資通安全維護計畫

壹拾參、資通安全教育訓練

  • 資通安全教育訓練要求
    • 本校資安及資訊人員每年至少接受12小時以上之資安專業課程訓練或資安職能訓練。
    • 本校之一般使用者與主管,每人每年接受3小時以上之一般資通安全教育訓練。
  • 資通安全教育訓練辦理方式
    • 資通安全小組應於每年年初,考量管理、業務及資訊等不同工作類別之需求,擬定資通安全教育訓練計畫,以建立教職員生資通安全認知,提升機關資通安全水準,並應保存相關之資通安全認知宣導及教育訓練紀錄(如:「教育訓練簽到表」)。
    • 本校資通安全認知宣導及教育訓練之內容得包含:資通安全政策(含資通安全維護計畫之內容、管理程序、流程、要求事項及人員責任、資通安全事件通報程序等)。
    • 資通安全法令規定。
    • 資通安全作業內容。
    • 資通安全技術訓練。
  • 資通安全教育訓練要求
    • 本校資安及資訊人員每年至少接受12小時以上之資安專業課程訓練或資安職能訓練。
    • 本校之一般使用者與主管,每人每年接受3小時以上之一般資通安全教育訓練。
  • 資通安全教育訓練辦理方式
    • 資通安全小組應於每年年初,考量管理、業務及資訊等不同工作類別之需求,擬定資通安全教育訓練計畫,以建立教職員生資通安全認知,提升機關資通安全水準,並應保存相關之資通安全認知宣導及教育訓練紀錄(如:「教育訓練簽到表」)。
    • 本校資通安全認知宣導及教育訓練之內容得包含:資通安全政策(含資通安全維護計畫之內容、管理程序、流程、要求事項及人員責任、資通安全事件通報程序等)。
    • 資通安全法令規定。
    • 資通安全作業內容。
    • 資通安全技術訓練。
  • 資通安全教育訓練要求
    • 本校資安及資訊人員每年至少接受12小時以上之資安專業課程訓練或資安職能訓練。
    • 本校之一般使用者與主管,每人每年接受3小時以上之一般資通安全教育訓練。
  • 資通安全教育訓練辦理方式
    • 資通安全小組應於每年年初,考量管理、業務及資訊等不同工作類別之需求,擬定資通安全教育訓練計畫,以建立教職員生資通安全認知,提升機關資通安全水準,並應保存相關之資通安全認知宣導及教育訓練紀錄(如:「教育訓練簽到表」)。
  • 本校資通安全認知宣導及教育訓練之內容得包含:
    • 資通安全政策(含資通安全維護計畫之內容、管理程序、流程、要求事項及人員責任、資通安全事件通報程序等)。
    • 資通安全法令規定。
    • 資通安全作業內容。
    • 資通安全技術訓練。
    • 教職員報到時,應使其充分瞭解本校資通安全相關作業規範及其重要性。
    • 資通安全教育及訓練之政策,除適用所屬教職員生外,對機關外部的使用者,亦應一體適用。

壹拾肆、公務機關所屬人員辦理業務涉及資通安全事項之考核機制

  • 本校所屬人員之平時考核或聘用,依據公務機關所屬人員資通安全事項獎懲辦法、本校教職員獎懲實施要點及各相關規定辦理之。

壹拾伍、資通安全維護計畫及實施情形之持續精進及績效管理機制

  • 資通安全維護計畫之實施
    • 為落實本安全維護計畫,使本校之資通安全管理有效運作,相關單位於訂定各階文件、流程、程序或控制措施時,應與本校之資通安全政策、目標及本安全維護計畫之內容相符,並應保存相關之執行成果記錄。
  • 資通安全維護計畫實施情形之稽核機制
    • 稽核機制之實施:
      • 資訊安全稽核小組應定期(至少每二年一次)或於系統重大變更或組織改造後執行一次內部稽核作業,以確認人員是否遵循本規範與機關之管理程序要求,並有效實作及維持管理制度。
      • 辦理稽核前資通安全小組應依「資訊安全稽核作業程序書」(B-013)擬定「資訊安全管理制度內部稽核計畫」如附件C-004並安排稽核成員,稽核計畫應包括稽核之依據與目的、期間、重點領域、稽核小組組成方式、保密義務(稽核委員簽署「保密切結書」如D-016)、稽核方式、基準與項目及受稽單位協助事項,並應將前次稽核之結果納入稽核範圍。
      • 辦理稽核時,資訊安全稽核小組應於執行稽核前30日,通知受稽核單位,並將稽核期程、「稽核項目紀錄表」如附件D-47及稽核流程等相關資訊提供受稽單位。
      • 本校之稽核人員應受適當培訓並具備稽核能力,且不得稽核自身經辦業務,以確保稽核過程之客觀性及公平性;另,於執行稽核時,應填具稽核項目紀錄表,待稽核結束後,應將稽核項目紀錄表內容彙整至「資訊安全管理制度內部稽核報告」如附件D-041中,並提供給受稽單位填寫辦理情形。
      • 稽核結果應對相關管理階層(含資安長)報告,並留存稽核過程之相關紀錄以作為資通安全稽核計畫及稽核事件之證據。
      • 稽核人員於執行稽核時,應至少執行一項特定之稽核項目(如是否瞭解資通安全政策及應負之資安責任、是否訂定人員之資通安全作業程序與權責、是否定期更改密碼)。
    • 稽核改善報告
      • 受稽單位於稽核實施後發現有缺失或待改善項目者,應對缺失或待改善之項目研議改善措施、改善進度規劃,並落實執行。
      • 受稽單位於稽核實施後發現有缺失或待改善者,應判定其發生之原因,並評估是否有其類似之缺失或待改善之項目存在。
      • 受稽單位於判定缺失或待改善之原因後,應據此提出並執行相關之改善措施及改善進度規劃,必要時得考量對現行資通安全管理制度或相關文件進行變更。
      • 機關應定期審查受稽單位缺失或待改善項目所採取之改善措施、改善進度規劃及佐證資料之有效性。
      • 受稽單位於執行改善措施時,應留存相關之執行紀錄,並填寫稽核結果及改善報告。
  • 資通安全維護計畫之持續精進及績效管理
    • 本校之資通安全委員會應於十月前(每年至少一次)召開資通安全管理審查會議,確認資通安全維護計畫之實施情形,確保其持續適切性、合宜性及有效性。
    • 管理審查議題應包含下列討論事項:
      • 過往管理審查議案之處理狀態。
      • 與資通安全管理系統有關之內部及外部議題的變更,如法令變更、上級機關要求、資通安全推動小組決議事項等。
      • 資通安全維護計畫內容之適切性。
      • 資通安全績效之回饋,包括:
        • 資通安全政策及目標之實施情形。
        • 資通安全人力及資源之配置之實施情形。
        • 資通安全防護及控制措施之實施情形。
        • 稽核結果。
        • 不符合項目及矯正措施。
        • 風險評鑑結果及風險處理計畫執行進度。
        • 重大資通安全事件之處理及改善情形。
        • 利害關係人之回饋。
        • 持續改善之機會。
      • 持續改善機制之管理審查應做成「矯正與預防處理單」如附件D-40,相關紀錄並應予保存,以作為管理審查執行之證據。

壹拾陸、資通安全維護計畫實施情形之提出

  • 本校依據資通安全法第12條之規定,應於十月前向上級或監督機關,填報「資通安全維護計畫實施情形」,使其得瞭解本校之年度資通安全計畫實施情形。
頁次: 1 2 3