Download presentation
Presentation is loading. Please wait.
1
桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程
2
C級與C+級機關應辦事項規定簡介 應辦事項查檢計畫說明 應辦事項查檢表說明 Q&A
3
桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程 C級與C+級機關應辦事項規定簡介
4
C級與C+級機關應辦事項規定簡介 目的 桃園市政府(以下簡稱本府)依行政院頒布「政府機關(構)資通安全責任等級分級作業規定」及「資訊系統分級與資安防護基準作業規定」訂定本應辦事項,供本府所屬資安責任等級為C級與C+級之機關(構)遵循。
5
C級與C+級機關應辦事項規定簡介 適用對象 本府所屬資安責任等級為C級之機關(構)(以下簡稱C級機關)。
(a) 有自行或委外開發資訊系統並有設置伺服器主機者。 (b) 蒐集、處理及利用大量個人資料者(如:戶政事務所、鄉鎮市區公所、醫院及分院、警察局及分局、圖書館等)。
6
具體作法 (1/4) C+級機關應依「資訊系統分級與資安防護基準作業規定」於105年底前完成資訊系統分級作業,資訊系統分級作業結果經機關資訊安全長核定後備查。資訊系統安全等級「高」者,應於106年底前完成資訊系統資安防護基準要求。 C級機關與C+級機關應自行成立推動小組規劃作業,並指派專人擔任資安(資訊)人員,彙整機關資訊安全管理實施成效。C+級機關應至少1項核心資訊系統於106年底前完成ISMS導入(若無核心資訊系統可免)。 C+級機關應每2年至少辦理1次資安內部稽核作業。
7
具體作法 (2/4) 4. C+級機關之核心資訊系統應訂定持續運作演練計畫,每2年至少辦理1次核心資訊系統持續運作演練(若無核心資訊系統可免)。 5. C級機關與C+級機關之防護縱深應至少包含防毒(含個人電腦用防毒軟體)及防火牆(含個人防火牆),如具有郵件伺服器者應設有郵件過濾裝置。 6. C+級機關應每3年至少辦理1次資安健診。有自建網站者,應每2年至少辦理1次網站安全弱點檢測。近2年曾發生3級以上資安事件者,應每年至少辦理1次網站安全弱點檢測及每2年至少辦理1次系統滲透測試。
8
具體作法 (3/4) 7. C+級機關之資安(資訊)人員每年至少須接受6小時資安專業課程訓練。C級機關與C+級機關之一般使用者與主管每年至少須接受3小時資安宣導課程並通過課程評量。 8. 前述各應辦事項之辦理情形,應於每年12月底前填報「C級機關(構)資安應辦事項自評表」或「C+級機關(構)資安應辦事項自評表」,並送本府備查。 9. C級機關與C+級機關之應辦事項應保留執行紀錄,本府每年將定期對各C級機關與C+級機關之應辦事項進行抽檢,並將受檢機關之共同發現函發各機關自行檢視並據以改善。
9
具體作法 (4/4) 10. C級機關與C+級機關若已通過第三方驗證機構(需經TAF或IAF核可授權)之ISMS驗證,且驗證範圍已涵蓋前述各項應辦事項,准依其管理制度持續推行。 11.本應辦事項未盡之事宜,應依行政院「政府機關(構)資通安全責任等級分級作業規定」及本府資安相關之規定辦理。
10
桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程 應辦事項查檢計畫說明
11
應辦事項查檢計畫說明 預計的方式: C級與C+級機關隨機抽測10個機關進行查檢。 預計的期程: 105年12月。
12
桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程 應辦事項查檢表說明
13
應辦事項查檢表說明 應辦事項查檢表分為以下兩種: C+級機關(構)資安應辦事項自評表 C級機關(構)資安應辦事項自評表
14
C+級機關(構)資安應辦事項自評表(1/3)
作業名稱 應辦事項 自我檢核項目 資訊系統分類分級 應依「資訊系統分級與資安防護基準作業規定」於105年底前完成資訊系統分級作業,資訊系統分級作業結果經機關資訊安全長核定後備查。 資訊系統安全等級「高」者,應於106年底前完成資訊系統資安防護基準要求(若無核心資訊系統可免)。 是否於產出「安全等級評估表」及「資訊系統清冊」?(105年底前) 資訊系統安全等級是否經承辦單位主管、資訊主管確認後,最後由機關資訊安全長核定? 資訊系統安全等級「高」者,是否完成資訊系統資安防護基準要求?(106年底前) ISMS推動作業及資安專責人力 應自行成立推動小組規劃作業,並指派專人擔任資安(資訊)人員,彙整機關資訊安全管理實施成效。 應至少1項核心資訊系統於106年底前完成ISMS導入(若無核心資訊系統可免) 是否已成立推動小組? (如:成立資安組織,並指派機關副首長或主任秘書等機關高層擔任資訊安全長) 是否指派專人擔任資安(資訊)人員? 是否彙整機關資訊安全管理實施成效? 是否至少1項核心資訊系統完成ISMS導入?(106年底前)
15
C+級機關(構)資安應辦事項自評表(2/3)
作業名稱 應辦事項 自我檢核項目 稽核方式 每2年至少辦理1次資安內部稽核作業。 是否每2年至少辦理1次資安內部稽核作業,並產出內部稽核結果紀錄? 業務持續運作演練 核心資訊系統應訂定持續運作演練計畫,每2年至少辦理1次核心資訊系統持續運作演練(若無核心資訊系統可免)。 核心資訊系統是否已訂定持續運作演練計畫? 是否每2年至少辦理1次核心資訊系統持續運作演練,並產出演練紀錄? 防護縱深 防護縱深應至少包含防毒(含個人電腦用防毒軟體)及防火牆(含個人防火牆),如具有郵件伺服器者應設有郵件過濾裝置 是否已設有防毒系統(含個人電腦用防毒軟體)? 是否已設置防火牆(含個人防火牆)? 如具有郵件伺服器,是否設有郵件過濾裝置?
16
C+級機關(構)資安應辦事項自評表(3/3)
作業名稱 應辦事項 自我檢核項目 安全性檢測 每3年至少辦理1次資安健診。有自建網站者,應每2年至少辦理1次網站安全弱點檢測。近2年曾發生3級以上資安事件者,應每年至少辦理1次網站安全弱點檢測及每2年至少辦理1次系統滲透測試 是否每3年至少辦理1次資安健診? 是否每2年至少辦理1次網站安全弱點檢測? 近2年曾發生3級以上資安事件者,是否每年至少辦理1次網站安全弱點檢測及每2年至少辦理2次系統滲透測試? 資安教育訓練 資安(資訊)人員每年至少接受6小時以上資安專業課程訓練;一般使用者與主管每年至少須接受3小時資安宣導課程並通過課程評量。 資安(資訊)人員是否每年至少接受6小時以上資安專業課程訓練? 一般使用者是否每年至少接受3小時資安宣導課程並通過課程評量? 主管是否每年至少接受3小時資安宣導課程並通過課程評量?
17
C級機關(構)資安應辦事項自評表 作業 名稱 應辦事項 自我檢核項目 ISMS推動作業及資安專責人力
應自行成立推動小組規劃作業,並指派專人擔任資安(資訊)人員,彙整機關資訊安全管理實施成效。 是否已成立推動小組? (如:成立資安組織,並指派機關副首長或主任秘書等機關高層擔任資訊安全長) 是否指派專人擔任資安(資訊)人員? 是否彙整機關資訊安全管理實施成效? 防護縱深 防護縱深應至少包含防毒(含個人電腦用防毒軟體)及防火牆(含個人防火牆),如具有郵件伺服器者應設有郵件過濾裝置 是否已設有防毒系統(含個人電腦用防毒軟體)? 是否已設置防火牆(含個人防火牆)? 如具有郵件伺服器,是否設有郵件過濾裝置? 資安教育訓練 一般使用者與主管每年至少須接受3小時資安宣導課程並通過課程評量。 一般使用者是否每年至少接受3小時資安宣導課程並通過課程評量? 主管是否每年至少接受3小時資安宣導課程並通過課程評量?
18
桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程 Q&A
Similar presentations
