資通安全維護計畫

柒、資訊及資通系統之盤點

  • 資訊及資通系統盤點
    • 依本校「資訊資產管理程序書」規定如附件B-003施行。
  • 機關資通安全責任等級分級
    • 依據行政院108年7月24日院臺護字第1080180748號函,依據資通安全責任等級分級辦法第6條辦理,並考量本校已有核心系統向上集中規劃,依同法第10條第4款調降等級為D級機關。

捌、資通安全風險評估

  • 資通安全風險評估
    • 依本校「B-004_風險評鑑與管理程序書」規定如附件施行。
    • 資訊資產價值列3者始須列入風險評估

玖、資通安全防護及控制措施

  • 本校依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項及核心資通系統之防護基準,採行相關之防護及控制措施如下:
  • 資訊及資通系統之管理
    • 依本校「資訊資產管理程序書」規定如附件B-003施行。
  • 存取控制與加密機制管理
    • 依本校「存取控制管理程序書」規定如附件B-008施行。
  • 作業與通訊安全管理
    • 依本校資通安全管理制度文件「實體安全管理程序書」規定如附件B-006、「通信與作業管理程序書」規定如附件B-007施行。
  • 系統獲取、開發及維護
    • 於資通系統開發前,設計安全性要求,包含機敏資料存取、用戶登入資訊檢核及用戶輸入輸出之檢查過濾,並檢討執行情形。
    • 於上線前執行安全性要求測試,包含機敏資料存取、用戶登入資訊檢核及用戶輸入輸出之檢查過濾測試,並檢討執行情形。
    • 執行資通系統源碼安全措施,包含源碼存取控制與版本控管,並檢討執行情形。
    • 餘依本校「系統獲取開發及維護程序書」規定如附件B-009施行。
  • 資通安全防護設備
    • 本校應建置防毒軟體、網路防火牆、電子郵件過濾裝置,持續使用並適時進行軟、硬體之必要更新或升級。
    • 資安設備應定期備份日誌紀錄,定期檢視並由主管複核執行成果,並檢討執行情形。

壹拾、資通安全事件通報、應變及演練相關機制

  • 為即時掌控資通安全事件,並有效降低其所造成之損害,本校應訂定資通安全事件通報、應變及演練相關機制,詳如附件B-011「安全事件管理程序書」。

壹拾壹、資通安全情資之評估及因應

  • 本校接獲資通安全情資,應評估該情資之內容,並視其對本校之影響、本校可接受之風險及本校之資源,決定最適當之因應方式,必要時得調整資通安全維護計畫之控制措施,並做成紀錄。
  • 資通安全情資之分類評估
    • 本校接受資通安全情資後,應指定資通安全專職人員進行情資分析,並依據情資之性質進行分類及評估,情資分類評估如下:
      • 資通安全相關之訊息情資:資通安全情資之內容如包括重大威脅指標情資、資安威脅漏洞與攻擊手法情資、重大資安事件分析報告、資安相關技術或議題之經驗分享、疑似存在系統弱點或可疑程式等內容,屬資通安全相關之訊息情資。
      • 入侵攻擊情資:資通安全情資之內容如包含特定網頁遭受攻擊且證據明確、特定網頁內容不當且證據明確、特定網頁發生個資外洩且證據明確、特定系統遭受入侵且證據明確、特定系統進行網路攻擊活動且證據明確等內容,屬入侵攻擊情資。
      • 機敏性之情資:資通安全情資之內容如包含姓名、出生年月日、國民身份證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接識別之個人資料,或涉及個人、法人或團體營業上秘密或經營事業有關之資訊,或情資之公開或提供有侵害公務機關、個人、法人或團體之權利或其他正當利益,或涉及一般公務機密、敏感資訊或國家機密等內容,屬機敏性之情資。
      • 涉及核心業務、核心資通系統之情資:資通安全情資之內容如包含機關內部之核心業務資訊、核心資通系統、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作等內容,屬涉及核心業務、核心資通系統之情資。
    • 資通安全情資之因應措施
      • 本校於進行資通安全情資分類評估後,應針對情資之性質進行相應之措施,必要時得調整資通安全維護計畫之控制措施。
      • 資通安全相關之訊息情資:由資訊安全小組彙整情資後進行風險評估,並依據資通安全維護計畫之控制措施採行相應之風險預防機制。
      • 入侵攻擊情資:由資通安全專職(責)人員判斷有無立即之危險,必要時採取立即之通報應變措施,並依據資通安全維護計畫採行相應之風險防護措施,另通知各單位進行相關之預防。
      • 機敏性之情資:就涉及個人資料、營業秘密、一般公務機密、敏感資訊或國家機密之內容,應採取遮蔽或刪除之方式排除,例如個人資料及營業秘密,應以遮蔽或刪除該特定區段或文字,或採取去識別化之方式排除之。
      • 涉及核心業務、核心資通系統之情資:資訊安全小組應就涉及核心業務、核心資通系統之情資評估其是否對於機關之運作產生影響,並依據資通安全維護計畫採行相應之風險管理機制。

壹拾貳、資通系統或服務委外辦理之管理

  • 本校委外辦理資通系統之建置、維運或資通服務之提供時,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
  • 選任受託者應注意事項
    • 受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證。
    • 受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。
    • 受託者辦理受託業務得否複委託、得複委託之範圍與對象,及複委託之受託者應具備之資通安全維護措施。
  • 監督受託者資通安全維護情形應注意事項
    • 受託業務包括客製化資通系統開發者,受託者應提供該資通系統之第三方安全性檢測證明;涉及利用非自行開發之系統或資源者,並應標示非自行開發之內容與其來源及提供授權證明。
    • 受託者執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應立即通知委託機關及採行之補救措施。
    • 委託關係終止或解除時,應確認受託者返還、移交、刪除或銷毀履行委託契約而持有之資料。
    • 與委外廠商簽訂契約時,應審查契約中保密條款,並要求委外廠商之業務執行人員簽署委外廠商執行人員保密切結書、保密同意書,格式如:附件D-022「委外廠商保密切結書」。
    • 本校應定期或於知悉受託者發生可能影響受託業務之資通安全事件時,以本校「委外廠商查核項目表」如D-046進行稽核以確認受託業務之執行情形。
頁次: 1 2 3