涉及核心業務、核心資通系統之情資

資通安全推動小組應就涉及核心業務、核心資通系統之情資評估其是否對於機關之運作產生影響,並依據資通安全維護計畫採行相應之風險管理機制。

壹拾貳、資通系統或服務委外辦理之管理

本機關委外辦理資通系統之建置、維運或資通服務之提供時,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。

一、選任受託者應注意事項

  1. 受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證[11]
  2. 受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。
  3. 受託者辦理受託業務得否複委託、得複委託之範圍與對象,及複委託之受託者應具備之資通安全維護措施。
  4. 受託業務涉及國家機密者,應考量受託業務所涉及國家機密之機密等級內容,於招標公告、招標文件及契約中,註明受託者辦理該項業務人員及可能接觸該國家機密人員應接受適任性查核,並依國家機密保護法之規定,管制其出境。
  5. 前點適任性查核得在必要範圍內就下列事項查核,查核前應經當事人書面同意:
  1. 曾犯洩密罪,或於動員戡亂時期終止後,犯內亂罪、外患罪,經判刑確定,或通緝有案尚未結案者。
  2. 曾任公務人員因違反相關安全保密規定,受懲戒處分、記過以上行政懲處者。
  3. 曾受到外國政府、大陸地區或香港、澳門官方之利誘、脅迫,從事不利國家安全或重大利益情事者。
  4. 其他與國家機密保護相關之具體項目。

二、監督受託者資通安全維護情形應注意事項

  1. 受託業務包括客製化資通系統開發者,受託者應提供該資通系統之第三方安全性檢測證明;涉及利用非自行開發之系統或資源者,並應標示非自行開發之內容與其來源及提供授權證明。
  2. 受託者執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應1小時內通知委託機關及採行之補救措施。
  1. 資訊資料遭洩漏。
  2. 資訊系統遭竄改。
  3. 系統之運作受影響或停頓。
  1. 委託關係終止或解除時,應確認受託者返還、移交、刪除或銷毀履行委託契約而持有之資料。
  2. 受託者應採取之其他資通安全相關維護措施[12]
  3. 本機關應定期或於知悉受託者發生可能影響受託業務之資通安全事件時,以稽核或其他適當方式確認受託業務之執行情形[13]

壹拾參、資通安全教育訓練

一、資通安全教育訓練要求

  1. 資安兼人員每人每年至少接受6小時以上之資安專業課程訓練或資安職能訓練。
  2. 資訊人員每人每年至少接受6小時以上之資安專業課程訓練。
  3. 本機關之一般使用者與主管,每人每年接受3小時以上之一般資通安全教育訓練。

二、資通安全教育訓練辦理方式

  1. 承辦單位應於每年年初,考量管理、業務及資訊等不同工作類別之需求,擬定資通安全認知宣導及教育訓練計畫[14]或配合縣府計畫,以建立員工資通安全認知,提升機關資通安全水準,並應保存相關之資通安全認知宣導及教育訓練紀錄[15]
  2. 本機關資通安全認知宣導及教育訓練之內容得包含:
  1. 資通安全政策(含資通安全維護計畫之內容、管理程序、流程、要求事項及人員責任、資通安全事件通報程序等)。
  2. 資通安全法令規定。
  3. 資通安全作業內容。
  4. 資通安全技術訓練。
  1. 員工報到時,應使其充分瞭解本機關資通安全相關作業規範及其重要性。
  2. 資通安全教育及訓練之政策,除適用所屬員工外,對機關外部的使用者,亦應一體適用。

壹拾肆、公務機關所屬人員辦理業務涉及資通安全事項之考核機制

本機關所屬人員之平時考核或聘用,依據公務機關所屬人員資通安全事項獎懲辦法、花蓮縣政府暨所屬各機關學校公務人員平時獎懲標準表規定辦理之。

壹拾伍、資通安全維護計畫及實施情形之持續精進及績效管理機制

一、資通安全維護計畫之實施

為落實本安全維護計畫,使本機關之資通安全管理有效運作,相關單位於訂定各階文件、流程、程序或控制措施時,應與本機關之資通安全政策、目標及本安全維護計畫之內容相符,並應保存相關之執行成果記錄。

二、資通安全維護計畫實施情形之稽核機制

(一)稽核機制之實施

  1. 資通安全推動小組得視需要進行內部稽核作業,可以上級機關之稽核作業代替,以確認人員是否遵循本規範與機關之管理程序要求,並有效實作及維持管理制度。
  2. 辦理稽核前資通安全推動小組應擬定資通安全稽核計畫[16]並安排稽核成員,稽核計畫應包括稽核之依據與目的、期間、重點領域、稽核小組組成方式、保密義務[17]、稽核方式、基準與項目及受稽單位協助事項,並應將前次稽核之結果納入稽核範圍。
  3. 辦理稽核時,資通安全推動小組應於執行稽核前14日,通知受稽核單位,並將稽核期程、稽核項目紀錄表[18]及稽核流程等相關資訊提供受稽單位。
  4. 本機關之稽核人員應受適當培訓並具備稽核能力,且不得稽核自身經辦業務,以確保稽核過程之客觀性及公平性;另,於執行稽核時,應填具稽核項目紀錄表,待稽核結束後,應將稽核項目紀錄表內容彙整至稽核結果及改善報告[19]中,並提供給受稽單位填寫辦理情形。
  5. 稽核結果應對相關管理階層(含資安長)報告,並留存稽核過程之相關紀錄以作為資通安全稽核計畫及稽核事件之證據。
  6. 稽核人員於執行稽核時,應至少執行一項特定之稽核項目(如是否瞭解資通安全政策及應負之資安責任、是否訂定人員之資通安全作業程序與權責、是否定期更改密碼)。

(二)稽核改善報告

  1. 受稽單位於稽核實施後發現有缺失或待改善項目者,應對缺失或待改善之項目研議改善措施、改善進度規劃,並落實執行。
  2. 受稽單位於稽核實施後發現有缺失或待改善者,應判定其發生之原因,並評估是否有其類似之缺失或待改善之項目存在。
  3. 受稽單位於判定缺失或待改善之原因後,應據此提出並執行相關之改善措施及改善進度規劃,必要時得考量對現行資通安全管理制度或相關文件進行變更。
  4. 機關應定期審查受稽單位缺失或待改善項目所採取之改善措施、改善進度規劃及佐證資料之有效性。
  5. 受稽單位於執行改善措施時,應留存相關之執行紀錄,並填寫稽核結果及改善報告。

三、資通安全維護計畫之持續精進及績效管理

  1. 本機關之資通安全推動小組應於每年7月底前(配合縣政府計畫,於收到縣府公文後20日內)召開資通安全管理審查會議,確認資通安全維護計畫之實施情形,確保其持續適切性、合宜性及有效性。
  2. 管理審查議題應包含下列討論事項:
  1. 過往管理審查議案之處理狀態。
  2. 與資通安全管理系統有關之內部及外部議題的變更,如法令變更、上級機關要求、資通安全推動小組決議事項等。
  3. 資通安全維護計畫內容之適切性。
  4. 資通安全績效之回饋,包括:
    1. 資通安全政策及目標之實施情形。
    2. 資通安全人力及資源之配置之實施情形。
    3. 資通安全防護及控制措施之實施情形。
    4. 內外部稽核結果。
    5. 不符合項目及矯正措施。
  5. 風險評鑑結果及風險處理計畫執行進度。
  6. 重大資通安全事件之處理及改善情形。
  7. 利害關係人之回饋。
  8. 持續改之機會。
  1. 持續改善機制之管理審查應做成改善績效追蹤報告[20],相關紀錄並應予保存,以作為管理審查執行之證據。

壹拾陸、資通安全維護計畫實施情形之提出

本機關依據南投縣政府資通安全維護計畫第壹拾陸規定配合辦理,向監督機關-南投縣政府,提出資通安全維護計畫實施情形[21],使其得瞭解本機關之年度資通安全計畫實施情形。

壹拾柒、相關法規、程序及表單

一、相關法規及參考文件

(一)資通安全管理法

(二)資通安全管理法施行細則

(三)資通安全責任等級分級辦法

(四)資通安全事件通報及應變辦法

(五)資通安全情資分享辦法

(六)公務機關所屬人員資通安全事項獎懲辦法

(七)資訊系統風險評鑑參考指引

(八)政府資訊作業委外安全參考指引

(九)南投政府政府資訊安全管理要點

(十)南投縣政府資通安全緊急應變計畫暨作業處理程序

(十一)南投縣政府個人資料保護管理要點

(十二)南投縣政府資通安全處理小組設置及作業要點

(十三)南投縣政府資訊推動小組設置要點

(十四)南投縣資訊系統開發及維運作業要點

(十五)南投縣政府網路使用規範

(十六)南投縣政府電子郵件使用作業規定

(十七)南投縣政府網際網路網站管理要點

(十八)本機關資通安全事件通報及應變管理程序

二、附件表單

  1. 資通安全推動小組成員及分工表
  2. 資通安全保密同意書
  3. 資訊及資通系統資產清冊
  4. 資訊系統資產風險評鑑表
  5. 委外廠商執行人員保密切結書、保密同意書
  6. 委外廠商查核項目表
  7. 年度資通安全教育訓練計畫
  8. 資通安全認知宣導及教育訓練簽到表
  9. 資通安全維護計畫實施情形
  10. 資通安全稽核計畫
  11. 稽核項目紀錄表
  12. 稽核結果紀錄表
  13. 稽核結果及改善報告

 

 

 

 

 

 

 

附件表單(一) 資通安全推動小組成員及分工表

花蓮縣卓溪鄉卓清國民小學

資通安全推動小組成員及分工表

編號:001

製表日期:109年07月16日

單位職級

名稱

資訊推動小組分組

職掌事項

分機

備註

(代理人)

校   長

鄭嘉毅

 

資通安全督導

10

 

教導主任

羅崇瑚

資安防護組

資通安全事件通報

11

 

資訊教師

陳彥婷

資安防護組

資通安全事件通報

25

 

 

 

附件表單(二)資通安全保密同意書-1

資通安全保密同意書(一般人員用)

 

本人___________自民國___年___月___日起,於_______________服務,對於職務上所知悉或持有之機密資料、程式及檔案、媒體等,絕對保守機密,不任意對外洩漏,並能遵守個人資料保護法、國家機密保護法以及本府資訊安全管理要點等法令,如有違誤,願負法律上相關責任,離職後亦同。

 

 

 

 

                           具切結書人(簽章):

戶籍地:

身分證字號:

 

 

中華民國      年     月     日

附件表單(二)資通安全保密同意書-2

資通安全保密同意書(駐點人員用)

 

本人___________自民國___年___月___日起,於

                    進行駐點服務,對於職務上所知悉或持有之機密資料、程式及檔案、媒體等,絕對保守機密,不任意對外洩漏,並能遵守個人資料保護法、國家機密保護法以及本府資訊安全管理要點等法令,如有違誤,願負法律上相關責任,離職後亦同。

 

 

 

 

                           具切結書人(簽章):

戶籍地:

身分證字號:

 

 

中華民國      年     月     日

附件表單(五)委外廠商執行人員保密切結書、保密同意書

資通安全保密切結書(委外廠商用)

具切結人_________________________________________________,於民國______年參與「______________________案」之規劃、設計或設備安裝,謹聲明恪遵契約之精神及規範如下:

 

一、對工作中所持有、知悉之資訊系統作業機密或敏感性業務檔案資料,均保證善盡保密義務與責任,非經機關權責人員之書面核准,不得擷取、持有、傳遞或以任何方式提供給無業務關係之第三人,如有違反願賠償一切因此所生之損害,並擔負相關民、刑事責任,絶無異議。

 

二、本保密切結書不因立切結書人離職而失效。

 

三、立切結書人因違反本保密切結書應盡之保密義務與責任致生之一切損害,立切結書人所屬公司或廠商應負連帶賠償責任。

 

具切結人:

姓名及簽章    身分證字號    聯絡電話   戶籍地址

__________    __________    ________   ____________________
__________    __________    ________   ____________________

__________    __________    ________   ____________________

 

立切結書人所屬廠商:

廠商名稱及蓋章  廠商負責人姓名及簽章    廠商聯絡電話及地址

                                                             

 

說明:本切結書所蒐集之個人資料僅供本專案相關業務使用,並依個人資料保護法之相關規定,遵循本機關資通安全管理規範妥為保存。

 

 

中  華  民  國        年      

附件表單(七)年度資通安全教育訓練計畫

花蓮縣卓溪鄉卓清國民小學     年度資通安全教育訓練計畫

  • 依據

花蓮縣花蓮市明恥國民小學之資通安全維護計畫辦理。

  • 目的

為精進本機關及所屬人員之資通安全意識及職能,並敦促該等人員得以瞭解並執行(本機關)之資通安全維護計畫,以強化(本機關)之資通安全管理能量,爰要求該等人員應接受資通安全之教育訓練,爰擬定本教育訓練計畫。

  • 實施範圍(各機關自行定義)

本機關所屬人員

人員類別

人數

資通安全或資訊人員

1

一般人員

1

主管人員

1

共計

3

 
  • 訓練項目(各機關自行定義)

人員類別

訓練課程[22]

時數

資通安全或資訊人員

電子郵件安全

1

資通安全或資訊人員

資訊系統風險管理

2

一般人員

資訊安全通識

2

主管人員

資訊安全通識

1

 
  • 訓練期程(各機關自行定義)

由各機關自行排定教育訓練期程。

  • 訓練方式(各機關自行定義)

由各機關自行決定教育訓練方式(實體課程、線上課程…)。

附件表單(八)資通安全認知宣導及教育訓練簽到表

花蓮縣卓溪鄉卓清國民小學資通安全認知宣導及教育訓練簽到表

編號:002

課程名稱:資安宣導課程-案例分享、資安防護重點等

時  間:     年    月    日 13:00 ─ 16:00

地    點:_____電腦教室_____________________

單  位

職  稱

姓  名

簽  名

 

校長

鄭嘉毅

 

教導處

主任

羅崇瑚

 

總務處

主任

曹雅華

 

人事處

主任

蘇孝儀

 

總務處

出納

高翠萍

 

教導處

教務組長

蘇素芬

 

教導處

訓導組長

康志豐

 

總導處

資訊人員

陳彥婷

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

附件表單(九)資通安全維護計畫實施情形

花蓮縣卓溪鄉卓清國民小學資通安全維護計畫實施情形

編號:01

本機關(單位)經主管機關核定後本單位之資通安全責任等級為 D ,依資通安全管理法第12條之規定,提出本(109)年度資通安全維護計畫實施情形、執行成果及相關說明如下表所示:

實施項目

實施內容

實施情形說明

  1. 核心業務及其重要性
  1. 核心業務及重要性盤點

本機關核心業務及重要性詳參資通安全維護計畫(詳附件,下同)。

  1. 資通安全政策及目標之訂定
  1. 資通安全政策訂定及核定

本機關已訂定資通安全政策,詳參資通安全維護計畫,並經資安長核定(詳公文附件)。

  1. 資通安全目標之訂定

本機關已訂定資通安全目標,詳參資通安全維護計畫。

  1. 資通安全政策及目標宣導

本機關為推動資通安全政策,已定期向同仁及利害關係人進行宣

  1. 資通安全政策及目標定期檢視

本機關已定期召開資通安全管理審查會議中檢討資通安全政策及目標之適切性 (詳會議記錄) 。

  1. 設置資通安全推動組織
  1. 設定資通安全長

本機關已指定鄭嘉毅校長為資通安全長,其職掌詳參資通安全維護計畫。

  1. 設置資通安全推動小組

本機關已設置資通安全推動小組,其組織、分工及職常詳參資通安全維護計畫。

  1. 專責人力及經費之配置
  1. 專職(責)人員配置

本機關屬資安等級D級無須配置專職(責)人員。

  1. 經費之配置

本機關今年視需求已合理分資安經費,資安經費佔資訊經費之○○%

  1. 資訊及資通系統之盤點及核心資通系統、相關資產之標示
  1. 資訊及資通系統之盤點

本機關已於今年6月盤點本機關之資訊、資通系統,建立資產目錄。

  1. 機關資通安全責任等級分級

本機關依資通安全責任等級分級辦法,為資通安全責任等級D級機關。

  1. 資通安全風險評估
  1. 資通安全風險評估

本機關已於今年6月完成本機關之資訊、資通系統及相關資產之風險分析評估及處理。

  1. 資通安全風險之因應

本機關己依資通安全風險評估之結果擬定對應之資通安全防護及控制措施。

  1. 資通安全防護及控制措施
  1. 資通安全防護及控制措施

本機關己依依安全維護計畫辦理,詳附件資料。

  1. 資訊及通系統之保管

本機關己依依安全維護計畫辦理,詳附件資料。

  1. 存取控制與加密機制管理

本機關己依依安全維護計畫辦理。

  1. 作業及通訊安全管理

本機關己依依安全維護計畫辦理。

  1. 系統獲取、開發及維護

本機關己依依安全維護計畫辦理。

  1. 執行資通安全健診

本機關己依依安全維護計畫辦理。

  1. 資通安全事件通報、應變及演練相關機制
  1. 訂定資通安全事件通報、應變及演練相關機制

本機關己依規定訂定資通安全事件通報應變程序。(詳附件)

  1. 資通安全事件通報、應變及演練

本機關已依規定進行資通安全事件通報。

本機關已依規定於今年  月辦理社交工程演練,並於 月辦理通報應變演練。

  1. 資通安全情資之評估及因應機制
  1. 資通安全情資之分類評估

本機關接受情資後,已進行分類評估。

  1. 資通安全情資之因應措施

本機關已接受情資之分類,採取對應之因應措施。

  1. 資通系統或服務委外辦理之管理
  1. 選任受託者應注意事項

本機關資通系統或服務委外辦理時,已將選任受託者應注意事項加入招標文件中。

  1. 監督受託者資通安全維護情形應注意事項

本機關已依規定監督受託者資通安全維護情形,客製他資通系統開發者

,已要求其出具安全性檢測證明

  1. 資通安全教育訓練
  1. 資通安全教育訓練要求

本機關人員已規定進行資通安全教育訓練。

  1. 辦理資通安全教育訓練

本機關已於今年 月辦理資通安全教育訓練。

  1. 公務機關所屬人員辦理業務涉及資通安全事項之考核機制
  1. 訂定考核機制並進行考核

本機關已建立考核機制,並已依規定進行平時及年終考核。

  1. 資通安全維護計畫及實施情形之持續精進及績效管理機制
  1. 資通安全維護計畫之實施

本機關已依規定訂定各階文件、流程、程序或控制措施,據以實施並保存相關之執行成果記錄。

  1. 資通安全維護計畫實施情形之稽核機制

本機關已依規定辦理內部稽核。

  1. 資通安全維護計畫之持續精進及績效管理

本機關已依規定辦理內部召開管理審查會議,確認資通安全維護計畫之實施情形,確保其持續適切性、合宜性及有效性。

其他說明

 

承辦人:                 單位主管:            資通安全長:

註:陳核層級請機關依需求調整

附件表單(十)資通安全稽核計畫

花蓮縣卓溪鄉卓清國民小學109年度資通安全稽核計畫

  • 花蓮縣卓溪鄉卓清國民小學之資通安全維護計畫辦理。
  • 資通安全管理法第十三條規定辦理。
  • 目的

為瞭解本機關資通安全維護計畫執行之有效性,爰擬定本稽核計畫,執行稽核作業。

  • 稽核期程

自109年01月01日至109年12月31日。

  • 稽核團隊成員

由各機關自行考量稽核之需求,邀請具備資通安全政策或該次稽核所需之技術、管理、法律或實務專業知識之公務機關代表或專家學者,稽核團隊人數原則為3至5人。

教導處  羅崇瑚 主任  

總務處  曹雅華 主任

教導處  陳彥婷 教師

  • 稽核範圍

    花蓮縣卓溪鄉卓清國民小學

  • 稽核項目及內容
    依據各機關安全維護之內容,並參考國際資訊安全管理標準ISO 27001:2013、國際資訊技術服務管理標準 ISO 20000、「個人資料保護法」、「個人資料保護法施行細則」、「政府機關(構)資通安全責任等級分級作業規定」或「資訊系統分級與資安防護基準作業規定」等,以及其他相關規定,由各機關自行定義當年度之稽核項目、內容及執行方式。
  • 核心業務及其重要性:(內容由各機關自行定義)
  • 資通安全政策及目標:(內容由各機關自行定義)
  • 資通安全推動組織:(內容由各機關自行定義)
  • 專責人力及經費之配置:(內容由各機關自行定義)
  • 公務機關資通安全長之配置:(內容由各機關自行定義)
  • 資訊及資通系統之盤點,並標示核心資通系統及相關資產:(內容由各機關自行定義)
  • 資通安全風險評估:(內容由各機關自行定義)
  • 資通安全防護及控制措施:(內容由各機關自行定義)
  • 資通安全事件通報、應變及演練相關機制:(內容由各機關自行定義)
  • 資通安全情資之評估及因應機制:(內容由各機關自行定義)
  • 資通系統或服務委外辦理之管理措施:(內容由各機關自行定義)
  • 公務機關所屬人員辦理業務涉及資通安全事項之考核機制:(內容由各機關自行定義)
  • 資通安全維護計畫及實施情形之持續精進及績效管理機制:(內容由各機關自行定義)
  • 改善作業

(各機關自行定義)
由各機關自行評估對於稽核結果表現優良者是否給予行政獎勵,並針對缺失或待改善項目者研擬後續追蹤方式及頻率(如將前次稽核結果納入本次稽核範圍中追蹤辦理情形及進度)。

附件表單(十一)稽核項目紀錄表

花蓮縣卓溪鄉卓清國民小學稽核項目紀錄表

稽核日期:     年    月    日

稽核範圍:花蓮縣卓溪鄉卓清國民小學

受稽核單位

稽核項目

稽核結果

備註

總務處

資產盤點

□符合

不符合

不適用

經驗證其資產項目表,按規定進行資產盤點,各項資產均依規定建檔並指派責任人。

人事室

權限控管

符合

□不符合

不適用

可使用高權限登入A網站,提供一般同仁進行課程報到作業外,亦可查詢所有同仁之個人資料。

 

 

□符合

不符合

不適用

 

 

 

 

□符合

不符合

不適用

 

 

 

 

□符合

不符合

不適用

 

 

 

 

□符合

不符合

不適用

 

附註

 

受稽核人員:

受稽核單位主管:

註:陳核層級請機關依需求調整

 

附件表單(十二)稽核結果及改善報告

花蓮縣卓溪鄉卓清國民小學稽核結果及改善報告

稽核範圍

花蓮縣卓溪鄉卓清國民小學

稽核日期

               

審查日期

               

改善措施

編號

稽核缺失或待改善稽核項目

改善措施

改善期程規劃

相關證明資料

1

 

 

 

 

2

 

 

 

 

3

 

 

 

 

4

 

 

 

 

5

 

 

 

 

6

 

 

 

 

7

 

 

 

 

8

 

 

 

 

9

 

 

 

 

10

 

 

 

 

11

 

 

 

 

           
 

 

承辦人:             單位主管:        資通安全長:

註:陳核層級請機關依需求調整

附件表單(十三)改善績效追蹤報告

花蓮縣卓溪鄉卓清國民小學改善績效追蹤報告

編號:

製表日期:

稽核發現

稽核日期

             

受稽核單位

 

稽核區域

 

缺失或待改善項目與內容

 

影響範圍評估

 

發生原因分析

 

改善措施成效追蹤

改善措施

預計成效

執行情況

管理面

 

 

 

技術面

 

 

 

人力面

 

 

 

資源面

 

 

 

作業程序

 

 

 

其他

 

 

 

績效管考

改善措施確認

合格/完成

□待追蹤(追蹤期限:       年      月      日)

□不合格(說明:                                        )

經費需求或編列執行金額

    

經費執行情形

 

預定完成日期

               

實際完成日期

              

完成進度或情形說明

 

改善成效考核

 

後續成效追蹤

 

資通安全推動小組

 

資通安全長[24]

 

 

註:陳核層級請機關依需求調整

 

[1] 資通安全推動小組成員由機關之資通安全長召集組成,依資通安全長之指示,負責協助或與機關內之相關單位合作推動機關內部之資通安全業務,如機關未成立資通安全推動小組,相關業務則應由資通安全長責承相關資通安全權責人員辦理之。

[2] 各公務機關應製作「資通安全推動小組成員及分工表」,說明小組成員及相關職掌,格式可參附件:資通安全推動小組成員及分工表。

 

[3] 各公務機關應製作「資通安全專職人員分工表」,說明專職人員及相關職掌,格式可參附件:資通安全推動小組成員及分工表。

[4] 格式可參附件:資通安全保密同意書。

[5] 為有效建置機關之資通安全風險防護機制,公務機關應投入相當之資源,故機關之資通安全推動小組於資源規劃或編制預算時,應考量機關之責任等級、資通安全政策及目標。

[6] 機關可填具資通安全需求申請單,格式可附件:資通安全需求申請單。

[7] 為使公務機關能依其所屬之資通安全責任等級之分級,執行相關之資通安全防護措施,公務機關應先進行機關內部之資訊及資通系統資產之盤點,使其能依據其所擁有之資訊或資通系統依據資通安全責任等級分級辦法進行風險評估。

[8] 參資訊系統風險評鑑參考指引附件詳細風險評鑑空白表單之資訊資產表。

[9] 未具進出管制區權限之人員來訪時,應填具進出登記表,格式可參附件:管制區域人員進出登記表。

[10] 各機關應另訂定資通安全事件通報及應變程序。

[11] 委外單位之管理措施是否完善,可視其人員資格是否具有相關證照、訓練或認證(如ISO 27001CISSPSSCP、各資安教育訓練單位所辦之課程等)做為參考。

[12] 公務機關與委外廠商簽訂契約時,應審查契約中保密條款,並要求委外廠商之業務執行人員簽署委外廠商執行人員保密切結書、保密同意書,格式可參附件:委外廠商執行人員保密切結書、保密同意書。

[13] 稽核項目可參委外廠商查核項目表。

[14] 格式可參附件:年度資通安全教育訓練計畫。

[15] 公務機關辦理教育訓練時,參加人員應簽名留存紀錄,格式可參附件:資通安全認知宣導及教育訓練簽到表。

[16] 格式可參附件:資通安全稽核計畫。

[17] 格式可附件:稽核委員聘任同意暨保密切結書。

[18] 格式可參附件:稽核項目紀錄表

[19] 格式可參附件:稽核結果及改善報告。

[20] 格式可參附件:改善績效追蹤報告

[21] 資通安全維護計畫實施情形之內容,包含上開定期評估、稽核機制、缺失之消除或改正及機關辦理資通安全計畫之相關實施事項,參附件:資通安全維護計畫實施情形。

[22] 可參考行政院國家資通安全會報技術服務中心之資安職能課程項目,網址:https://www.nccst.nat.gov.tw/Capacity?lang=zh 

[23] 各機關可依執行稽核之類別填列適當之依據。

[24] 特定非公務機關部分,可能是資通安全管理代表等相關資通安全負責人。

:::

即時空品測站資訊看板

會員登錄

:::

推薦好站

[ more... ]

一般示警(全台灣)

搜索

隨機小語

只要能培一朵花,就不妨做做會朽的腐草。

魯迅