1. 受託業務包括客製化資通系統開發者,受託者應提供該資通系 統之第三方安全性檢測證明;涉及利用非自行開發之系統或資 源者,並應標示非自行開發之內容與其來源及提供授權證明。
2. 受託者執行受託業務,違反資通安全相關法令或知悉資通安全 事件時,應立即通知委託機關及採行之補救措施。
3. 委託關係終止或解除時,應確認受託者返還、移交、刪除或銷 毀履行委託契約而持有之資料。
4. 與委外廠商簽訂契約時,應審查契約中保密條款,並要求委外 廠商之業務執行人員簽署委外廠商執行人員保密切結書、保密 同意書,格式如:附件十三「委外廠商執行人員保密切結書」、
附件十四「委外廠商執行人員保密同意書」。
5. 本校應定期或於知悉受託者發生可能影響受託業務之資通安全 事件時,以本校「委外廠商查核項目表」如附件十五進行稽核 以確認受託業務之執行情形。
壹拾參、資通安全教育訓練 一、 資通安全教育訓練要求
1. 本校資安及資訊人員每年至少接受12小時以上之資安專業課程 訓練或資安職能訓練。
2. 本校之一般使用者與主管,每人每年接受3小時以上之一般資通 安全教育訓練。
二、 資通安全教育訓練辦理方式
1. 資通安全小組應於每年年初,考量管理、業務及資訊等不同工 作類別之需求,擬定資通安全教育訓練計畫,以建立教職員生 資通安全認知,提升機關資通安全水準,並應保存相關之資通 安全認知宣導及教育訓練紀錄(如:「教育訓練簽到表」)。 2. 本校資通安全認知宣導及教育訓練之內容得包含:
(1) 資通安全政策(含資通安全維護計畫之內容、管理程序、流程、
要求事項及人員責任、資通安全事件通報程序等)。
(2) 資通安全法令規定。
(3) 資通安全作業內容。
(4) 資通安全技術訓練。
3. 教職員報到時,應使其充分瞭解本校資通安全相關作業規範及 其重要性。
4. 資通安全教育及訓練之政策,除適用所屬教職員生外,對機關 外部的使用者,亦應一體適用。
壹拾肆、公務機關所屬人員辦理業務涉及資通安全事項之考核機制 本校所屬人員之平時考核或聘用,依據公務機關所屬人員資 通安全事項獎懲辦法、本校教職員獎懲實施要點及各相關規定辦理 之。
壹拾伍、資通安全維護計畫及實施情形之持續精進及績效管理機制 一、 資通安全維護計畫之實施
為落實本安全維護計畫,使本校之資通安全管理有效運作,
相關單位於訂定各階文件、流程、程序或控制措施時,應與本校 之資通安全政策、目標及本安全維護計畫之內容相符,並應保存 相關之執行成果記錄。
二、 資通安全維護計畫實施情形之稽核機制 (一) 稽核機制之實施
1. 資訊安全稽核小組應定期(至少每二年一次)或於系統重大變更或 組織改造後執行一次內部稽核作業,以確認人員是否遵循本規 範與機關之管理程序要求,並有效實作及維持管理制度。
2. 辦理稽核前資通安全小組應擬定「內部稽核計畫」如附件十六 並安排稽核成員,稽核計畫應包括稽核之依據與目的、期間、
重點領域、稽核小組組成方式、保密義務(稽核委員簽署「保 密切結書」如附件四)、稽核方式、基準與項目及受稽單位協助 事項,並應將前次稽核之結果納入稽核範圍。
3. 辦理稽核時,資訊安全稽核小組應於執行稽核前30日,通知受 稽核單位,並將稽核期程、「稽核項目紀錄表」如附件十七及稽 核流程等相關資訊提供受稽單位。
4. 本校之稽核人員應受適當培訓並具備稽核能力,且不得稽核自 身經辦業務,以確保稽核過程之客觀性及公平性;另,於執行 稽核時,應填具稽核項目紀錄表,待稽核結束後,應將稽核項 目紀錄表內容彙整至「內部稽核報告」如附件十八中,並提供 給受稽單位填寫辦理情形。
5. 稽核結果應對相關管理階層(含資安長)報告,並留存稽核過程之 相關紀錄以作為資通安全稽核計畫及稽核事件之證據。
6. 稽核人員於執行稽核時,應至少執行一項特定之稽核項目(如 是否瞭解資通安全政策及應負之資安責任、是否訂定人員之資 通安全作業程序與權責、是否定期更改密碼)。
(二) 稽核改善報告
1. 受稽單位於稽核實施後發現有缺失或待改善項目者,應對缺失 或待改善之項目研議改善措施、改善進度規劃,並落實執行。
2. 受稽單位於稽核實施後發現有缺失或待改善者,應判定其發生 之原因,並評估是否有其類似之缺失或待改善之項目存在。
3. 受稽單位於判定缺失或待改善之原因後,應據此提出並執行相 關之改善措施及改善進度規劃,必要時得考量對現行資通安全 管理制度或相關文件進行變更。
4. 機關應定期審查受稽單位缺失或待改善項目所採取之改善措施、
改善進度規劃及佐證資料之有效性。
5. 受稽單位於執行改善措施時,應留存相關之執行紀錄,並填寫 稽核結果及改善報告。
三、 資通安全維護計畫之持續精進及績效管理
1. 本校之資通安全委員會應於二、十月(每年至少二次)召開資通安 全管理審查會議,確認資通安全維護計畫之實施情形,確保其 持續適切性、合宜性及有效性。
2. 管理審查議題應包含下列討論事項:
(1) 過往管理審查議案之處理狀態。
(2) 與資通安全管理系統有關之內部及外部議題的變更,如法令 變更、上級機關要求、資通安全推動小組決議事項等。
(3) 資通安全維護計畫內容之適切性。
(4) 資通安全績效之回饋,包括:
A. 資通安全政策及目標之實施情形。
B. 資通安全人力及資源之配置之實施情形。
C. 資通安全防護及控制措施之實施情形。
D. 稽核結果。
E. 不符合項目及矯正措施。
(5) 風險評鑑結果及風險處理計畫執行進度。
(6) 重大資通安全事件之處理及改善情形。
(7) 利害關係人之回饋。
(8) 持續改善之機會。
3. 持續改善機制之管理審查應做成「矯正與預防處理單」如附件 十八,相關紀錄並應予保存,以作為管理審查執行之證據。
壹拾陸、資通安全維護計畫實施情形之提出
本校依據資通安全法第12條之規定,應於十月前向上級或監
壹拾柒、相關法規、程序及表單 一、 相關法規及參考文件
1. 資通安全管理法
2. 資通安全管理法施行細則 3. 資通安全責任等級分級辦法 4. 資通安全事件通報及應變辦法 5. 資通安全情資分享辦法
6. 公務機關所屬人員資通安全事項獎懲辦法 7. 資訊系統風險評鑑參考指引
8. 政府資訊作業委外安全參考指引 9. 無線網路安全參考指引
10. 網路架構規劃參考指引 11. 行政裝置資安防護參考指引 12. 政府行動化安全防護規劃報告 13. 安全軟體發展流程指引
14. 安全軟體設計指引 15. 安全軟體測試指引
16. 資訊作業委外安全參考指引 二、 附件資料表單
附件一:資訊安全政策 附件二:資訊安全組織
附件三:資訊安全組織成員表 附件四:保密切結書
附件五:資訊資產管理 附件六:風險評鑑與管理 附件七:資訊資產異動作業 附件八:存取控制管理 附件九:實體安全管理
附件十一:系統開發與維護
附件十二:資通安全事件通報及應變程序 附件十三:委外廠商執行人員保密切結書 附件十四:委外廠商執行人員保密同意書 附件十五:委外廠商查核項目表
附件十六:內部稽核計畫 附件十七:稽核項目紀錄表 附件十八:內部稽核報告 附件十九:矯正與預防處理單