國立草屯高級商工職業學校
資通安全維護計畫實施情形自評表-D級(仍維運資通系統)
稽核項目 | 稽核結果 | 佐證資料 | |||
符合 | 不符合 | ||||
1.核心業務及其重要性 | ˇ | ||||
2.資通安全政策及目標之訂定 | 2.1資通安全政策訂定及核定 | ˇ | 資通安全政策 | ||
2.2資通安全目標之訂定 | ˇ | 資通安全年度KPI | |||
2.3資通安全政策及目標宣導 | ˇ | 函知各單位、會議宣導、網站公告、教育訓練、辦理測驗、E-mail等 | |||
2.4資通安全政策及目標定期檢視 | ˇ | 管審會會議資料,資安政策之檢視。 | |||
3.設置資通安全推動組織 | 3.1設定資通安全長及資通安全推動小組 | ˇ | 資通安全組織及資通安全組織成員表 | ||
3.2資通安全組織運作 | ˇ | 資通安全委員會或管審會簽到單(資安長參加會議次數) | |||
4.專責人力及經費之配置 | 4.1專職(責)人員配置 | ˇ | 呈報署內專職(責)人員公文、附表1-資安專責人力表 | ||
4.2經費之配置 | ˇ | 附表2-經費配置表(近三年) | |||
5.資訊資產盤點暨風險評估作業 | 5.1資通系統及資訊之盤點及核心資通系統、相關資產之標示 | ˇ | 附表3-資訊資產盤點表 | ||
5.2資通安全風險評估及因應 | ˇ | 附表4-威脅弱點評估表 附表5-風險評鑑彙整表 附表6-風險改善計劃表 | |||
6.資通安全防護及控制措施 | 6.1資通安全防護及控制措施 | ˇ | 實體安全管理程序書、存取控制管理程序書、通訊與作業管理程序書、系統開發及維護管理程序書。 | ||
7.資通安全事件通報、應變及演練相關機制 | 7.1訂定資通安全事件通報、應變及演練相關機制 | ˇ | 資通安全事件通報及應變管理程序 | ||
7.2資通安全事件通報、應變及演練 | ˇ | 1.資安事件通報:教育機構資安通報平臺113年資料 2.113年通報應變演練:演練證明(演練平臺通報資料、簡訊、Email等) 3.社交工程演練紀錄及改善情形 4.附表7-社交工程演練結果統計表 | |||
8.資通安全情資之評估及因應機制 | 8.1資通安全情資之評估及因應措施 | ˇ | 收到情資項目可進行網頁公告、全機關轉信等,並對於機關可能面臨之情資狀況應進行分析評估並留存紀錄。 | ||
9.資通系統或服務委外辦理之管理 | 9.1選任受託者應注意事項 | ˇ | 提供校務行政(含學習歷程)系統外之委外服務案RFP或廠商服務建議書(含委外廠商之資安能力要求項目、附表8-委外廠商資安管理作業自評表)。 另請針對以下項目自我檢核: 1.應符合資安法施行細則第四條之受託者(委外廠商)應具備與應提供事項,如資安專業人員、資安管理措施或第三方驗證。 2.系統上線之安全檢測證明。 3.應與廠商約定委外系統適用之防護基準。 4.應與廠商約定維護水準,如保證系統的完修時間,符合資安維護計畫中的最大容忍中斷時間,備份週期符合系統 RPO。 5.應依資安維護計畫,落實委外廠商與人員簽署保密協議。 6.應將軟體開發生命週期之各階段安全要求納入合約。 7.應將委外關係結束後之資料返還、刪除與保密責任列入合約要求中。 8.應約定受委託廠商,知悉資安事件的通報與應變處理責任。 | ||
9.2監督受託者資通安全維護情形應注意事項 | ˇ | 提供校務行政(含學習歷程)系統外之委外廠商定期維護紀錄或委外廠商自我檢核表如:附表9-委外廠商查核暨自我檢核項目表,於管理審查階段說明及討論,且應包含維護作業中之資安項目及議題。 自我檢核內容同9.1。 | |||
9.3是否辦理委外廠商查核? | ˇ | 1.提供校務行政(含學習歷程)系統外之委外廠商自我檢核表如:附表9-委外廠商查核暨自我檢核項目表 2.應於委外廠商查核作業後落實追蹤改善要求,並於管理審查會議說明。 3.委外廠商如已通過ISO27001等資訊安全管理系統標準驗證,可請廠商提供相關證明文件。 | |||
10.公務機關所屬人員辦理業務涉及資通安全事項之考核機制 | 10.1訂定考核機制並進行考核 | ˇ | 1.機關相關獎懲法規。 2.113年機關相關人員奬懲。 | ||
11.資通安全維護計畫及實施情形之持續精進及績效管理機制 | 11.1資通安全維護計畫實施情形之稽核機制 | ˇ | 年度稽核計畫、稽核查檢表、稽核報告書、最近1次之實地稽核訪視及書面審查紀錄、管理審查會議紀錄(含追蹤改善情形)。 | ||
11.2資通安全維護計畫之持續精進及績效管理 | ˇ | 矯正預防處理單、管理審查會議紀錄(含說明資通安全維護計畫之持續精進及績效管理執行情形)。 | |||
12.管理面 | 12.1資通安全專責人員 | 同4.1 附表1-資安專責人力表 | |||
13.技術面 | 資通安全防護 | 13.1防毒軟體 | ˇ | 軟體授權(截圖) | |
13.2網路防火牆 | ˇ | 軟體或硬體、防火牆管理介面證明(截圖) | |||
14.認知與訓練 | 資通安全教育訓練 | 14.1資通安全專責人員 | ˇ | 附表10-資通安全教育訓練統計表 | |
14.2一般使用者及主管 | ˇ | 附表10-資通安全教育訓練統計表 | |||
其他建議稽核項目 | |||||
14.認知與訓練 | 資通安全教育訓練 | 14.3資通安全專責人員以外之資訊人員 | 附表10-資通安全教育訓練統計表 | ||
15.管理面 | 15.1資通系統分級及防護基準 | 附表3-資訊資產盤點表 | |||
15.2資訊安全管理系統之導入 | 足以證明機關持續導入資通安全管理系統之文件 | ||||
15.3內部資通安全稽核 | 同11.1(二年一次) | ||||
16.技術面 | 安全性檢測 | 16.1弱點掃描 | 自行維運或委外之重要資通系統(防護需求等級為高或保有個人資料者等優先),應提供弱點掃描紀錄(主機及網頁皆要做弱點掃描,初測跟複測皆需要繳交)(二年一次) | ||
資通安全健診 | 16.2網路架構檢視 | 資通安全健診網路架構檢視報告(資通安全健診報告跟修補證明,二年一次) | |||
16.3網路惡意活動檢視 | 資通安全健診網路惡意活動檢視報告(二年一次) | ||||
16.4使用者端電腦惡意活動檢視 | 資通安全健診使用者端電腦惡意活動檢視報告(二年一次) | ||||
16.5伺服器主機惡意活動檢視 | 資通安全健診伺服器主機惡意活動檢視報告(二年一次) | ||||
16.6目錄伺服器設定檢視 | 資通安全健診目錄伺服器設定檢視報告(二年一次) | ||||
16.7防火牆連線設定檢視 | 資通安全健診防火牆連線設定檢視報告(二年一次) | ||||
資通安全防護 | 16.8具有郵件伺服器者,應備電子郵件過濾機制 | 過濾機制或經授權之軟體硬體(截圖)。 | |||
1.附表1-資安專責人力表
2.附表2-經費配置表
3.附表3-資訊資產盤點表
4.附表4-威脅弱點評估表
5.附表5-風險評鑑彙整表
6.附表6-風險改善計劃表
7.附表7-社交工程演練結果統計表
8.附表8-委外廠商資安管理作業自評表
9.附表9-委外廠商查核暨自我檢核項目表
10.附表10-資通安全教育訓練統計表
11.有關技術面16.6及16.8,若機關無相應設備,請勾選「符合」,並於佐證資料欄位中註明無此設備。
12.其他建議稽核項目將不記入缺失,僅為向機關提供建議。
備註:附表1至3可依「臺教國署資字第1140034117號」函所提供之附件填寫後檢附。
附表4至10如機關有相對應表單可依機關原表單提出佐證。
