桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程

C級與C+級機關應辦事項規定簡介 應辦事項查檢計畫說明 應辦事項查檢表說明 Q&A

桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程 C級與C+級機關應辦事項規定簡介

C級與C+級機關應辦事項規定簡介 目的 桃園市政府（以下簡稱本府）依行政院頒布「政府機關（構）資通安全責任等級分級作業規定」及「資訊系統分級與資安防護基準作業規定」訂定本應辦事項，供本府所屬資安責任等級為C級與C+級之機關(構)遵循。

C級與C+級機關應辦事項規定簡介 適用對象 本府所屬資安責任等級為C級之機關(構)(以下簡稱C級機關)。 (a) 有自行或委外開發資訊系統並有設置伺服器主機者。 (b) 蒐集、處理及利用大量個人資料者(如：戶政事務所、鄉鎮市區公所、醫院及分院、警察局及分局、圖書館等)。

具體作法 (1/4) C+級機關應依「資訊系統分級與資安防護基準作業規定」於105年底前完成資訊系統分級作業，資訊系統分級作業結果經機關資訊安全長核定後備查。資訊系統安全等級「高」者，應於106年底前完成資訊系統資安防護基準要求。 C級機關與C+級機關應自行成立推動小組規劃作業，並指派專人擔任資安(資訊)人員，彙整機關資訊安全管理實施成效。C+級機關應至少1項核心資訊系統於106年底前完成ISMS導入(若無核心資訊系統可免)。 C+級機關應每2年至少辦理1次資安內部稽核作業。

具體作法 (2/4) 4. C+級機關之核心資訊系統應訂定持續運作演練計畫，每2年至少辦理1次核心資訊系統持續運作演練(若無核心資訊系統可免)。 5. C級機關與C+級機關之防護縱深應至少包含防毒(含個人電腦用防毒軟體)及防火牆(含個人防火牆)，如具有郵件伺服器者應設有郵件過濾裝置。 6. C+級機關應每3年至少辦理1次資安健診。有自建網站者，應每2年至少辦理1次網站安全弱點檢測。近2年曾發生3級以上資安事件者，應每年至少辦理1次網站安全弱點檢測及每2年至少辦理1次系統滲透測試。

具體作法 (3/4) 7. C+級機關之資安(資訊)人員每年至少須接受6小時資安專業課程訓練。C級機關與C+級機關之一般使用者與主管每年至少須接受3小時資安宣導課程並通過課程評量。 8. 前述各應辦事項之辦理情形，應於每年12月底前填報「C級機關(構)資安應辦事項自評表」或「C+級機關(構)資安應辦事項自評表」，並送本府備查。 9. C級機關與C+級機關之應辦事項應保留執行紀錄，本府每年將定期對各C級機關與C+級機關之應辦事項進行抽檢，並將受檢機關之共同發現函發各機關自行檢視並據以改善。

具體作法 (4/4) 10. C級機關與C+級機關若已通過第三方驗證機構(需經TAF或IAF核可授權)之ISMS驗證，且驗證範圍已涵蓋前述各項應辦事項，准依其管理制度持續推行。 11.本應辦事項未盡之事宜，應依行政院「政府機關（構）資通安全責任等級分級作業規定」及本府資安相關之規定辦理。

桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程 應辦事項查檢計畫說明

應辦事項查檢計畫說明 預計的方式： C級與C+級機關隨機抽測10個機關進行查檢。 預計的期程： 105年12月。

桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程 應辦事項查檢表說明

應辦事項查檢表說明 應辦事項查檢表分為以下兩種： C+級機關(構)資安應辦事項自評表 C級機關(構)資安應辦事項自評表

C+級機關(構)資安應辦事項自評表(1/3) 作業名稱 應辦事項 自我檢核項目 資訊系統分類分級 應依「資訊系統分級與資安防護基準作業規定」於105年底前完成資訊系統分級作業，資訊系統分級作業結果經機關資訊安全長核定後備查。 資訊系統安全等級「高」者，應於106年底前完成資訊系統資安防護基準要求(若無核心資訊系統可免)。 是否於產出「安全等級評估表」及「資訊系統清冊」？(105年底前) 資訊系統安全等級是否經承辦單位主管、資訊主管確認後，最後由機關資訊安全長核定？ 資訊系統安全等級「高」者，是否完成資訊系統資安防護基準要求？(106年底前) ISMS推動作業及資安專責人力 應自行成立推動小組規劃作業，並指派專人擔任資安(資訊)人員，彙整機關資訊安全管理實施成效。 應至少1項核心資訊系統於106年底前完成ISMS導入(若無核心資訊系統可免) 是否已成立推動小組？ (如：成立資安組織，並指派機關副首長或主任秘書等機關高層擔任資訊安全長) 是否指派專人擔任資安(資訊)人員？ 是否彙整機關資訊安全管理實施成效？ 是否至少1項核心資訊系統完成ISMS導入？(106年底前)

C+級機關(構)資安應辦事項自評表(2/3) 作業名稱 應辦事項 自我檢核項目 稽核方式 每2年至少辦理1次資安內部稽核作業。 是否每2年至少辦理1次資安內部稽核作業，並產出內部稽核結果紀錄？ 業務持續運作演練 核心資訊系統應訂定持續運作演練計畫，每2年至少辦理1次核心資訊系統持續運作演練(若無核心資訊系統可免)。 核心資訊系統是否已訂定持續運作演練計畫？ 是否每2年至少辦理1次核心資訊系統持續運作演練，並產出演練紀錄？ 防護縱深 防護縱深應至少包含防毒(含個人電腦用防毒軟體)及防火牆(含個人防火牆)，如具有郵件伺服器者應設有郵件過濾裝置 是否已設有防毒系統(含個人電腦用防毒軟體)？ 是否已設置防火牆(含個人防火牆)？ 如具有郵件伺服器，是否設有郵件過濾裝置？

C+級機關(構)資安應辦事項自評表(3/3) 作業名稱 應辦事項 自我檢核項目 安全性檢測 每3年至少辦理1次資安健診。有自建網站者，應每2年至少辦理1次網站安全弱點檢測。近2年曾發生3級以上資安事件者，應每年至少辦理1次網站安全弱點檢測及每2年至少辦理1次系統滲透測試 是否每3年至少辦理1次資安健診？ 是否每2年至少辦理1次網站安全弱點檢測？ 近2年曾發生3級以上資安事件者，是否每年至少辦理1次網站安全弱點檢測及每2年至少辦理2次系統滲透測試？ 資安教育訓練 資安(資訊)人員每年至少接受6小時以上資安專業課程訓練；一般使用者與主管每年至少須接受3小時資安宣導課程並通過課程評量。 資安(資訊)人員是否每年至少接受6小時以上資安專業課程訓練？ 一般使用者是否每年至少接受3小時資安宣導課程並通過課程評量？ 主管是否每年至少接受3小時資安宣導課程並通過課程評量？

C級機關(構)資安應辦事項自評表 作業 名稱 應辦事項 自我檢核項目 ISMS推動作業及資安專責人力 應自行成立推動小組規劃作業，並指派專人擔任資安(資訊)人員，彙整機關資訊安全管理實施成效。 是否已成立推動小組？ (如：成立資安組織，並指派機關副首長或主任秘書等機關高層擔任資訊安全長) 是否指派專人擔任資安(資訊)人員？ 是否彙整機關資訊安全管理實施成效？ 防護縱深 防護縱深應至少包含防毒(含個人電腦用防毒軟體)及防火牆(含個人防火牆)，如具有郵件伺服器者應設有郵件過濾裝置 是否已設有防毒系統(含個人電腦用防毒軟體)？ 是否已設置防火牆(含個人防火牆)？ 如具有郵件伺服器，是否設有郵件過濾裝置？ 資安教育訓練 一般使用者與主管每年至少須接受3小時資安宣導課程並通過課程評量。 一般使用者是否每年至少接受3小時資安宣導課程並通過課程評量？ 主管是否每年至少接受3小時資安宣導課程並通過課程評量？

桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程 Q&A