資通安全管理實務重點說明.

Presentation on theme: "資通安全管理實務重點說明."— Presentation transcript:

1 資通安全管理實務重點說明

2 一、資通安全責任等級分級辦法 二、資安法施行細則 三、公務機關所屬人員資通安全事項獎懲辦法 四、行政院及所屬各機關行動化服務發展作業原則
一、資通安全責任等級分級辦法 二、資安法施行細則 三、公務機關所屬人員資通安全事項獎懲辦法 四、行政院及所屬各機關行動化服務發展作業原則

3 資安責任辦法 - 第三條 行政院直屬機關應每二年提交自 身、所屬或監督之公務機關及所 管之特定非公務機關之資通安全 責任等級，報主管機關核定。 教育部來函將國立大專院校資安 責任等級列為B級。

4 資安責任辦法 - 第十一條 各機關應依其資通安全責任等級， 辦理附表一至附表八之事項。
依據資通安全責任等級分級辦法 之附表三所示，B級單位各資訊 系統應進行分級防護、系統安全 性檢測、導入政府組態基準等， 並要求各資訊系統之管理者及使 用者皆需接受資安教育訓練 附表三 資通安全責任等級B 級之公務機關應辦事項

5 資安責任辦法 - 第十一條 第二項：各機關自行或委外開發 之資通系統應依附表九所 定資通 系統防護需求分級原則完成資通 系統分級，並 依附表十所定資通 系統防護基準執行控制措施

6 資安責任辦法(第十一條) - 附表三 安全性檢測 網站安全弱點檢測 全部核心資通系統每年辦理一次。 系統滲透測試 全部核心資通系統每二年辦理一次。 本中心每半年會提供弱點掃描服務申請，請各單位務必 配合提供主機IP進行弱掃。而雖然業務單位的電腦皆非 核心系統，不過以學校目前的政策是所有資訊系統皆需 進行弱點掃描，以確保本校的資訊安全。 以目前而言核心系統皆在計資中心，故業務單位的資訊 系統可以不用進行滲透測試。 業務單位不需要滲透測試，僅需要弱點掃描

7 (Government Configuration Baseline)
資安責任辦法(第十一條) - 附表三 GCB (Government Configuration Baseline) 初次受核定或等級變更後之一年內，依主管機關公告之項目，完成政府組態基準導入作業，並持續維運。 GCB目的在於規範資通 訊終端設備(如：個人 電腦) 的一致性安全設 定(如：密碼長度、更 新期限等)，以降低成 為駭客入侵管道，進而 引發資安事件之疑慮。 GCB=政府組態基準

8 (Government Configuration Baseline)
資安責任辦法(第十一條) - 附表三 GCB (Government Configuration Baseline) 初次受核定或等級變更後之一年內，依主管機關公告之項目，完成政府組態基準導入作業，並持續維運。 說明二：其規範設定項目主要包含： Windows(win7、win8、win10)： 361項。 Internet Explorer 11 ：155項。 Window Server：451項 Red Hat Enterprise Linux：190項 Google Chrome：30項 Mozilla Firefox：52項 下載網址：

9 資安責任辦法(第十一條) - 附表三 資通安全 教育訓練 資通安全及資訊人員 每年至少二名人員各接受十二小時以上之資通安全專業課程訓練或資通安全職能訓練。 一般使用者及主管 每人每年接受三小時以上之一般資通安全教育訓練。 計中每年至少會舉辦五～六場有關資通安全管理的教育 訓練（如社交工程演練教育訓練），並寄發 寄給 全校各單位邀請通知，煩請各位業務單位注意相關訊息。

10 資安責任辦法(第十一條) - 附表九、附表十
資通系統分級及防護基準 初次受核定或等級變更後之一年內，針對自行或委外開發之資通系統，依附表九完成資通系統分級，並完成附表十之控制措施；其後應每年至少檢視一次資通系統分級妥適性。 計資中心將實施相關教育訓練，包含以下內容： 依據附表九將資訊系統之機密性、完整性及可用性及 法律遵循性四個構面進行評估，並依據評估結果進行 分級。 接著利用附表十的分級進行各項防護控制措施。

11 資安法施行細則(第六條) 以目前的作法，有委外案件時應當： 簽訂保密切結書 於合約上條列資安法要求事項(利用採購組公版合約進行 修正)。
根據資通安全管理法施行細則第六條第十一款明定資通安全維護計畫應載明委外辦理資通系統或服務時之管理措施，以利執行本法第九條所定對受託者進行之監督。 以目前的作法，有委外案件時應當： 簽訂保密切結書 於合約上條列資安法要求事項(利用採購組公版合約進行 修正)。 政府特別將委外廠商放在資安法來做規範， 主要因為過往很多資安事件會發生在委外。 例如： 1.合約簽訂的時候未規範廠商的遵循是項。

12 資安法施行細則(第四條) 各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供（以下簡稱受託業務），選任及監督受託者時，應注意下列事項： 受託者辦理受託業務之相關程序及環境，應具備完善之 資通安全管理措施或通過第三方驗證。 如果有跨校合作的話，教育版本資安驗證證書亦可 委外的廠商應提供導入ISMS導入相關佐證(例如管理系統文件列表) 。 資安驗證證書(ISO27001、 CNS27001或教育版本資安驗證證書)。

13 資安法施行細則(第四條) 各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供（以下簡稱受託業務），選任及監督受託者時，應注意下列事項： 受託者應配置充足且經適當之資格訓練、擁有資通安全 專業證照或具有類似業務經驗之資通安全專業人員。 依據業務性質檢視其證照 ISO27001主導稽核員、CEH、CISSP等證照。 可請委外廠商之開發人員提供其過往建置系統時所被要求的資安作為(例如：提供廠商通過資安檢測的證明)。

14 資安法施行細則(第四條) 各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供（以下簡稱受託業務），選任及監督受託者時，應注意下列事項： 受託者辦理受託業務得否複委託、 得複委託之範圍與對象，及複委託 之受託者應具備之資通安全維護措施。 委外案是否能轉包應當由單位在購案時決定。 1.複委託=轉包或稱小包 2.小包廠商仍要遵照第一款及第二款的規定。 3 轉包的廠商仍然需要依我們的要求加以規範(應以本條文第一及第二款進行規範)。

15 資安法施行細則(第四條) 各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供（以下簡稱受託業務），選任及監督受託者時，應注意下列事項： 受託業務涉及國家機密者，執行受託業務之相關人員應 接受適任性查核，並依國家機密保護法之規定，管制其 出境。 委託單位亦可設計相關切結書，切結書內容宜包含其是否受徒刑、未曾觸犯資安法相關規定、是否被褫奪公權、無肇事紀錄、國籍限制…等。計資中心會設計一個公版文件供大家參考。 1.計中會提供一個公版文件來給業務單位做參考。業務單位仍可依據個案來增加規範條款。 如果經費許可或上級單位有要求時，應當對相關人員進行實際查核(例如：徵信、或請其提供良民證)。

16 資安法施行細則(第四條) 各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提 供（以下簡稱受託業務），選任及監督受託者時，應注意下列事項： 受託業務包括客製化資通系 統開發者，受託者應提供該 資通系統之安全性檢測證明； 涉及利用非受託者自行開發 之系統或資源者，並應標示 非自行開發之內容與其來源 及提供授權證明。 應當在合約上訂定在驗收時，依個案放上如何進行安全性檢測的相關條文，例如：作業系統的版本、更新、事先進行弱掃、滲透測試或壓力測試…等。 非自行開發的來源及授權講清楚也應當在驗收時提供。

17 公務機關所屬人員資通安全事項獎懲辦法 獎勵項目 訂定、修正及實施資通安全維護計畫，績效優良。 稽核所屬或辦理資通安全演練作業，績效優良。
配合主管機關、上級或監督機關辦理稽核或資通安全演練作業，經評定 績效優良。 積極查察資通安全維護之異狀，即時發現重大資通安全事件，並辦理通 報及應變，防止其損害擴大。 辦理其他資通安全業務有具體功績。 (其餘可參考獎懲辦法第3條，共有12款事宜)

18 公務機關所屬人員資通安全事項獎懲辦法 懲處項目 未依本法、本法授權訂定之法規或機關內部規範辦理資通安全管理事項。
(維護計畫、事件通報應變、稽核、情資分享)，情節重大。 辦理資通安全業務經主管機關、上級或監督機關評定績效不良，經疏導 無效，情節重大。 其他違反本法、本法授權訂定之法規或機關內部規範之行為，情節重大。

19 行政院及所屬各機關行動化服務發展作業原則
第二條：本作業原則適用對象為 行政院及所屬各級機關（構）、 國立學校及國營事業（以下統稱 各機關）。 第十一條：各機關開發之行動化 服務應符合個人資料保護法及行 政院訂定之政府資通安全管理等 相關規定，並通過經濟部工業局 訂定行動化應用軟體之檢測項目， 始得提供民眾下載使用。 甲類：無需使用者身分鑑別之行動應用程式，需檢測之項目共 16 項。 6萬 乙類：需使用者身分鑑別之行動應用程式，需檢測之項目共 26 項。 萬 丙類：含有交易行為之行動應用程式，需檢測之項目共 31 項。 萬

20 經濟部工業局訂定行動化應用軟體之檢測項目
行動化應用軟體之檢測項目分類 「甲類」行動應用程式： 無需使用者身分鑑別之應用程式。(無帳號密碼登入) 「乙類」行動應用程式： 需使用者身分鑑別之應用程式。 (有帳號密碼登入) 「丙類」行動應用程式： 含有交易行為之 應用程式。

21 行政院及所屬各機關行動化服務發展作業原則
機構名稱 實驗室名稱 TAF認可日期 鑒真數位有限公司 鑒真數位鑑識實驗室 2016/07/07 勤業眾信聯合會計師事務所 資安科技暨鑑識分析中心 中華電信股份有限公司電信研究院 測試中心 2016/08/02 安華聯網科技股份有限公司 資安檢測實驗室 2017/01/24 行動檢測服務股份有限公司 APP檢測實驗室 2017/02/23 財團法人台灣電子檢驗中心 資通訊檢測實驗室 2017/04/25 安碁資訊股份有限公司 數位鑑識中心實驗室 2017/07/21 安侯企業管理股份有限公司 數位科技安全實驗室 2017/11/23 財團法人電信技術中心 資通安全檢測實驗室 2018/03/08 數聯資安股份有限公司 2018/07/24 關貿網路股份有限公司 關貿資安數位檢測中心 2018/10/11

22 行政院及所屬各機關行動化服務發展作業原則
只要Google play 及App Store名稱出 現中興大學或 NCHU的APP，都 要進行檢測。