資訊安全管理制度導入成果發表簡報

校園資訊安全管理制度

校園資訊安全管理制度

校園資訊安全管理制度

校園資訊安全管理制度(ISMS)

種子學校輔導計畫成果分享

種子學校輔導計畫成果分享

種子學校輔導計畫成果分享

種子學校輔導計畫成果分享--高雄大學圖書資訊館

高雄大學圖書資訊館

高雄大學圖書資訊館

高雄大學圖書資訊館

98年

年

年11月

年

月

月25日

月

日

日

日

報告人

報告人

報告人

報告人：

：

：

：趙志宏

趙志宏

趙志宏

趙志宏

大綱

ISMS導入驗證範圍與進度說明

導入驗證範圍與進度說明

導入驗證範圍與進度說明

導入驗證範圍與進度說明

管理階層審查會議

管理階層審查會議，

管理階層審查會議

管理階層審查會議

，

，包括

，

包括

包括

包括



九大輸入



五大輸出

外部稽核注意事項

外部稽核注意事項

外部稽核注意事項

外部稽核注意事項

ISMS執行的關鍵因素

執行的關鍵因素

執行的關鍵因素

執行的關鍵因素

結論

結論

結論

結論

ISMS驗證範圍

國立高雄大學圖書資訊館資訊主機房設施

國立高雄大學圖書資訊館資訊主機房設施、

國立高雄大學圖書資訊館資訊主機房設施

國立高雄大學圖書資訊館資訊主機房設施

、

、網路基礎建設

、

網路基礎建設

網路基礎建設

網路基礎建設

維運與學籍系統維護作業

維運與學籍系統維護作業

維運與學籍系統維護作業

維運與學籍系統維護作業。

。

。

。

ISO27001與教育體系資通安全管理規範差異

教育體系資通安全管理規範

教育體系資通安全管理規範

教育體系資通安全管理規範

教育體系資通安全管理規範



11個領域、36控制目標、

100控制項



驗證時間：1.5個人天(

文件審查0.5人天、實地

審查1人天)

ISO27001:2005

ISO27001:2005

ISO27001:2005

ISO27001:2005



11個領域、39控制目標、

133控制項



驗證時間：5個人天

(文件審查1人天、實地審查

通過ISMS驗證之時程

於

於

於97年底進行導入

於

年底進行導入

年底進行導入，

年底進行導入

，

，

，98年通過

年通過

年通過

年通過ISMS第三方驗證

第三方驗證

第三方驗證

第三方驗證



98年08月12日

通過顧問公司所安排之內部稽核

。

ISMS導入時程(1/2)

階段一

階段一

階段一

階段一：

：

：

：規劃資訊安全管理架構

規劃資訊安全管理架構

規劃資訊安全管理架構

規劃資訊安全管理架構

階段二：

階段二

階段二

階段二

：

：執行風險評鑑與管理作業

：

執行風險評鑑與管理作業

執行風險評鑑與管理作業

執行風險評鑑與管理作業

階段

階段

階段

階段

執行

執行

執行

執行

作業

作業

作業

作業

產出

產出

產出

產出

1.專案工作說明書

專案工作說明書

專案工作說明書

專案工作說明書

5.資訊安全組織程序書

資訊安全組織程序書

資訊安全組織程序書

資訊安全組織程序書

2.啟始會議簡報及會議紀錄

啟始會議簡報及會議紀錄

啟始會議簡報及會議紀錄

啟始會議簡報及會議紀錄6.文件管理程序書

文件管理程序書

文件管理程序書

文件管理程序書

3.業務風險分析報告

業務風險分析報告

業務風險分析報告

業務風險分析報告

7.教育訓練教材

教育訓練教材

教育訓練教材

教育訓練教材

4.資訊安全政策

資訊安全政策

資訊安全政策

資訊安全政策

1.資訊資產管理程序書

資訊資產管理程序書

資訊資產管理程序書

資訊資產管理程序書

5.風險改善計畫表

風險改善計畫表

風險改善計畫表

風險改善計畫表

2.風險評鑑與管理程序書

風險評鑑與管理程序書

風險評鑑與管理程序書

風險評鑑與管理程序書 6.風險評鑑報告

風險評鑑報告

風險評鑑報告

風險評鑑報告

3.資訊資產清單

資訊資產清單

資訊資產清單

資訊資產清單

7.教育訓練教材

教育訓練教材

教育訓練教材

教育訓練教材

4.決定可接受風險值

決定可接受風險值

決定可接受風險值

決定可接受風險值

1. 組織業務分析

組織業務分析

組織業務分析

組織業務分析

2. 建立資訊安全政策

建立資訊安全政策

建立資訊安全政策

建立資訊安全政策

3. 成立資訊安全組織

成立資訊安全組織

成立資訊安全組織

成立資訊安全組織

4. 建立文件管理機制

建立文件管理機制

建立文件管理機制

建立文件管理機制

1. 鑑別與評價資訊資產

鑑別與評價資訊資產

鑑別與評價資訊資產

鑑別與評價資訊資產

2. 風險評鑑

風險評鑑

風險評鑑

風險評鑑

3. 風險管理與產出風險評鑑報告

風險管理與產出風險評鑑報告

風險管理與產出風險評鑑報告

風險管理與產出風險評鑑報告

時程

時程

時程

時程

97/12/24 ~ 98/03/06

98/03/07 ~ 98/05/04

教

教

教

教

育

育

育

育

訓

訓

訓

訓

練

練

練

練

/ 技

技

技

技

術

術

術

術

移

移

移

移

轉

轉

轉

轉

ISMS導入時程(2/2)

階段三

階段三

階段三

階段三：

：

：規劃資訊安全管理系統實施

：

規劃資訊安全管理系統實施

規劃資訊安全管理系統實施

規劃資訊安全管理系統實施

階段四：

階段四

階段四

階段四

：

：

：制度落實與實施稽核作業

制度落實與實施稽核作業

制度落實與實施稽核作業

制度落實與實施稽核作業

階段

階段

階段

階段

執行

執行

執行

執行

作業

作業

作業

作業

產出

產出

產出

產出

1.資訊安全管理文件

資訊安全管理文件

資訊安全管理文件

資訊安全管理文件

2.資訊安全事件應變處理程序

資訊安全事件應變處理程序

資訊安全事件應變處理程序

資訊安全事件應變處理程序

3.業務永續運作計畫

業務永續運作計畫

業務永續運作計畫

業務永續運作計畫

4.業務永續運作計畫演練報告

業務永續運作計畫演練報告

業務永續運作計畫演練報告

業務永續運作計畫演練報告

1.內部稽核計畫

內部稽核計畫

內部稽核計畫

內部稽核計畫

5.正式評鑑結果改善計畫

正式評鑑結果改善計畫

正式評鑑結果改善計畫

正式評鑑結果改善計畫

2.內部稽核報告

內部稽核報告

內部稽核報告

內部稽核報告

3.管理審查會議紀錄

管理審查會議紀錄

管理審查會議紀錄

管理審查會議紀錄 6.正式評鑑結果改善計畫

正式評鑑結果改善計畫

正式評鑑結果改善計畫

正式評鑑結果改善計畫

4.正式評鑑報告書

正式評鑑報告書

正式評鑑報告書

正式評鑑報告書

辦理情形文件

辦理情形文件

辦理情形文件

辦理情形文件

1.建立資訊安全管理文件

建立資訊安全管理文件

建立資訊安全管理文件

建立資訊安全管理文件

2.建立資安事件應變處理程序及業務永續

建立資安事件應變處理程序及業務永續

建立資安事件應變處理程序及業務永續

建立資安事件應變處理程序及業務永續

運作計畫

運作計畫

運作計畫

運作計畫

3.業務永續運作計畫演練

業務永續運作計畫演練

業務永續運作計畫演練

業務永續運作計畫演練

1.資安內部稽核計畫

資安內部稽核計畫

資安內部稽核計畫

資安內部稽核計畫

2.資訊安全稽核教育訓練活動

資訊安全稽核教育訓練活動

資訊安全稽核教育訓練活動

資訊安全稽核教育訓練活動

3.執行資安內部稽核

執行資安內部稽核

執行資安內部稽核

執行資安內部稽核

4.進行第三方驗證準備

進行第三方驗證準備

進行第三方驗證準備

進行第三方驗證準備

時程

時程

時程

時程

98/05/05 ~ 98/07/07

98/07/08 ~ 98/12/04

教

教

教

教

育

育

育

育

訓

訓

訓

訓

練

練

練

練

/ 技

技

技

技

術

術

術

術

移

移

移

移

轉

轉

轉

轉

ISMS四階文件產出

1111階政策

階政策

階政策-

階政策

--

-1

11

1本

本

本

本

2222階程序書

階程序書

階程序書-

階程序書

--

-14

14

14本

14

本

本

本

3333階作業文件

階作業文件

階作業文件-

階作業文件

--

-5

55

5本

本

本

本

4444階表單

階表單

階表單-

階表單

--

-47

47

47

47本

本

本

本

管理階層之

管理階層之

管理階層之

管理階層審查內容項目

審查內容項目

審查內容項目

審查內容項目

審查內容項目（

（

（

（九項

九項

九項

九項）

）

）

）

一、資訊安全稽核結果及建議改善事項

二、員工、上級指導單位及第三方單位等利害相關

團體的建議

三、新資訊安全產品或技術導入之審查

四、矯正及預防措施檢討

五、風險評鑑適切性審查

六、前次管理審查會議決議執行狀況

七、影響資訊安全制度之任何變更事項

八、資訊安全組織成員所提出之改善建議

九、資訊安全目標執行狀況報告

管理階層審查結論項目

審查結論項目

審查結論項目

審查結論項目

審查結論項目（

（

（

（五項

五項

五項

五項）

）

）

）

一、資訊安全制度執行之各項改進措施

二、更新風險評鑑與風險改善計畫

三、針對可能影響資訊安全制度之內外部事件，

修正資訊安全管理流程與控制措施

四、資訊安全制度所需資源協調

五、控制措施有效性評量方式的改善

一、稽核結果及建議改善事項

稽核項目

稽核發現

建議事項

附註

A.6.1.3

經抽核單位「保密切結書」，發

現部分委外人員未依規定簽署

「委外廠商保密切結書」。

要求委外人員依規定落實填

寫「委外廠商保密切結

書」。

A.10.4.1

經實地觀察，發現部分人員電腦

之防毒軟體未更新較新版之病毒

碼。

加強相關宣導與資訊安全教

育訓練。

1.舊機台仍維持

原安裝之防毒軟

體，惟病毒碼更

新設為「每

日」。

2.新採購之機

台、軟體需與當

年度採購之防毒

軟體相容。

A.10.9.6

經實地觀察，發現機房之監視系

統主機時間誤差約20分鐘。

落實定期校正系統作業時

間，以維持系統稽核紀錄的

正確性及可信度。

其他建議事項

1.建議確認資訊安全相關人員，應依NUK-ISMS-B-001「文件管理程序書」規定之文件事項有效

落實(如版本版次、發行日期、流水編號等)。

2.建議全面清查防火牆進出規則，以符合館方之安全要求。

二、員工、上級指導單位及第三方單位

等利害相關團體的建議

網路組：



建議於UPS機房外加裝一道鐵門，便立空調失效時，可以使用工業風

扇散熱。

系統組：



請總務處協助於機房（主機房與不斷電系統機房）的空調增設電源

自動復歸及啟動功能。

單位內人員

無

各連線單位

教育部：

98.03.17台電字第0980034942號函，「九十八年度學術機構分組防範惡意電

子郵件社交工程演練計畫」，於本年度5月及九月辦理社交工程演練計畫以強

化人員資安意識並檢驗機關宣導社交工程防治成效。

98年4月7日台電字第0980056996B號函，轉知有關「資通安全法律案例宣導彙

編（第6輯）」。

98年6月16日台電字第0980104237號函，函轉行政院國家資通安全會報「政府

機關(構)資訊安全責任等級分級作業施行計畫」。

上級機關

上級機關

回饋與建議

回饋與建議

回饋與建議

回饋與建議

輔導單位(NII)

擬定教育訓練與宣導計畫來持續強化本中心同仁對於資通安全之完整認知

三、新資訊安全產品或技術導入之審查

主機房緊急供電柴油發電機

主機房緊急供電柴油發電機

主機房緊急供電柴油發電機

主機房緊急供電柴油發電機



規格：100KW，3相4線，380/220V



預計完成時程：得標日次日起九十個日曆天 (預計98年10月底完成)



預期效益：符合教育部資訊安全管理制度(ISMS)對主機房備源電力之規

範要求；降低因市電供應中斷致資訊設備損壞、資訊服務中斷之情形。

 99年

年

年

年6月前建置異地備援機房與相關設備

月前建置異地備援機房與相關設備

月前建置異地備援機房與相關設備

月前建置異地備援機房與相關設備



實施策略：建置兩套磁碟陣列，將目前三部資料庫之資料部分轉移到磁

碟陣列上，且兩套磁碟陣列互相做備援，磁碟陣列提供及時online的備份

作業。並添購一台高階伺服主機當作備援主機，使用VMWare軟體使能於

該備援主機上面執行多套DBMS及當作備援伺服器，並設定相關資料還原

措施與計畫。



預期效益：透過簡易的備份操作步驟，提供安全可靠的備分成功保證，

完全消除原有備份所需的離線和等待時間，同時保證異地端資料庫的一

致性，並能在異地端提供服務，所有流程皆可與資料庫系統整合，並達

成備份與備援程式自動化。



預計完成時程：99年6月前。

四、矯正及預防措施檢討

項

項

項

項

次

次

次

次

問題或缺失說明

問題或缺失說明

問題或缺失說明

問題或缺失說明

原因分析

原因分析

原因分析

原因分析

矯正與預防措施評估

矯正與預防措施評估

矯正與預防措施評估

矯正與預防措施評估

預計完成

預計完成

預計完成

預計完成

日期

日期

日期

日期

1

BBS無法運作

BBS硬體損毀，

致系統無法運作

1.以閒置之主機重新架設

BBS站

2.持續觀察1個月，檢視是

否仍有異常發生

98/08/14

98/09/10

2

颱風致圖資大樓一樓樓

地板進水，沿走道滲入

UPS機房門縫，造成少

量積水。

颱風風雨過大致

進水，沿走道滲

入門縫，造成積

水。

1.立即清除積水

2.有颱風預警時，準備沙

包或門檔以阻擋走道與UPS

機房之門縫，避免滲水情

形再發生。

98/08/10

98/09/10

<透過內稽所發現之問題缺失之矯正預防措施可併於第一大項討論，本項可彙

整非內稽發現之問題缺失的矯正預防措施>

五、風險評鑑適切性審查

風險值的計算

風險值的計算

風險值的計算

風險值的計算



評估事件發生機率及影響程度後，計

算出風險值。



風險值等於

資產價值

資產價值

資產價值

資產價值 ×

××

× 威脅等級

威脅等級

威脅等級

威脅等級 ×

××

× 弱點等級

弱點等級

弱點等級

弱點等級

威脅的等級對應表

威脅的等級對應表

威脅的等級對應表

威脅的等級對應表

弱點的等級對應表

弱點的等級對應表

弱點的等級對應表

弱點的等級對應表

評估標準

等級

評估值

威脅發生之可能性為低

低

1

威脅發生之可能性為中

中

2

威脅發生之可能性為高

高

3

評估標準

等級

評估值

該弱點不容易被威脅

低

1

該弱點容易被威脅

中

2

該弱點非常容易被威脅利用

高

3

本中心接受風險值

–可接受風險值原則

–高風險資產項目

六、前次管理審查會議決議執行狀況

決議內容

決議內容

決議內容

決議內容

執行狀況

執行狀況

執行狀況

執行狀況

有關「外部單位聯絡清單」，請組再次就各自的

項目詳細核對，如有錯誤或補充，請儘速提出。

各組均已確認完成，並隨「資訊安全

組織程序書」呈送館長簽核。

請詢問NII顧問可接受受風險值的決定是否有較客

觀的評量方式，以作為日後本校修改之依據。

已詢問顧問，顧問回覆：可依學校實

際的資源、人力與預算來做衡量。

請詢問NII顧問低於可接受風險值之項目，本校應

如何處理。

已詢問顧問，顧問回覆：風險評鑑每

年至少需執行一次，可每年針對高風

險項目進行改進，以逐年降低其風

險。

請各組依據會議中的結論修改「業務流程衝擊分

析表」、「演練規劃表」、「關鍵業務障礙偵測

與復原作業程序書」、「日常操作管理作業說明

書」。

已修改完畢，所有文件均已呈送館長

簽核發行。

重要資料異地存放儲存媒體，因目前放置地點無

空調系統，建議移置工學院1樓有空調設備之資訊

機房中。

已將防潮櫃與儲存媒體均移置工學院

1樓之資訊機房中。

七、影響資訊安全制度之任何變更事項

本校圖書自動化系統於

本校圖書自動化系統於98年

本校圖書自動化系統於

本校圖書自動化系統於

年

年8月由原先

年

月由原先

月由原先

月由原先T2系統更改

系統更改

系統更改

系統更改

為

為

為

八、資訊安全組織成員所提出之改善建議(1/2)

資訊安全委員會

資訊安全委員會

資訊安全委員會

資訊安全委員會

蕭漢威老師：



有關文件、表單與紀錄之電子檔，需小心並確實加以管制；且如有

涉及機密性資，請勿於未加密情況下於網路上傳遞，以免導致機密資

料外洩。

資訊安全官

資訊安全官

資訊安全官

資訊安全官

建議資訊安全委員會之成員能請校內資訊相關科系教師協助參予，以廣

納教師之專業意見。

請各位同仁針對個人電腦配合辦理以下事項：機敏性資料加密、抽取式

儲存設備（如USB、隨身硬碟）勿儲存重要資料，如有則該設備或檔案需

加密、桌面淨空、安裝防毒軟體、清查安裝軟體並移除無授權之軟體。

資訊安全小組

資訊安全小組

資訊安全小組

資訊安全小組

為提升本校核心系統發生災害時緊急應變能力，建議增加異地備援機制。

為改善當電力無法正常供應時造成相關服務中斷情形，建議添購緊急發電

機。

為維謢資訊安全，建議與廠商簽訂合約時能將資安相關規範納入合約中。

資訊安全稽核小組

資訊安全稽核小組

資訊安全稽核小組

資訊安全稽核小組

為落實ISMS執行成效，建議邀請他校具ISMS稽核經驗之人員協同執行內部

稽核，並鼓勵稽核小組成員能多多參加各項稽核相關課程。

八、資訊安全組織成員所提出之改善建議(2/2)

九、資訊安全目標執行狀況報告(1/4)

量測期間：自文件發行(98年02月01日)至98年09月17日止。(文件發行日至管審會前)

項次 項次 項次 項次 量測項目量測項目量測項目量測項目 目標水準目標水準目標水準目標水準 量測方式量測方式量測方式量測方式 量測量測量測量測_{結果結果結果結果} 差異說明差異說明差異說明差異說明 A.5 資訊安全政策_{訂定與評估} (1)資訊安全政策審查次數 ≧1次/年 管理審查會議紀錄 目前符合 (2)資訊安全政策宣導次數 ≧1次/年 資安會議、教育訓_練 目前符合 A.6 資訊安全組織 (1)有否確實簽署保密協議 不符≦2件/年 稽核結果 目前符合 (2)管理審查會議召開次數 ≧1次/年 管理審查會議紀錄 目前符合 A.7 資訊資產分類_與管制 (1)資訊資產清單是否定期 更新 ≧1次/年 資訊資產清單 目前符合 (2)資訊資產清單符合分級 與標示規定 不符≦2件/年 稽核結果 目前符合 (3)是否定期執行風險評鑑 ≧1次/年 資訊資產清單、威_{脅及弱點評估表} 目前符合 A.8 人員安全管理_{與教育訓練} (1)檢查資通安全受訓時數 一般主管≧3小時 資訊人員≧6小時 資安人員≧16小時 一般人員≧3小時 教育訓練紀錄 目前符合 相關研習 配合 ISMS導 入陸續辦 理。 (2)離退人員帳號確實刪除 不符≦2件/年 清查紀錄、_稽核結果 目前符合

項次 項次 項次 項次 量測項目量測項目量測項目量測項目 目標水準目標水準目標水準目標水準 量測方式量測方式量測方式量測方式 量測結果量測結果量測結果量測結果 差異說明差異說明差異說明差異說明 A.9 實體與環境安全 (1)檢查有否遵守機房門禁規定 不符≦2件/年 稽核結果 目前符合 (2)檢查消防器材與UPS有否定期保 養 不符≦2件/年 保養紀 錄、 稽核結果 目前符合 A.10 通訊與作業安全_管理 (1)定期監控重要伺服器執行作業 之系統容量（例如CPU、RAM、硬 碟） 不符≦2件/年 檢查紀錄_表稽核結 果 目前符合 (2)定期監控網路資源使用率（例 如連外頻寬） 不符≦2件/年 檢查紀錄 表稽核結 果 目前符合 (3)病毒爆發次數（年） ≦3次/年 事件紀錄 目前符合 (4)連外網路斷線次數（年） ≦3次/年 事件紀錄 目前符合 (5)檢查病毒碼是否即時更新 不符≦2件 稽核結果 不符合 已填寫矯 正預防處 理單，並 改善完 成。 (6)檢查重要系統時間是否同步 不符≦2件 稽核結果 目前符合 (7)檢查防火牆設定是否與防火牆 進出規則申請表資料相符 不符≦2件 稽核結果 目前符合 (8)弱點掃瞄次數 ≧2次/年 掃瞄報告 目前符合

九、資訊安全目標執行狀況報告(2/4)

項次 項次項次 項次 量測項目量測項目量測項目量測項目 目標水準目標水準目標水準目標水準 量測方式量測方式量測方式量測方式 量測結果量測結果量測結果量測結果 差異說差異說差異說差異說 明 明 明 明 A.11 存取控制安全 (1)定期審查重要系統存取權 限（帳號清查） ≧2次/年 清查紀錄 目前符合 (2)管理者、使用者密碼長度 及複雜度應符合規範 不符≦1件/年 稽核結果 目前符合 (3)帳號申請是否依規定填寫 表單 不符≦1件/年 稽核結果 目前符合 (4)系統稽核日誌是否已開啟 不符≦1件/年 稽核結果 目前符合 A.12 系統開發與維護之 安全 (1)重要系統更新/上線前經測 試 不符≦0件/年 稽核結果 目前符合 (2)重要系統開發或變更時應 更新系統文件 不符≦2件/年 稽核結果 目前符合 (3)重要系統上線具有緊急復 原機制 不符≦0件/年 稽核結果 目前符合 A.13 資訊安全事件之反 應及處理 (1)發生資安事件未依規定通 報之件數 不符≦2件/年 稽核結果 目前符合 (2)檢查資通安全事件通報 單，是否重複發生相同資安事 件件數 重複≦2件/年 事件通報 單 目前符合

九、資訊安全目標執行狀況報告(3/4)

項

項

項

項

次

次

次

次

量測項目

量測項目

量測項目

量測項目

目標水準

目標水準

目標水準

目標水準

量測方式

量測方式

量測方式

量測方式

量測結

量測結

量測結

量測結

果

果

果

果

差異說明

差異說明

差異說明

差異說明

A.14

業務永續運作管理

(1)檢討業務永續運作計畫

演練執行情形

≧1次/年

演練紀錄

目前符

合

(2)執行風險評鑑與營運衝

擊分析(BIA)

≧1次/年

BIA紀錄

目前符

合

(3)定期備份重要系統資料

不符≦2件/

_年

稽核結果

目前符

合

A.15

相關法規與施行單

位政策之符合性

(1)合法軟體之安裝

不符≦0件/

年

清查紀

錄、

稽核結果

不符合

已填寫矯

正預防處

理單，並

改善完

成。

(2)是否定期執行資安稽核

≧1次/年

稽核報告

目前符

合

(3)矯正預防措施於規定時

間內改善完成

逾期≦2件/

年

稽核結果

目前符

合

九、資訊安全目標執行狀況報告(4/4)

一、資訊安全制度執行之各項改進措施

將保密切結書

將保密切結書

將保密切結書

將保密切結書、

、

、

、資安政策及資安條文等納入資訊相關採購合約中

資安政策及資安條文等納入資訊相關採購合約中

資安政策及資安條文等納入資訊相關採購合約中

資安政策及資安條文等納入資訊相關採購合約中。

。

。

。

完成系統主機之帳號清查作業

完成系統主機之帳號清查作業

完成系統主機之帳號清查作業

完成系統主機之帳號清查作業，

，

，

，並依規定每半年定期清查一次

並依規定每半年定期清查一次

並依規定每半年定期清查一次

並依規定每半年定期清查一次。

。

。

。

落實留存系統稽核日誌

落實留存系統稽核日誌

落實留存系統稽核日誌

落實留存系統稽核日誌。

。

。

。

落實主機登入密碼定期更改

落實主機登入密碼定期更改

落實主機登入密碼定期更改

落實主機登入密碼定期更改，

，

，

，將

將

將

將Windows Server

Windows Server

Windows Server

Windows Server密碼最大留存期設定為

密碼最大留存期設定為

密碼最大留存期設定為

密碼最大留存期設定為

90

90

90

90天

天

天

天，

，

，

，以符合程序書中每三個月更換密碼之規定

以符合程序書中每三個月更換密碼之規定

以符合程序書中每三個月更換密碼之規定

以符合程序書中每三個月更換密碼之規定。

。

。

。

機房內加裝兩台分離式冷氣

機房內加裝兩台分離式冷氣

機房內加裝兩台分離式冷氣

機房內加裝兩台分離式冷氣，

，

，

，且設置自動復歸

且設置自動復歸

且設置自動復歸

且設置自動復歸，

，

，

，以加強機房內溫濕度之

以加強機房內溫濕度之

以加強機房內溫濕度之

以加強機房內溫濕度之

控制

控制

控制

控制。

。

。

。

添購柴油發電機

添購柴油發電機

添購柴油發電機

添購柴油發電機，

，

，

，以避免因電力無法正常供應時造成服務中斷

以避免因電力無法正常供應時造成服務中斷

以避免因電力無法正常供應時造成服務中斷

以避免因電力無法正常供應時造成服務中斷。

。

。

。

於教育部九十八年度

於教育部九十八年度

於教育部九十八年度

於教育部九十八年度「

「

「

「購置教學研究相關圖書儀器及設備計畫

購置教學研究相關圖書儀器及設備計畫

購置教學研究相關圖書儀器及設備計畫

購置教學研究相關圖書儀器及設備計畫」

」

」

」中提出

中提出

中提出

中提出

申請建置異地備援

申請建置異地備援

申請建置異地備援

申請建置異地備援，

，

，

，以加強重要資料備份機制與縮短當災害發生時資料

以加強重要資料備份機制與縮短當災害發生時資料

以加強重要資料備份機制與縮短當災害發生時資料

以加強重要資料備份機制與縮短當災害發生時資料

與服務回復之時間

與服務回復之時間

與服務回復之時間

與服務回復之時間。

。

。

。

二、更新風險評鑑與風險改善計畫(1/4)

16 2 2 4 16 不穩 定的 供電 電源 供應 中斷 4 總務 處 市電 電力 E V LIC-EV-004 2 8 1 2 4 16 儲存 媒體 的報 廢或 再使 用未 適當 處理 資料 外洩 4 圖書 資訊 館 學籍系統、選課系 統、成績系統、招生 系統、校友資訊系 統、電子公文系統、 人事管理系統、財產 管理系統、出納系 統、薪資系統、學雜 費管理系統、操行缺 曠獎懲系統、T2圖書 館自動化系統、 EThesys博碩士論文 管理系統、DNS資 料、LDAP資料 重要系 統資料 DA LIC-DA-003 1 項 項 項 項 次 次 次 次 資產編 資產編 資產編 資產編 號 號號 號 資 資資 資 產 產產 產 類 類類 類 別 別別 別 資產名 資產名資產名 資產名 稱 稱 稱 稱 資產說明資產說明資產說明資產說明 權責 權責 權責 權責 單位 單位 單位 單位 資 資 資 資 產 產 產 產 價 價 價 價 值 值 值 值 風險事件 風險事件 風險事件 風險事件 風 風 風 風 險 險 險 險 值 值 值 值 風險再評鑑 風險再評鑑風險再評鑑 風險再評鑑 威脅 威脅威脅 威脅 弱點弱點弱點弱點 資產資產資產資產 價值 價值 價值 價值 威脅 威脅威脅 威脅 等級 等級等級 等級 弱點 弱點 弱點 弱點 等級 等級 等級 等級 風 風風 風 險 險險 險 值 值值 值

二、更新風險評鑑與風險改善計畫(2/4)

3 LIC-EV-001 E V 不斷 電設 備 1部20KVA、一部 80KVA 圖書 資訊 館 4 灰塵 容易 潮 濕、 有灰 塵、 穢物 16 4 2 1 8

1 已完成文 件管理程 序書、資 訊資產管 理程序 書、資訊 資產異動 作業說明 書制訂， 已規範相 關儲存媒 體報廢流 程，並落 實執行。 圖書資訊 館 A.10.7.1 A.10.7.2 A.10.7.3 1.可重複使用之儲存媒體, 不再使用時, 務必將其中之 內容抹去或消磁。 2.重要資料應定期或不定期 審視, 以確保系統內外部資 料之一致性。 3.不再使用之舊版本系統文 件, 應以安全方式確實進行 銷毀或從儲存媒體中清除。 儲存媒體的報廢或 再使用未適當處理 通訊與作業 安全管理 教育體系資 教育體系資教育體系資 教育體系資 通安全 通安全 通安全 通安全 管理規範控 管理規範控管理規範控 管理規範控 制目標 制目標 制目標 制目標 現況說明 現況說明 現況說明 現況說明 風險改善建議措施風險改善建議措施風險改善建議措施風險改善建議措施 教育體系資 通安全 管理規範控 制項 建議權責 單位 預計改善 時間與處 理方式 與高 風險 資產 之風 險評 估彙 整表 對照

二、更新風險評鑑與風險改善計畫(3/4)

二、更新風險評鑑與風險改善計畫(4/4)

2 1.已提出緊急 發電機之購 置，預計於98 年10月31日前 完成。 2.已完成日常 操作管理作業 說明書之制 訂，並規範機 房設備開關流 程。 圖書資訊 館 總務處 A9.2.1 A9.2.2 A.10.1.1 1、協調總務處調整或增設緊急發 電來源。 2、協調總務處於安排電力保養前 知會本館知悉。 3、協調總務處定期維護與檢修電 力系統。 4、建立機房設備開關機作業程 序，並定期演練。 依據本校水電維護合約 規定，電力設備需每半 年停電保養一次。因 此，每當電力設備停電 維修時，網路通訊設備 必然也將停機，全校資 訊網路之服務亦將中 斷。 實體與環境安 全 通訊與作業安 全管理 3 1.已完成整理 及打掃不斷電 機房內之雜物 及環境。 2.已完成與總 務處召開協調 會議，建議定 期檢修空調系 統，並增設電 源自動復歸及 啟動功能，並 有會議紀錄定 期追蹤執行進 度。 圖書資訊 館 總務處 A9.2.1 A9.2.2 1、將與該機房設備不相關之物品 與雜物另覓空間放置。 2、協調總務處請清潔人員定期打 掃。 3、協調總務處增設空調電源自動 復歸及啟動功能。 4、協調總務處定期維護與檢修空 調系統。 1.不斷電系統目前設置 於不斷電系統機房(與主 機房隔離)；不斷電系統 機房因使用單位過多， 管理權責重疊，堆積過 多雜物致使操作環境不 佳，灰塵過多。 2.該機房空調設備在斷 電而重新供電後無法自 行復歸運轉，易致該操 作空間溫度過高。 實體與環境安 全

三、可能影響資訊安全制度之內外部事件

變更項目

變更項目

變更項目

變更項目

變更內容

變更內容

變更內容

變更內容

因應作為

因應作為

因應作為

因應作為

營運需求變更

目前無相關議題

安全需求變更

目前無相關議題

業務程序變更

目前無相關議題

管理或法規需求變更

增訂ISP條款:980513公佈

http://law.moj.gov.tw/Script

s/PQuery4B.asp?FullDoc=

所有條文

所有條文

所有條文

所有條文&Lcode=J0070017

依據資訊安全管理規範

A.15相關法規與施行單

位政策之符合性，配合

辦理。

契約要求變更

1.圖書館自動化系統自98年

8月3日起由T2系統轉換為To

Read系統。

2.校園網路設備維護服務廠

商變更

3.電腦教室與行政單位電腦

設備維護服務廠商變更

將資訊安全規範納入合

約的作業說明，以規定

廠商在履行合約時的資

訊安全責任與義務。

可接受風險等級或標準

變更

目前無相關議題

四、資訊安全制度所需資源協調(1/3)

本年度

本年度

本年度

本年度ISMS

ISMS

ISMS

ISMS經費討論

經費討論

經費討論：

經費討論

：

：

：

此項需等該計畫通

過，教育部正式將

經費核播下來後方

能執行。

申請教育部九十八年度「購置

教學研究相關圖書儀器及設備

計畫」，該計畫已於8月初提

出。

x,xxx,xxx

異地備援

3

建立主機房緊急供電柴油發電

機，設置地點、電源配線及後

續保養維護事宜需協調總務處

營繕組。

xxx,xxx

發電機

2

項

項

項

項

次

次

次

次

項目

項目

項目

項目

編列預算

編列預算

編列預算

編列預算

執行情形

執行情形

執行情形

執行情形

備註

備註

備註

備註

1

防毒軟體

xxx,xxx

已完成本年度賽門鐵克防毒軟

體全校授權續約。

授權期間：

98/7/2~99/7/1

4

主機房不斷電系統

維護

xx,xxx

已於98年1月1日完成合約簽訂

維護期間

98年1月1日至98年

12月31日

需協調其他單位支援項目

需協調其他單位支援項目

需協調其他單位支援項目

需協調其他單位支援項目：

：

：

：

項

項

項

項

次

次

次

次

項目

項目

項目

項目

協調單位

協調單位

協調單位

協調單位

執行情形

執行情形

執行情形

執行情形

備註

備註

備註

備註

1

主機房內空

調、消防需

定期檢測，

並留有紀錄

總務處營

繕組

已與營繕組確認空調與

消防均每個月定期檢

測，並留有保養紀錄表

（每楝大樓一張）

2

異地備援空

間

學務處

法學院

總務處

已上簽呈建請將法學院

500空間移撥給本館建

置異地備援機房，副校

長裁示該案提空間分配

會議討論

若該空間無法移撥本館使用，則

需再另找其他空間。

3

機房內添購

手提式滅火

器

總務處營

繕組

營繕組已購5台環保氣

體式滅火器置於機房內

四、資訊安全制度所需資源協調(3/4)

五、控制措施有效性評量方式的改善

項次

項次

項次

項次

量測項目

量測項目

量測項目

量測項目

（

（

（

（修訂前

修訂前

修訂前

修訂前）

）

）

）

目標水準

目標水準

目標水準

目標水準

（

（

（

（修訂前

修訂前

修訂前

修訂前）

）

）

）

測量項目

測量項目

測量項目

測量項目

（

（

（

（修訂後

修訂後

修訂後）

修訂後

）

）

）

量測水準

量測水準

量測水準

量測水準

（

（

（

（修訂後

修訂後

修訂後）

修訂後

）

）

）

修訂理由

修訂理由

修訂理由

修訂理由

無

外部稽核注意事項(1/2)

 驗證範圍如何決定

驗證範圍如何決定

驗證範圍如何決定？（

驗證範圍如何決定

？（

？（以下為舉

？（

以下為舉例說

以下為舉

以下為舉

例說

例說明

例說

明

明）

明

）

）

）



維運校園網路與確保核心連線業務正常運作為本中心業務服務之重要目

標，且機房置有本中心營運之核心資訊資產，故以資訊機房維運為驗證

範圍。



選擇學籍系統之主要原因為，學籍系統為本校校務系統的一部份，也是

本中心主要的核心業務之一。所在主機及資料庫架構等相關規格，足以

完整描述整個校務系統，驗證此代表性系統，可反應大部份校務系統資

安狀況。

 「

「

「資訊安全政策

「

資訊安全政策

資訊安全政策」

資訊安全政策

」

」是否已對外公布

」

是否已對外公布

是否已對外公布（

是否已對外公布

（如

（

（

如

如：

如

：

：來往廠商

：

來往廠商

來往廠商？

來往廠商

？

？)

？

))

)

 委外廠商是否已簽訂

委外廠商是否已簽訂

委外廠商是否已簽訂「

委外廠商是否已簽訂

「

「委外廠商保密切結書

「

委外廠商保密切結書

委外廠商保密切結書」？

委外廠商保密切結書

」？

」？

」？

 外部人員進出機房是否填寫

外部人員進出機房是否填寫「

外部人員進出機房是否填寫

外部人員進出機房是否填寫

「

「機房進出登記表

「

機房進出登記表

機房進出登記表」，

機房進出登記表

」，並定期呈閱

」，

」，

並定期呈閱

並定期呈閱，

並定期呈閱

，

，廠商維護紀

，

廠商維護紀

廠商維護紀

廠商維護紀

錄是否留存

錄是否留存

錄是否留存

錄是否留存？

？

？

？

 測試資料是否有模糊化

測試資料是否有模糊化

測試資料是否有模糊化?

測試資料是否有模糊化

??

?測試完資料是否有刪除

測試完資料是否有刪除

測試完資料是否有刪除

測試完資料是否有刪除?

??

?

 人員進出機房之刷卡是否有授權紀

人員進出機房之刷卡是否有授權紀

人員進出機房之刷卡是否有授權紀錄

人員進出機房之刷卡是否有授權紀

錄

錄？

錄

？

？

？

 人員進出機房

人員進出機房

人員進出機房，

人員進出機房

，

，是否有與監視系統符合

，

是否有與監視系統符合

是否有與監視系統符合?

是否有與監視系統符合

??

?

 個人電腦螢幕保護程式是否已啟動

個人電腦螢幕保護程式是否已啟動

個人電腦螢幕保護程式是否已啟動？

個人電腦螢幕保護程式是否已啟動

？

？時間設定為

？

時間設定為

時間設定為_10_

時間設定為

_10_

_10_分以內

_10_

分以內

分以內

分以內

 主機及個人電腦是否已安裝防毒軟體

主機及個人電腦是否已安裝防毒軟體

主機及個人電腦是否已安裝防毒軟體，

主機及個人電腦是否已安裝防毒軟體

，

，並定期下載病毒碼

，

並定期下載病毒碼，

並定期下載病毒碼

並定期下載病毒碼

，

，執行掃瞄檢查

，

執行掃瞄檢查

執行掃瞄檢查？

執行掃瞄檢查

？

？

？

外部稽核注意事項(2/2)

 防火牆的進出規則是否與進出規則申請表吻合

防火牆的進出規則是否與進出規則申請表吻合

防火牆的進出規則是否與進出規則申請表吻合?

防火牆的進出規則是否與進出規則申請表吻合

??

?

 系統與網路設備是否有共用帳號之情況發生

系統與網路設備是否有共用帳號之情況發生

系統與網路設備是否有共用帳號之情況發生?

系統與網路設備是否有共用帳號之情況發生

??

?

 有效性量測表之量測結果部份僅填寫符合

有效性量測表之量測結果部份僅填寫符合

有效性量測表之量測結果部份僅填寫符合，

有效性量測表之量測結果部份僅填寫符合

，

，可考量再進一

，

可考量再進一

可考量再進一

可考量再進一

步描述

步描述

步描述

步描述。

。

。

。

 單位須考量進一步訂定資訊安全目標之衡量指標

單位須考量進一步訂定資訊安全目標之衡量指標

單位須考量進一步訂定資訊安全目標之衡量指標。

單位須考量進一步訂定資訊安全目標之衡量指標

。

。

。

 單位環控系統於

單位環控系統於

單位環控系統於10

單位環控系統於

10

10月份發生簡訊通數不足的現象

10

月份發生簡訊通數不足的現象

月份發生簡訊通數不足的現象，

月份發生簡訊通數不足的現象

，

，宜識別

，

宜識別

宜識別

宜識別

其

其

其

其

 不同的備份方式須規劃回復測試

不同的備份方式須規劃回復測試

不同的備份方式須規劃回復測試，

不同的備份方式須規劃回復測試

，

，以確保備份之有效性

，

以確保備份之有效性

以確保備份之有效性。

以確保備份之有效性

。

。

。

 單位須持續關注應用系統之安全修補

單位須持續關注應用系統之安全修補

單位須持續關注應用系統之安全修補。

單位須持續關注應用系統之安全修補

。

。

。

 業務流程衝擊分析表可考量加註目前

業務流程衝擊分析表可考量加註目前

業務流程衝擊分析表可考量加註目前RTO/RPO

業務流程衝擊分析表可考量加註目前

RTO/RPO

RTO/RPO值所對應的

RTO/RPO

值所對應的

值所對應的

值所對應的

風險狀況

風險狀況

風險狀況

風險狀況，

，

，並考量在其它風險狀況下對應之

，

並考量在其它風險狀況下對應之

並考量在其它風險狀況下對應之RTO/RPO

並考量在其它風險狀況下對應之

RTO/RPO

RTO/RPO值是

RTO/RPO

值是

值是

值是

否相同

否相同

否相同

否相同。

。

。

。

ISMS執行的關鍵因素

高階主管的重視

參與人員的投入

經費的挹注

跨單位的協調

顧問的輔導

高階主管的重視

資訊安全官由館長擔任

資訊安全官由館長擔任

資訊安全官由館長擔任

資訊安全官由館長擔任

安排行政會議讓全校的一級行政主管接受有關資

安排行政會議讓全校的一級行政主管接受有關資

安排行政會議讓全校的一級行政主管接受有關資

安排行政會議讓全校的一級行政主管接受有關資

安的教育訓練

安的教育訓練

安的教育訓練

安的教育訓練

資訊安全官全程參與外部稽核

資訊安全官全程參與外部稽核

資訊安全官全程參與外部稽核

資訊安全官全程參與外部稽核

由副校長層級以上主持外部稽核的啟始或是結束

由副校長層級以上主持外部稽核的啟始或是結束

由副校長層級以上主持外部稽核的啟始或是結束

由副校長層級以上主持外部稽核的啟始或是結束

會議

會議

會議

會議

參與人員的投入

ISMS

ISMS

ISMS的導入

ISMS

的導入

的導入，

的導入

，絕對不是少數幾個人的責任

，

，

絕對不是少數幾個人的責任

絕對不是少數幾個人的責任，

絕對不是少數幾個人的責任

，

，

，而是

而是

而是

而是

電算中心或是全館的責任

電算中心或是全館的責任

電算中心或是全館的責任

電算中心或是全館的責任。

。

。

。

安排專屬的文管人員

安排專屬的文管人員

安排專屬的文管人員，

安排專屬的文管人員

，

，協助文件的制訂

，

協助文件的制訂、

協助文件的制訂

協助文件的制訂

、

、

、保管

保管

保管

保管、

、

、

、

調閱與修訂等相關工作

調閱與修訂等相關工作

調閱與修訂等相關工作

調閱與修訂等相關工作。

。

。

。

經費的挹注

 需要經費的部分

需要經費的部分

需要經費的部分

需要經費的部分



資安顧問的導入費用



異地機房的備份或是備援機制的建置



門禁與機房環控設備



入侵偵測系統、防火牆、防毒軟體、流量管理



弱點掃描(或用open source軟體)、原始碼漏洞檢測



發電機與不斷電系統的建置



購買正版軟體

 以上皆須視各校對可接受風險值之狀況而決定

以上皆須視各校對可接受風險值之狀況而決定

以上皆須視各校對可接受風險值之狀況而決定，

以上皆須視各校對可接受風險值之狀況而決定

，

，並非

，

並非

並非

並非

絕對必要

絕對必要

絕對必要

絕對必要，

，

，許多設備也應該原先就已經建置

，

許多設備也應該原先就已經建置

許多設備也應該原先就已經建置。

許多設備也應該原先就已經建置

。

。

。

跨單位的協調

跨單位協調以支持

跨單位協調以支持

跨單位協調以支持ISMS

跨單位協調以支持

ISMS

ISMS

ISMS的導入

的導入，

的導入

的導入

，

，

，包括

包括

包括

包括：

：

：

：



總務處



教務務



學務處



法學院

結論

 技術只能解決一部分的資訊安全問題

技術只能解決一部分的資訊安全問題

技術只能解決一部分的資訊安全問題，

技術只能解決一部分的資訊安全問題

，

，大部分資安問題來

，

大部分資安問題來

大部分資安問題來

大部分資安問題來

自人為因素

自人為因素

自人為因素

自人為因素，

，

，需建立管理制度及長期的教育訓練來解決

，

需建立管理制度及長期的教育訓練來解決

需建立管理制度及長期的教育訓練來解決。

需建立管理制度及長期的教育訓練來解決

。

。

。

 希望大家不要將

希望大家不要將

希望大家不要將ISMS

希望大家不要將

ISMS

ISMS視為洪水猛獸

ISMS

視為洪水猛獸

視為洪水猛獸。

視為洪水猛獸

。

。

。

 雖然一開始導入

雖然一開始導入

雖然一開始導入，

雖然一開始導入

，

，會增加資訊人員的工作負擔

，

會增加資訊人員的工作負擔

會增加資訊人員的工作負擔，

會增加資訊人員的工作負擔

，

，一旦落實

，

一旦落實

一旦落實

一旦落實

於日常的工作常軌

於日常的工作常軌

於日常的工作常軌

於日常的工作常軌，

，

，建立起資安維護的文化

，

建立起資安維護的文化

建立起資安維護的文化，

建立起資安維護的文化

，

，其實工作負

，

其實工作負

其實工作負

其實工作負

擔並沒有想像中來得重

擔並沒有想像中來得重

擔並沒有想像中來得重

擔並沒有想像中來得重。

。

。

。

 透過制度的建立

透過制度的建立

透過制度的建立，

透過制度的建立

，

，不僅可以重新檢視機房與核心系統的運

，

不僅可以重新檢視機房與核心系統的運

不僅可以重新檢視機房與核心系統的運

不僅可以重新檢視機房與核心系統的運

作狀況

作狀況

作狀況

作狀況，

，

，並有助於長官對資安的認知

，

並有助於長官對資安的認知

並有助於長官對資安的認知。

並有助於長官對資安的認知

。

。

。

 通過資安驗證只是開端

通過資安驗證只是開端

通過資安驗證只是開端，

通過資安驗證只是開端

，

，落實於平日的工作常軌

，

落實於平日的工作常軌

落實於平日的工作常軌，

落實於平日的工作常軌

，

，才能展

，

才能展

才能展

才能展

現足以維持組織驗證範圍內資訊安全政策與目標之能力

現足以維持組織驗證範圍內資訊安全政策與目標之能力

現足以維持組織驗證範圍內資訊安全政策與目標之能力

現足以維持組織驗證範圍內資訊安全政策與目標之能力。

。

。

。

謝謝指教

謝謝指教

謝謝指教

謝謝指教