資通安全管理實務重點說明.

Slides:



Advertisements
Similar presentations
主講人:許文昌 所長 歐亞不動產估價師聯合事務所 不動產估價師簡介不動產估價師簡介. 民國 89 年 10 月 4 日總統令公布「不動產估價 師法」。 民國 90 年起考選部辦理不動產估價師證照 考試,迄今舉辦六次高考、三次特考,共 錄取 377 人。 自民國 94 年 10 月 6 日起全面實施簽證制度。
Advertisements

1 專利師考照班 師資介紹 高苑科技大學 研究發展處 專線服務電話 陳小姐 校內分機 1701.
臺中市政府警察局 婦幼警察隊 小隊長吳敏男、謝豐昌
Excel - 九十七年度教職員工資訊教育訓練 董建弘.
中華電信南區分公司 2012 教育訓練課程表 協銷與規劃設計 日期:2012/4/27 時 間 課程內容 主講人 上 午
結構型金融商品研討會 市場發展與風險管理 慶祝中大九十週年 主辦單位:國立中央大學財務金融系 台灣金融研訓院
行銷研究 單元三 次級資料的蒐集.
桃園市都市設計審議報告書 審議項目:□ 1.建築基地綜合設計(申請審查部分請打勾) □ 2.屋脊裝飾物審議 □ 3.裝飾柱/裝飾版審議
建造執照申請流程 附件7 收件 查核協檢項目? 不收件 協審 行政審查 決行 起造人 建築師
勞委會乙級證照項目(環境與安衛相關科系)
桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程.
當前資安情勢與未來推動重點 行政院 報告人:資通安全處簡處長宏偉 105年9月22日 1.
當前資安情勢與未來推動重點 行政院 報告人:資通安全處簡處長宏偉 105年9月22日 1 1.
第 1 章 使用 APP INVENTOR 2 開發 ANDROID APP
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
手機作業系統介紹.
電子商務基本概念 電子商務的定義 1-1 電子商務的特性 1-2 電子商務的演進 1-3.
HiNet 光世代非固定制 用戶端IPv6設定方式說明
無線射頻識別系統(RFID) 基本原理及發展與應用
ASP.NET基本設計與操作 建國科技大學 資管系 饒瑞佶 2007年.
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
教務行政資訊系統 簡介 資訊科技中心 資訊系統組 徐振琦
安裝JDK 安裝Eclipse Eclipse 中文化
OpenID與WordPress使用說明
Android App簡介及 App Inventor 2體驗 靜宜大學資管系 楊子青
國際資訊安全標準ISO 27001之網路架構設計 –以國網中心為例探討風險管理
2019/1/13 行動裝置如何使用東海大學SSLVPN.
EBSCOhost App應用程式 安裝方式.
家長教育 之 電子學習.
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
App Inventor 2初體驗 靜宜大學資管系 楊子青
1 意见反馈与问题解答 4 1.
AOT_供應商安裝手冊.
Firewall-pfsense Mars Su
Web Service 1.
人文與科技的結合 人文與科技的結合 Right Fax使用說明.
中信行動祕書,Android安裝「中信行動祕書」
2011清大電資院學士班 「頂尖企業暑期實習」 經驗分享心得報告 實習企業:工研院 實習學生:電資院學士班 楊博旭.
NO.004 職涯 報 徵才 實習 家教 國立嘉義大學 學生事務處學生職涯發展中心.
講師:陳永芳 網際網路與電子郵件應用 講師:陳永芳
Google協作平台+檔案分享(FileZilla+網路芳鄰)
大專生以自由軟體服務偏遠地區國民小學 毛慶禎 國立中央圖書館臺灣分館 2006年12月25日 Theme created by
106年度教育雲服務策略聯盟計畫 酷學習 COOL CLASS.
賽門鐵克安全系統進化史-正確選用賽門鐵克防護系統
FTP使用教學 簡介: 軟體名稱:FileZilla 軟體性質:Freeware 版本: 繁體中文版
中央研究院 新增主題研究計畫 線上申請流程總覽 必須告知 總主持人所屬單位 承辦人 總主持人 分支計畫主持人 共同主持人
Visible Body- Human Anatomy Atlas 2017
馬偕醫學院 圖書館
產業實務實習工作說明 Kay Chang ASD
資訊安全和資訊倫理宣導 永康區復興國小教務處.
電腦概論考題分析 佛學資訊組 碩一 張榮顯.
案件名稱: 資安預警通報 通報等級: 第一級 發生時間: 2019/02/24 03:53:28 案件說明:
1. 查詢個人電腦版本 1.進入控制台 2.點選“所有控制台項目” 3.點選“系統”.
ZigBee PRO教學系統 CC2530 實驗.
櫃動系統申請及測試作業說明 報告人:關貿網路公司 中華民國九十年九月.
DynaMed Plus 手機/平版 App下載使用教學
資料擷取與監控應用實務.
躍界新媒體有限公司 Unity 程式設計實習生
安裝JDK 配置windows win7 環境變數
教育部全國中小學 資訊安全管理系統 學校管理員 教育訓練
廖志宏 助理教授 學歷 經歷 公部門與民間產學研究計劃案 證照 De La Salle University, Philippines
資通安全管理實務重點說明.
NDL委託代工流程-PECVD 葉佳翰 2019/8/6.
NDL委託代工流程-Etch 葉佳翰 2019/8/6.
研究機構新聞稿揭露2012Q3智慧型手機出貨佔量比
Visible Body Human Anatomy Atlas
NDL委託代工流程-SEM 葉佳翰 2019/8/25.
昂首踏實- 大專校院校外實習媒合資訊平台 主講人:王上明 中華民國 100年6月 教育部產學合作資訊網
社會領域教學 相關網路資源介紹.
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
Presentation transcript:

資通安全管理實務重點說明

一、資通安全責任等級分級辦法 二、資安法施行細則 三、公務機關所屬人員資通安全事項獎懲辦法 四、行政院及所屬各機關行動化服務發展作業原則 一、資通安全責任等級分級辦法 二、資安法施行細則 三、公務機關所屬人員資通安全事項獎懲辦法 四、行政院及所屬各機關行動化服務發展作業原則

資安責任辦法 - 第三條 行政院直屬機關應每二年提交自 身、所屬或監督之公務機關及所 管之特定非公務機關之資通安全 責任等級,報主管機關核定。 教育部來函將國立大專院校資安 責任等級列為B級。

資安責任辦法 - 第十一條 各機關應依其資通安全責任等級, 辦理附表一至附表八之事項。 依據資通安全責任等級分級辦法 之附表四所示,B級單位各資訊 系統應進行分級防護、系統安全 性檢測、導入政府組態基準等, 並要求各資訊系統之管理者及使 用者皆需接受資安教育訓練 附表三 資通安全責任等級B 級之公務機關應辦事項

資安責任辦法 - 第十一條 第二項:各機關自行或委外開發 之資通系統應依附表九所 定資通 系統防護需求分級原則完成資通 系統分級,並 依附表十所定資通 系統防護基準執行控制措施

資安責任辦法(第十一條) - 附表三 安全性檢測 網站安全弱點檢測 全部核心資通系統每年辦理一次。 系統滲透測試 全部核心資通系統每二年辦理一次。 本中心每半年會提供弱點掃描服務申請,請各單位務必 配合提供主機IP進行弱掃。而雖然業務單位的電腦皆非 核心系統,不過以學校目前的政策是所有資訊系統皆需 進行弱點掃描,以確保本校的資訊安全。 以目前而言核心系統皆在計資中心,故業務單位的資訊 系統可以不用進行滲透測試。 業務單位不需要滲透測試,僅需要弱點掃描

(Government Configuration Baseline) 資安責任辦法(第十一條) - 附表三 GCB (Government Configuration Baseline) 初次受核定或等級變更後之一年內,依主管機關公告之項目,完成政府組態基準導入作業,並持續維運。 GCB目的在於規範資通 訊終端設備(如:個人 電腦) 的一致性安全設 定(如:密碼長度、更 新期限等),以降低成 為駭客入侵管道,進而 引發資安事件之疑慮。 GCB=政府組態基準

(Government Configuration Baseline) 資安責任辦法(第十一條) - 附表三 GCB (Government Configuration Baseline) 初次受核定或等級變更後之一年內,依主管機關公告之項目,完成政府組態基準導入作業,並持續維運。 說明二:其規範設定項目主要包含: Windows(win7、win8、win10): 361項。 Internet Explorer 11 :155項。 Window Server:451項 Red Hat Enterprise Linux:190項 Google Chrome:30項 Mozilla Firefox:52項 下載網址:https://www.nccst.nat.gov.tw/GCB

資安責任辦法(第十一條) - 附表三 資通安全 教育訓練 資通安全及資訊人員 每年至少二名人員各接受十二小時以上之資通安全專業課程訓練或資通安全職能訓練。 一般使用者及主管 每人每年接受三小時以上之一般資通安全教育訓練。 計中每年至少會舉辦五~六場有關資通安全管理的教育 訓練(如社交工程演練教育訓練),並寄發Email寄給 全校各單位邀請通知,煩請各位業務單位注意相關訊息。

資安責任辦法(第十一條) - 附表九、附表十 資通系統分級及防護基準 初次受核定或等級變更後之一年內,針對自行或委外開發之資通系統,依附表九完成資通系統分級,並完成附表十之控制措施;其後應每年至少檢視一次資通系統分級妥適性。 計資中心將實施相關教育訓練,包含以下內容: 依據附表九將資訊系統之機密性、完整性及可用性及 法律遵循性四個構面進行評估,並依據評估結果進行 分級。 接著利用附表十的分級進行各項防護控制措施。

資安法施行細則(第六條) 以目前的作法,有委外案件時應當: 簽訂保密切結書 於合約上條列資安法要求事項(利用採購組公版合約進行 修正)。 根據資通安全管理法施行細則第六條第十一款明定資通安全維護計畫應載明委外辦理資通系統或服務時之管理措施,以利執行本法第九條所定對受託者進行之監督。 以目前的作法,有委外案件時應當: 簽訂保密切結書 於合約上條列資安法要求事項(利用採購組公版合約進行 修正)。 政府特別將委外廠商放在資安法來做規範, 主要因為過往很多資安事件會發生在委外。 例如: 1.合約簽訂的時候未規範廠商的遵循是項。

資安法施行細則(第四條) 各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供(以下簡稱受託業務),選任及監督受託者時,應注意下列事項: 受託者辦理受託業務之相關程序及環境,應具備完善之 資通安全管理措施或通過第三方驗證。 如果有跨校合作的話,教育版本資安驗證證書亦可 委外的廠商應提供導入ISMS導入相關佐證(例如管理系統文件列表) 。 資安驗證證書(ISO27001、 CNS27001或教育版本資安驗證證書)。

資安法施行細則(第四條) 各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供(以下簡稱受託業務),選任及監督受託者時,應注意下列事項: 受託者應配置充足且經適當之資格訓練、擁有資通安全 專業證照或具有類似業務經驗之資通安全專業人員。 依據業務性質檢視其證照 ISO27001主導稽核員、CEH、CISSP等證照。 可請委外廠商之開發人員提供其過往建置系統時所被要求的資安作為(例如:提供廠商通過資安檢測的證明)。

資安法施行細則(第四條) 各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供(以下簡稱受託業務),選任及監督受託者時,應注意下列事項: 受託者辦理受託業務得否複委託、 得複委託之範圍與對象,及複委託 之受託者應具備之資通安全維護措施。 委外案是否能轉包應當由單位在購案時決定。 1.複委託=轉包或稱小包 2.小包廠商仍要遵照第一款及第二款的規定。 3 轉包的廠商仍然需要依我們的要求加以規範(應以本條文第一及第二款進行規範)。

資安法施行細則(第四條) 各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供(以下簡稱受託業務),選任及監督受託者時,應注意下列事項: 受託業務涉及國家機密者,執行受託業務之相關人員應 接受適任性查核,並依國家機密保護法之規定,管制其 出境。 委託單位亦可設計相關切結書,切結書內容宜包含其是否受徒刑、未曾觸犯資安法相關規定、是否被褫奪公權、無肇事紀錄、國籍限制…等。計資中心會設計一個公版文件供大家參考。 1.計中會提供一個公版文件來給業務單位做參考。業務單位仍可依據個案來增加規範條款。 如果經費許可或上級單位有要求時,應當對相關人員進行實際查核(例如:徵信、或請其提供良民證)。

資安法施行細則(第四條) 各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提 供(以下簡稱受託業務),選任及監督受託者時,應注意下列事項: 受託業務包括客製化資通系 統開發者,受託者應提供該 資通系統之安全性檢測證明; 涉及利用非受託者自行開發 之系統或資源者,並應標示 非自行開發之內容與其來源 及提供授權證明。 應當在合約上訂定在驗收時,依個案放上如何進行安全性檢測的相關條文,例如:作業系統的版本、更新、事先進行弱掃、滲透測試或壓力測試…等。 非自行開發的來源及授權講清楚也應當在驗收時提供。

公務機關所屬人員資通安全事項獎懲辦法 獎勵項目 訂定、修正及實施資通安全維護計畫,績效優良。 稽核所屬或辦理資通安全演練作業,績效優良。 配合主管機關、上級或監督機關辦理稽核或資通安全演練作業,經評定 績效優良。 積極查察資通安全維護之異狀,即時發現重大資通安全事件,並辦理通 報及應變,防止其損害擴大。 辦理其他資通安全業務有具體功績。 (其餘可參考獎懲辦法第3條,共有12款事宜)

公務機關所屬人員資通安全事項獎懲辦法 懲處項目 未依本法、本法授權訂定之法規或機關內部規範辦理資通安全管理事項。 (維護計畫、事件通報應變、稽核、情資分享),情節重大。 辦理資通安全業務經主管機關、上級或監督機關評定績效不良,經疏導 無效,情節重大。 其他違反本法、本法授權訂定之法規或機關內部規範之行為,情節重大。

行政院及所屬各機關行動化服務發展作業原則 第二條:本作業原則適用對象為 行政院及所屬各級機關(構)、 國立學校及國營事業(以下統稱 各機關)。 第十一條:各機關開發之行動化 服務應符合個人資料保護法及行 政院訂定之政府資通安全管理等 相關規定,並通過經濟部工業局 訂定行動化應用軟體之檢測項目, 始得提供民眾下載使用。 甲類:無需使用者身分鑑別之行動應用程式,需檢測之項目共 16 項。 6萬 乙類:需使用者身分鑑別之行動應用程式,需檢測之項目共 26 項。 9萬 丙類:含有交易行為之行動應用程式,需檢測之項目共 31 項。 11萬

經濟部工業局訂定行動化應用軟體之檢測項目 行動化應用軟體之檢測項目分類 「甲類」行動應用程式: 無需使用者身分鑑別之應用程式。(無帳號密碼登入) 「乙類」行動應用程式: 需使用者身分鑑別之應用程式。 (有帳號密碼登入) 「丙類」行動應用程式: 含有交易行為之 應用程式。

行政院及所屬各機關行動化服務發展作業原則 機構名稱 實驗室名稱 TAF認可日期 鑒真數位有限公司 鑒真數位鑑識實驗室 2016/07/07 勤業眾信聯合會計師事務所 資安科技暨鑑識分析中心 中華電信股份有限公司電信研究院 測試中心 2016/08/02 安華聯網科技股份有限公司 資安檢測實驗室 2017/01/24 行動檢測服務股份有限公司 APP檢測實驗室 2017/02/23 財團法人台灣電子檢驗中心 資通訊檢測實驗室 2017/04/25 安碁資訊股份有限公司 數位鑑識中心實驗室 2017/07/21 安侯企業管理股份有限公司 數位科技安全實驗室 2017/11/23 財團法人電信技術中心 資通安全檢測實驗室 2018/03/08 數聯資安股份有限公司 2018/07/24 關貿網路股份有限公司 關貿資安數位檢測中心 2018/10/11

行政院及所屬各機關行動化服務發展作業原則 只要Google play 及App Store名稱出 現中興大學或 NCHU的APP,都 要進行檢測。