宜蘭縣大湖國民小學
資通安全維護計畫
修訂人核章 | |
單位主管核章 | |
資安長核章 |
版次:V1.1(修正版)
中華民國 109年4月9日
資通安全維護計畫
文件制/修訂紀錄表
文件版本 | 修訂日期 | 修訂內容 | 修訂單位 | 修訂人 | 核定人 (資安長)
|
V1.0(初版) | 108年4月9日 | 新擬訂文件 | 教務組 | 陳文傑 | 黃義添 |
V1.1 | 109年4月6日 | 更正引用法條,原引用法條為11條,更正為12條 | 教務組 | 陳文傑 | 黃義添 |
目 錄
壹拾肆、 公務機關所屬人員辦理業務涉及資通安全事項之考核機制 13
壹拾伍、 資通安全維護計畫及實施情形之持續精進及績效管理機制 13
壹、依據及目的
本計畫依據資通安全管理法第10條及施行細則第6條訂定。
貳、適用範圍
本計畫適用宜蘭縣大湖國民小學。
參、核心業務及重要性:詳宜蘭縣國民中小學核心業務說明表
一、 核心業務及重要性:詳宜蘭縣大湖國民小學核心業務說明表
二、 非核心業務及說明:詳宜蘭縣大湖國民小學核心業務說明表
肆、資通安全政策及目標
一、 資通安全政策
為使本機關業務順利運作,防止資訊或資通業務受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:
- 應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
- 應保護機敏資訊及資通業務之機密性與完整性,避免未經授權的存取與竄改。
- 應因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本機關同仁之資通安全意識,本機關同仁亦應確實參與訓練。
- 針對辦理資通安全業務有功人員應進行獎勵。
- 勿開啟來路不明或無法明確辨識寄件人之電子郵件。
- 落實資通安全通報機制。
二、 資通安全目標
- 提報教育機構資安通報平台之資通安全3、4級事件不得發生,1、2級事件發生應為5件以下(含)。
- 鑑別出並符合所須遵循之法令法規,未鑑別出所需遵循法規次數不得發生2件以下(含)。
- 全年不得違反所須遵循之法令法規,違反需遵循法規次數不得發生2件以下(含)。
- 達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
三、 資通安全政策及目標之核定程序
資通安全政策由本機關教務組簽陳資通安全長核定。
四、 資通安全政策及目標之宣導
- 本機關之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向機關內所有人員進行宣導,並檢視執行成效。
- 本機關應每年向利害關係人(例如IT服務供應商、與機關連線作業有關單位)進行資安政策及目標宣導,並檢視執行成效,宣導之方式可透過教育訓練、會議、網站進行。
五、 資通安全政策及目標定期檢討程序
資通安全政策及目標應定期於資通安全管理審查會議中檢討其適切性。
伍、資通安全推動組織
一、 資通安全長
依本法第11條之規定,本機關訂定校長為資通安全長,負責督導機關資通安全相關事項,其任務包括:
- 資通安全管理政策及目標之核定、核轉及督導。
- 資通安全責任之分配及協調。
- 資通安全資源分配。
- 資通安全防護措施之監督。
- 資通安全事件之檢討及監督。
- 資通安全相關規章與程序、制度文件核定。
- 資通安全管理年度工作計畫之核定
- 資通安全相關工作事項督導及績效管理。
- 其他資通安全事項之核定。
二、 資通安全推動小組
(一) 組織
為推動本機關之資通安全相關政策、落實資通安全事件通報及相關應變處理,由資通安全長召集二處室主任成立資通安全推動小組,其任務包括:
- 跨處室資通安全事項權責分工之協調。
- 應採用之資通安全技術、方法及程序之協調研議。
- 整體資通安全措施之協調研議。
- 資通安全計畫之協調研議。
- 其他重要資通安全事項之協調研議。
(二) 分工及職掌
本機關之資通安全推動小組依下列分工進行責任分組,並依資通安全長之指示負責下列事項,本機關資通安全推動小組分組人員名單及職掌應列冊,並適時更新之:
- 策略規劃:
- 資通安全政策及目標之研議。
- 訂定機關資通安全相關規章與程序、制度文件,並確保相關規章與程序、制度合乎法令及契約之要求。
- 依據資通安全目標擬定機關年度工作計畫。
- 傳達機關資通安全政策與目標。
- 其他資通安全事項之規劃。
- 成員由資通安全業務主管單位或資通安全長指派之。
- 資安防護:
- 資通安全技術之研究、建置及評估相關事項。
- 資通安全相關規章與程序、制度之執行。
- 資訊及資通業務之盤點及風險評估。
- 資料及資通業務之安全防護事項之執行。
- 資通安全事件之通報及應變機制之執行。
- 其他資通安全事項之辦理與推動。
- 成員由資通業務機關窗口或資通安全長指派之。
- 績效管理:
- 辦理資通安全內部稽核。
- 每年定期召開資通安全管理審查會議,提報資通安全事項執行情形。
- 成員由資通安全長指派之。
陸、專職人力及經費配置
一、 專職人力及資源之配置
- 本機關依資通安全責任等級分級辦法之規定,屬資通安全責任等級D級,最低應設置資通安全兼辦人員1人,其分工如下,本機關現有資通安全專責人員名單及職掌應列冊,並適時更新。
- 負責推動內部資通安全稽核及教育訓練等業務之推動。
- 負責資通安全防護設施建置、資通安全事件通報及應變業務之推動。
- 負責本機關對所屬公務務機關或所管特定非公務機關之法遵義務執行事宜。
- 本機關之承辦單位於辦理資通安全人力資源業務時,應加強資通安全人員之培訓,並提升機關內資通安全專業人員之資通安全管理能力。本機關之相關單位於辦理資通安全業務時,如資通安全人力或經驗不足,得洽請相關學者專家或專業機關(構)提供顧問諮詢服務。
- 本機關負責重要資通設備之管理、維護、設計及操作之人員,應妥適分工,分散權責,若負有機密維護責任者,應簽屬書面約定,並視需要實施人員輪調,建立人力備援制度。
- 本機關之首長及各級業務主管人員,應負責督導所屬人員之資通安全作業,防範不法及不當行為。
- 專業人力資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改善機制之管理審查。
二、 經費之配置
- 資通安全推動小組於規劃配置相關經費及資源時,應考量本機關之資通安全政策及目標,並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源。
- 各單位於規劃資通業務時,應一併規劃資通業務之資安防護需求,並於整體預算中合理分配資通安全預算所佔之比例。
- 各單位如有資通安全資源之需求,應配合機關預算規劃期程向資安全推動小組提出,由資通安全推動小組視整體資通安全資源進行分配,並經資通安全長核定後,進行相關之建置。
- 資通安全經費、資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改善機制之管理審查。
柒、資訊及資通系統之盤點
一、 資訊及資通資產盤點
- 本機關每年辦理資訊及資通資產盤點,依管理責任指定對應之資產管理人,並依資產屬性進行分類,分別為資訊資產、軟體資產、實體資產、服務資產、人員資產、個資資產等。
- 資訊及資通資產項目如下:
資產分類標準表
資產類別 | 資產項目 |
資訊資產 (未含有個資) | 一、系統資料檔案,例如:資料庫檔案、應用程式檔案及備份檔案等。 二、電子化儲存之文件檔案,例如:系統或軟體使用手冊及教育訓練教材等。 三、書面管理文件,例如:系統文件、使用手冊等。 四、書面紀錄,例如:申請表單等。 |
軟體資產 | 一、系統軟體,例如:業務資訊系統、公文系統、排課系統等。 二、市府授權之軟體,例如:防毒軟體、文書軟體等。 |
硬體資產 | 一、電腦設備,例如:伺服器、個人主機、筆記型電腦等。 二、通訊設備,例如:路由器、網路交換器、傳真機、印表機及影印機等。 三、儲存媒體,例如:隨身碟、光碟及光碟機等。 四、其他支援設備,例如:監視器、不斷電系統等。 |
服務資產 | 一般維運支援性服務,例如:中華電信網路專線、市電系統。 |
- 本校每年度應依財產管理系統盤點結果,製作「資訊及資通資產清冊」。
- 資訊及資通之硬體資產應以標籤標示於設備明顯處,並載明財產編號、保管人、廠牌、型號等資訊。
- 各單位管理之資訊或資通設備如有異動,應即時通知資通安全推動小組更新資產清冊。
二、 機關資通安全責任等級分級
本機關自行辦理資通業務,未維運自行或委外開發之資通系統者,其資通安全責任等級為 D 級。
捌、資通安全風險評估
一、 資通安全風險評估
- 本機關應每年針對資訊及資通設備資產進行風險評估。
- 執行風險評估時應參考行政院國家資通安全會報頒布之最新「資訊系統風險評鑑參考指引」執行相關作業。
- 本機關應每年依據資通安全責任等級分級辦法之規定,分別就機密性、完整性、可用性、法律遵循性等構面評估。
玖、資通安全防護及控制措施
本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項,採行相關之防護及控制措施,全機關之防護及控制措施詳如本機關資通安全維護計畫。
本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項,採行相關之防護及控制措施如下:
一、 資訊及資通設備之管理
(一) 資訊及資通設備之使用
- 本機關同仁使用資訊及資通設備須遵守設備管理機關相關規範。
- 本機關同仁使用資訊及資通設備時,應留意其資通安全要求事項,並負對應之責任。
- 本機關同仁使用資訊及資通設備後,應依規定之程序歸還。資訊類資訊之歸還應確保相關資訊已正確移轉,並安全地自原設備上抹除。
- 非本機關同仁使用本機關之資訊及資通設備,應確實遵守本機關之相關資通安全要求,且未經授權不得任意複製資訊。
- 對於資訊及資通設備,宜識別並以文件記錄及實作可被接受使用之規則。
二、 存取控制與加密機制管理
(一) 網路安全控管
- 本機關之防火牆統一由宜蘭縣教育網路中心管理,區域劃分如下:
- 外部網路:對外網路區域,連接外部廣網路(Wide Area Network, WAN)。
- 內部區域網路 (Local Area Network, LAN) :機關內部單位人員及內部伺服器使用之網路區段。
- 外部網路及內部區域網路間連線需經防火牆進行存取控制,非允許的服務與來源不能進入其他區域。
- 應定期檢視防火牆政策是否適當,並適時向宜蘭縣教育網路中心提出防火牆進出規則申請。
- 本機關內部網路之區域應做合理之區隔,使用者應經授權後在授權之範圍內存取網路資源。
- 對網路系統管理人員或資通安全主管人員的操作,均應建立詳細的紀錄。並應定期檢視網路安全相關設備設定規則與其日誌紀錄,並檢討執行情形。
- 使用者應依規定之方式存取網路服務。
- 網域名稱系統(DNS)防護
- DNS伺服器應設定指向宜蘭縣教育資訊網路中心 DNS。
- 內部主機位置查詢應指向機關內部DNS伺服器。
(二) 資通業務權限管理
- 本機關之資通業務應設置通行碼管理
- 使用者辦理資通業務前應經授權,並使用唯一之使用者ID。
- 使用者無繼續辦理資通業務時,應立即停用或移除使用者ID,資通業務管理者應定期清查使用者之權限。
(三) 特權帳號之存取管理
- 資通設備之特權帳號請應經正式申請授權方能使用,特權帳號授權前應妥善審查其必要性,其授權及審查記錄應留存。
- 資通設備之特權帳號不得共用。
- 對於特權帳號,宜指派與該使用者日常公務使用之不同使用者ID。
- 資通設備之特權帳號應妥善管理,並應留存特殊權限帳號之使用軌跡。
- 資通設備之管理者每季應清查系統特權帳號並劃定特權帳號逾期之處理方式。
三、 作業與通訊安全管理
(一) 防範惡意軟體之控制措施
- 本機關之主機及個人電腦應安裝防毒軟體,並時進行軟、硬體之必要更新或升級。
- 經任何形式之儲存媒體所取得之檔案,於使用前應先掃描有無惡意軟體。
- 電子郵件附件及下載檔案於使用前,宜於他處先掃描有無惡意軟體。
- 確實執行網頁惡意軟體掃描。
- 使用者未經同意不得私自安裝應用軟體,管理者並應每半年定期針對管理之設備進行軟體清查。
- 使用者不得私自使用已知或有嫌疑惡意之網站。
- 設備管理者應定期進行作業系統及軟體更新,以避免惡意軟體利用系統或軟體漏洞進行攻擊。
(二) 遠距工作之安全措施
- 本機關資通業務之操作及維護以現場操作為原則,避免使用遠距工作,如有緊急需求時,應申請並經資通安全推動小組同意後始可開通。
- 資通安全推動小組應定期審查已授權之遠距工作需求是否適當。
(三) 電子郵件安全管理
- 使用者使用電子郵件時應提高警覺,避免讀取來歷不明之郵件或含有巨集檔案之郵件。
- 使用者不得利用機關所提供電子郵件服務從事侵害他人權益或違法之行為。
- 使用者應確保電子郵件傳送時之傳遞正確性。
- 使用者使用電子郵件時,應注意電子簽章之要求事項。
- 本機關應定期舉辦(或配合上級機關舉辦)電子郵件社交工程演練,並檢討執行情形。
(四) 確保實體與環境安全措施
- 通訊機房(機櫃)之管理
- 通訊機房(機櫃)應進行實體隔離。
- 機關人員或來訪人員應申請及授權後方可進入通訊機房(機櫃),通訊機房(機櫃)管理者並應定期檢視授權人員之名單。
- 人員進入管制區應配載身分識別之標示,並隨時注意身分不明或可疑人員。
- 僅於必要時,得准許外部支援人員進入通訊機房(機櫃)。
- 通訊機房(機櫃)之環境控制
- 通訊機房(機櫃)之空調、電力得建立備援措施。
- 通訊機房(機櫃)得安裝之安全偵測及防護措施,以減少環境不安全引發之危險。
- 辦公室區域之實體與環境安全措施
- 應考量採用辦公桌面的淨空政策,以減少文件及可移除式媒體等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。
- 文件及可移除式媒體在不使用或不上班時,應存放在櫃子內。
- 機密性及敏感性資訊,不使用或下班時應該上鎖。
- 機密資訊或處理機密資訊之資通業務應避免存放或設置於公眾可接觸之場域。
- 顯示存放機密資訊或具處理機密資訊之資通業務地點之通訊錄及內部人員電話簿,不宜讓未經授權者輕易取得。
- 資訊或資通業務相關設備,未經管理人授權,不得被帶離辦公室。
(五) 資料備份
- 重要資料應進行資料備份,其備份之頻率應滿足復原時間點目標之要求,並執行異地存放。
- 本機關應每季確認重要資料備份之有效性。且測試該等資料備份時,宜於專屬之測試系統上執行,而非直接於覆寫回原資通設備。
(六) 電腦使用之安全管理
- 電腦、業務系統或自然人憑證,若超過十五分鐘不使用時,應立即登出或啟動螢幕保護功能並取出自然人憑證。
- 禁止私自安裝點對點檔案分享軟體及未經合法授權軟體。
- 連網電腦應隨時配合更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
- 如發現資安問題,應主動循機關之通報程序通報。
四、 業務持續運作演練
本機關應針對網際網路服務制定業務持續運作計畫,並配合宜蘭縣政府辦理持續運作演練。
五、 資通安全防護設備
- 本機關應建置防毒軟體,持續使用並適時進行軟、硬體之必要更新或升級。
- 資安設備應定期備份日誌紀錄,定期檢視並由主管複核執行成果,並檢討執行情形。
壹拾、資通安全事件通報、應變及演練相關機制
為即時掌控資通安全事件,並有效降低其所造成之損害,本機關應訂定資通安全事件通報、應變及演練相關機制,詳學校資通安全事件通報應變程序。
壹拾壹、資通安全情資之評估及因應
本機關接獲資通安全情資,應評估該情資之內容,並視其對本機關之影響、本機關可接受之風險及本機關之資源,決定最適當之因應方式,必要時得調整資通安全維護計畫之控制措施,並做成紀錄。
一、 資通安全情資之分類評估
本機關接受資通安全情資後,應指定資通安全專職人員進行情資分析,並依據情資之性質進行分類及評估,情資分類評估如下:
(一) 資通安全相關之訊息情資
資通安全情資之內容如包括重大威脅指標情資、資安威脅漏洞與攻擊手法情資、重大資安事件分析報告、資安相關技術或議題之經驗分享、疑似存在系統弱點或可疑程式等內容,屬資通安全相關之訊息情資。
(二) 入侵攻擊情資
資通安全情資之內容如包含特定網頁遭受攻擊且證據明確、特定網頁內容不當且證據明確、特定網頁發生個資外洩且證據明確、特定系統遭受入侵且證據明確、特定系統進行網路攻擊活動且證據明確等內容,屬入侵攻擊情資。
(三) 機敏性之情資
資通安全情資之內容如包含姓名、出生年月日、國民身份證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接識別之個人資料,或涉及個人、法人或團體營業上秘密或經營事業有關之資訊,或情資之公開或提供有侵害公務機關、個人、法人或團體之權利或其他正當利益,或涉及一般公務機密、敏感資訊或國家機密等內容,屬機敏性之情資。
(四) 涉及核心業務、核心資通系統之情資
資通安全情資之內容如包含機關內部之核心業務資訊、核心資通系統、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作等內容,屬涉及核心業務、核心資通系統之情資。
二、 資通安全情資之因應措施
本機關於進行資通安全情資分類評估後,應針對情資之性質進行相應之措施,必要時得調整資通安全維護計畫之控制措施。
(一) 資通安全相關之訊息情資
由資通安全推動小組彙整情資後進行風險評估,並依據資通安全維護計畫之控制措施採行相應之風險預防機制。
(二) 入侵攻擊情資
由資通安全專職(責)人員判斷有無立即之危險,必要時採取立即之通報應變措施,並依據資通安全維護計畫採行相應之風險防護措施,另通知各單位進行相關之預防。
(三) 機敏性之情資
就涉及個人資料、營業秘密、一般公務機密、敏感資訊或國家機密之內容,應採取遮蔽或刪除之方式排除,例如個人資料及營業秘密,應以遮蔽或刪除該特定區段或文字,或採取去識別化之方式排除之。
(四) 涉及核心業務、核心資通系統之情資
資通安全推動小組應就涉及核心業務、核心資通系統之情資評估其是否對於機關之運作產生影響,並依據資通安全維護計畫採行相應之風險管理機制。
壹拾貳、資通系統或服務委外辦理之管理
本機關委外辦理資通系統之建置、維運或資通服務之提供時,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
一、 選任受託者應注意事項
- 受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證。
- 受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。
二、 監督受託者資通安全維護情形應注意事項
- 受託者執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應立即通知委託機關及採行之補救措施。
- 委託關係終止或解除時,應確認受託者返還、移交、刪除或銷毀履行委託契約而持有之資料。
- 受託者應採取之其他資通安全相關維護措施。
- 本機關應定期或於知悉受託者發生可能影響受託業務之資通安全事件時,以稽核或其他適當方式確認受託業務之執行情形。
壹拾參、資通安全教育訓練
一、 資通安全教育訓練要求
本機關依資通安全責任等級分級屬D級,一般使用者與主管,每人每年接受3小時以上之一般資通安全教育訓練。
二、 資通安全教育訓練辦理方式
- 承辦單位應於每學年年初,考量管理、業務及資訊等不同工作類別之需求,擬定資通安全認知宣導及教育訓練計畫,以建立員工資通安全認知,提升機關資通安全水準,並應保存相關之資通安全認知宣導及教育訓練紀錄。
- 本機關資通安全認知宣導及教育訓練之內容得包含:
- 資通安全政策(含資通安全維護計畫之內容、管理程序、流程、要求事項及人員責任、資通安全事件通報程序等)。
- 資通安全法令規定。
- 資通安全作業內容。
- 資通安全技術訓練。
- 員工報到時,應使其充分瞭解本機關資通安全相關作業規範及其重要性。
- 資通安全教育及訓練之政策,除適用所屬員工外,對機關外部的使用者,亦應一體適用。
壹拾肆、公務機關所屬人員辦理業務涉及資通安全事項之考核機制
本機關所屬人員之平時考核或聘用,依據公務機關所屬人員資通安全事項獎懲辦法,及本機關各相關規定辦理之。
壹拾伍、資通安全維護計畫及實施情形之持續精進及績效管理機制
一、 資通安全維護計畫之實施
為落實本安全維護計畫,使本機關之資通安全管理有效運作,相關單位於訂定各階文件、流程、程序或控制措施時,應與本機關之資通安全政策、目標及本安全維護計畫之內容相符,並應保存相關之執行成果記錄。
二、 資通安全維護計畫實施情形之稽核機制
(一) 稽核機制之實施
- 資通安全推動小組應定期(至少每年一次)或於系統重大變更或組織改造後執行一次內部稽核作業,以確認人員是否遵循本規範與機關之管理程序要求,並有效實作及維持管理制度。
- 辦理稽核前資通安全推動小組應擬定資通安全稽核計畫並安排稽核成員,稽核計畫應包括稽核之依據與目的、期間、重點領域、稽核小組組成方式、保密義務、稽核方式、基準與項目及受稽單位協助事項,並應將前次稽核之結果納入稽核範圍。
- 辦理稽核時,資通安全推動小組應於執行稽核前30日,通知受稽核單位,並將稽核期程、稽核項目紀錄表及稽核流程等相關資訊提供受稽單位。
- 本機關之稽核人員應受適當培訓並具備稽核能力,且不得稽核自身經辦業務,以確保稽核過程之客觀性及公平性;另,於執行稽核時,應填具稽核項目紀錄表,待稽核結束後,應將稽核項目紀錄表內容彙整至稽核結果及改善報告中,並提供給受稽單位填寫辦理情形。
- 稽核結果應對相關管理階層(含資安長)報告,並留存稽核過程之相關紀錄以作為資通安全稽核計畫及稽核事件之證據。
- 稽核人員於執行稽核時,應至少執行一項特定之稽核項目(如是否瞭解資通安全政策及應負之資安責任、是否訂定人員之資通安全作業程序與權責、是否定期更改密碼)。
(二) 稽核改善報告
- 受稽單位於稽核實施後發現有缺失或待改善項目者,應對缺失或待改善之項目研議改善措施、改善進度規劃,並落實執行。
- 受稽單位於稽核實施後發現有缺失或待改善者,應判定其發生之原因,並評估是否有其類似之缺失或待改善之項目存在。
- 受稽單位於判定缺失或待改善之原因後,應據此提出並執行相關之改善措施及改善進度規劃,必要時得考量對現行資通安全管理制度或相關文件進行變更。
- 機關應定期審查受稽單位缺失或待改善項目所採取之改善措施、改善進度規劃及佐證資料之有效性。
- 受稽單位於執行改善措施時,應留存相關之執行紀錄,並填寫稽核結果及改善報告。
三、 資通安全維護計畫之持續精進及績效管理
- 本機關之資通安全推動小組應於每年召開資通安全管理審查會議,確認資通安全維護計畫之實施情形,確保其持續適切性、合宜性及有效性。
- 管理審查議題應包含下列討論事項:
- 過往管理審查議案之處理狀態。
- 與資通安全管理業務有關之內部及外部議題的變更,如法令變更、上級機關要求、資通安全推動小組決議事項等。
- 資通安全維護計畫內容之適切性。
- 資通安全績效之回饋,包括:
- 資通安全政策及目標之實施情形。
- 資通安全人力及資源之配置之實施情形。
- 資通安全防護及控制措施之實施情形。
- 內外部稽核結果。
- 不符合項目及矯正措施。
- 風險評鑑結果及風險處理計畫執行進度。
- 重大資通安全事件之處理及改善情形。
- 利害關係人之回饋。
- 持續改善之機會。
- 持續改善機制之管理審查應做成改善績效追蹤報告,相關紀錄並應予保存,以作為管理審查執行之證據。
壹拾陸、資通安全維護計畫實施情形之提出
本機關依據本法第12條之規定,應於每年11月中向宜蘭縣教育資訊網路中心,提出資通安全維護計畫實施情形,使其得瞭解本機關之年度資通安全計畫實施情形。
壹拾柒、相關法規、程序及表單
一、 相關法規及參考文件
- 資通安全管理法
- 資通安全管理法施行細則
- 資通安全責任等級分級辦法
- 資通安全事件通報及應變辦法
- 資通安全情資分享辦法
- 公務機關所屬人員資通安全事項獎懲辦法
- 資訊系統風險評鑑參考指引
- 政府資訊作業委外安全參考指引
- 無線網路安全參考指引
- 網路架構規劃參考指引
- 行政裝置資安防護參考指引
- 政府行動化安全防護規劃報告
- 安全軟體發展流程指引
- 安全軟體設計指引
- 安全軟體測試指引
- 資訊作業委外安全參考指引
- 本機關資通安全事件通報及應變程序
二、 附件表單
- 年度資通安全教育訓練計畫
- 保密切結書
- 核心業務說明表
- 設備進出紀錄表
- 通報流程簡圖
- 資訊資訊安全組織成員表
- 安全事件報告單
- 資訊安全管理文件列表
- 資通安全稽核計畫
- 操作員日誌範本
- 機房進出管制登記表
- 優質通行碼設定原則與使用原則