1. 承辦單位應於每年年初,考量管理、業務及資訊等不同工作類 別之需求,擬定資通安全認知宣導及教育訓練計畫,以建立人 員資通安全認知,提升機關資通安全水準,並應保存相關之資 通安全認知宣導及教育訓練紀錄。
2. 本校資通安全認知宣導及教育訓練之內容得包含:
(1) 資通安全政策(含資通安全維護計畫之內容、管理程序、流 程、要求事項及人員責任、資通安全事件通報程序等)。
(2) 資通安全法令規定。
(3) 資通安全作業內容。
(4) 資通安全技術訓練。
3. 員工報到時,應使其充分瞭解本校資通安全相關作業規範及其 重要性。
壹拾肆、公務機關所屬人員辦理業務涉及資通安全事項之考核機制 本校所屬人員之平時考核或聘用,依據公務機關所屬人員資通 安全事項獎懲辦法,及本校各相關規定辦理之。
壹拾伍、資通安全維護計畫及實施情形之持續精進及績效管理機制 一、資通安全維護計畫之實施
為落實本安全維護計畫,使本校之資通安全管理有效運作,
相關單位於訂定各階文件、流程、程序或控制措施時,應與本校 之資通安全政策、目標及本安全維護計畫之內容相符,並應保存
18
相關之執行成果記錄。
二、資通安全維護計畫之持續精進及績效管理
1. 本校之資通安全推動小組應每年至少一次召開資通安全管理 審查會議,確認資通安全維護計畫之實施情形,確保其持續適 切性、合宜性及有效性。
2. 管理審查議題應包含下列討論事項:
(1) 與資通安全管理系統有關之內部及外部議題的變更,如法 令變更、上級機關要求、資通安全推動小組決議事項等。
(2) 資通安全維護計畫內容之適切性。
(3) 資通安全績效之回饋,包括:
A. 資通安全政策及目標之實施情形。
B. 人力及資源之配置之實施情形。
C. 資通安全防護及控制措施之實施情形。
D. 不符合項目及矯正措施。
(4) 風險評鑑結果及風險處理計畫執行進度。
(5) 資通安全事件之處理及改善情形。
(6) 利害關係人之回饋。
(7) 持續改善之機會。
3. 持續改善機制之管理審查應做成改善績效追蹤報告,相關紀錄 並應予保存,以作為管理審查執行之證據。
壹拾陸、資通安全維護計畫實施情形之提出
本校依據資通安全管理法第12 條之規定,向上級或監督機關,
提出資通安全維護計畫實施情形,使其得瞭解本校之年度資通安全 計畫實施情形。
壹拾柒、相關法規、程序及表單 一、相關法規及參考文件
1. 資通安全管理法
19
2. 資通安全管理法施行細則 3. 資通安全責任等級分級辦法 4. 資通安全事件通報及應變辦法 5. 資通安全情資分享辦法
6. 公務機關所屬人員資通安全事項獎懲辦法 7. 資訊系統風險評鑑參考指引
8. 政府資訊作業委外安全參考指引 9. 無線網路安全參考指引
10. 網路架構規劃參考指引 11. 行政裝置資安防護參考指引 12. 政府行動化安全防護規劃報告 13. 安全軟體發展流程指引
14. 安全軟體設計指引 15. 安全軟體測試指引
16. 資訊作業委外安全參考指引
17. 本機關資通安全事件通報及應變程序 二、附件表單
1. 資通安全推動小組成員及分工表 2. 資通安全保密同意書
3. 資通安全需求申請單 4. 資訊及資通系統資產清冊 5. 風險評估表
6. 風險類型暨風險對策參考表 7. 資訊資產價值評定標準
8. 風險事件發生可能性評定標準 9. 管制區域人員進出登記表
20
10. 委外廠商執行人員保密切結書、保密同意書 11. 委外廠商查核項目表
12. 資通安全認知宣導及教育訓練簽到表 13. 資通安全維護計畫實施情形
14. 審查結果及改善報告 15. 改善績效追蹤報告