資安宣導
資安實地稽核實務 宣導總說明網頁 20230814-HYL整理
中興大學承辦: 教育機構資安驗證中心https://iscb.nchu.edu.tw/
https://iscb.nchu.edu.tw/p/about.html
張姿蓓 驗證中心、教育部12/08(週五)實地稽核(需要桃園高鐵接駁預計12人)
04-22840306#737 iscb@nchu.edu.tw
教育部110年12月30日臺教資(四)字第1100179797號函,訂定國立大專校院資通安全維護作業指引,推動全校落實資通安全管理法相關規定。
https://sites.google.com/email.nchu.edu.tw/isms-strategy/?pli=1
教育機構資安驗證中心依據前述作業指引,研擬全機關範圍導入ISMS建議優先落實之執行策略,提供各校參考。
(一) 資通安全長之配置
依據作業指引設置資通安全長之後,更重要的是必須讓資通安全長完全掌握「資通安全實地稽核項目檢核表」策略面的三大構面共26項目的實施情形,從全校整體考量進行資安工作的推動及監督。
稽核委員除了聽取資通安全長的簡報說明,必要時也會需要查看相關資料進一步確認策略面三大構面的實施情形,建議在訪談會議現場備妥佐證資料供稽核委員查閱。
(二) 資通安全推動組織
依據作業指引將各單位主管納入資通安全推動組織之後,更重要的是主管在單位內必須有積極的資安推動作為,督導單位人員落實五大資安工作重點,在實地稽核時能提出相關作為佐證資料。
依據「資通安全實地稽核項目」的「2.4成立資通安全推動組織,負責推動、協調監督及審查資通安全管理事項?推動組織層級之適切性,且業務單位是否積極參與?」,各單位主管不只應參與資通安全推動相關會議,更重要的是在單位內必須有積極的資安推動作為,督導單位人員落實下列五大資安工作重點。
資安管理-單位主管責任 宣導影片:https://youtu.be/vRoqoPxtP2U
(三) 資通系統及資訊之盤點
依據作業指引對全校資通系統進行盤點及風險評估之後,更重要的是系統管理人員、系統委外承辦人員、系統開發人員等三類人員必須充分認知與自身職責相關的稽核重點,進而落實相關資安工作。
全校資通系統盤點過程,建議可由計資中心人員協助各單位系統管理人進行資訊資產盤點及風險評估作業,進一步也要針對系統管理人員、系統委外承辦人員、系統開發人員等三類人員進行教育訓練,充分認知與自身職責相關的稽核重點,進而落實相關資安工作。
基於檢核表「第7構面資通安全防護及控制措施」,學校必須對各單位建置的系統之系統管理人員進行重點宣導。基於檢核表「第5構面資通系統或服務委外辦理之管理措施」,負責資通系統或服務委外的承辦人必須知道如何具體要求委外廠商落實資安管理措施,學校必須對系統委外承辦人員進行重點宣導。基於檢核表「第8構面資通系統發展及維護安全」,必須要求系統開發人員落實安全系統發展生命週期(Secure Software Development Life Cycle, SSDLC)。
系統管理人員應注意檢核表「第7構面資通安全防護及控制措施」要求事項,例如系統的防護基準與安全健診、資訊資產與實體環境管理等。
依據「資通安全管理法FAQ」的3.18解釋「資通安全專責人員以外之資訊人員」包含 "業務單位"負責資通系統"委外"的承辦人員,也就是各業務部門已有或即將辦理資通系統委外案的人員都視為廣義的資訊人員。
【系統委外承辦人員】應注意檢核表「第5構面資通系統或服務委外辦理之管理措施」要求事項,在擬定委外作業徵求說明書(RFP)時,應將防護基準需求納入。
資安管理-系統委外承辦人員責任 宣導影片:https://youtu.be/-1TFZbEwNf4
系統開發人員應注意檢核表「第8構面資通系統發展及維護安全」要求事項,資通系統開發過程依安全系統發展生命週期(SSDLC)納入資安要求,若是委外開發則應納入委外契約。
(四) 內部資通安全稽核
依據作業指引分年分階段規劃辦理內部稽核,在此之前更是要讓全校人員都能開始重視資安管理,像是新進人員資安宣導、資安通識教育訓練、落實辦公室資安管理措施、社交工程演練、落實資安事件通報。
依據「資通安全實地稽核項目」的「6.3訂定內部資通安全稽核計畫,包含稽核目標、範圍、時間、程序、人員等,且落實執行?」,既然作業指引建議由行政單位或就資通系統(保有個人資料)風險高低、教學單位特性評估訂定推動先後順序分年分階段規劃辦理內部稽核並且規劃及執行稽核發現事項改善措施,那就應該在內部稽核計畫明確訂定逐年進行範圍直到全校完成稽核。
依據全校落實資通安全管理之優先執行策略(PDF、Google docs) ,資安驗證中心有針對【一般人員】、【委外承辦人員】、【系統管理員】、【核心系統管理員】、【系統開發人員】設計了相關的稽核表,只需要將下列表單建立副本並改成自己的版本即可。
一般人員 檢核表 https://docs.google.com/forms/d/19eikSlGmJZBC684GjXRU5HNAktnYs6dXcMW1VVo48d4/edit
委外承辦人員 檢核表 https://docs.google.com/forms/d/1mrwRRJHNe1-534FCwXBauGj48OaLnyconnH61XqnqZU/edit
系統管理員 檢核表 https://docs.google.com/forms/u/0/d/1-CzOX5O--q2nclGZjJwCvK6u2cp0jRBJTeKjVWOXDm0/edit?fromCopy=true
核心系統管理員 檢核表 https://docs.google.com/forms/d/10nk-FqdXG4ox57dghJnIXtrHigi76-glRY9_0LSvFyM/edit
系統開發人員 檢核表 https://docs.google.com/forms/d/1L2CpE0sWhoiySKIHbo6vOmC89oaCuhP1dDmGYDdqShs/edit