1 / 22

資通安全管理實務重點說明

資通安全管理實務重點說明. 一、 資通安全責任等級分級辦法 二 、資安法施行細則 三 、公務機關所屬人員資通安全事項獎懲辦法 四、行政院及所屬各機關行動化服務發展作業原則. 資安責任 辦法 - 第三條. 行政院 直屬機關應每二年提交自身、所屬或監督之公務機關及所管之特定非公務機關之資通安全責任等級,報主管機關核定 。 教育部來函 將國立 大專院校資安責任等級 列為 B 級 。. 資安責任 辦法 - 第十一條. 各機關應依其資通安全責任等級,辦理附表一 至附表 八之事項 。

sallyb
Download Presentation

資通安全管理實務重點說明

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 資通安全管理實務重點說明

  2. 一、資通安全責任等級分級辦法二、資安法施行細則三、公務機關所屬人員資通安全事項獎懲辦法四、行政院及所屬各機關行動化服務發展作業原則一、資通安全責任等級分級辦法二、資安法施行細則三、公務機關所屬人員資通安全事項獎懲辦法四、行政院及所屬各機關行動化服務發展作業原則

  3. 資安責任辦法- 第三條 • 行政院直屬機關應每二年提交自身、所屬或監督之公務機關及所管之特定非公務機關之資通安全責任等級,報主管機關核定。 • 教育部來函將國立大專院校資安責任等級列為B級。

  4. 資安責任辦法 - 第十一條 • 各機關應依其資通安全責任等級,辦理附表一至附表八之事項。 • 依據資通安全責任等級分級辦法之附表四所示,B級單位各資訊系統應進行分級防護、系統安全性檢測、導入政府組態基準等,並要求各資訊系統之管理者及使用者皆需接受資安教育訓練 附表三 資通安全責任等級B 級之公務機關應辦事項

  5. 資安責任辦法 - 第十一條 • 第二項:各機關自行或委外開發之資通系統應依附表九所 定資通系統防護需求分級原則完成資通系統分級,並 依附表十所定資通系統防護基準執行控制措施

  6. 資安責任辦法(第十一條)- 附表三 • 本中心每半年會提供弱點掃描服務申請,請各單位務必配合提供主機IP進行弱掃。而雖然業務單位的電腦皆非核心系統,不過以學校目前的政策是所有資訊系統皆需進行弱點掃描,以確保本校的資訊安全。 • 以目前而言核心系統皆在計資中心,故業務單位的資訊系統可以不用進行滲透測試。

  7. 資安責任辦法(第十一條)- 附表三 • GCB目的在於規範資通訊終端設備(如:個人電腦) 的一致性安全設定(如:密碼長度、更新期限等),以降低成為駭客入侵管道,進而引發資安事件之疑慮。

  8. 資安責任辦法(第十一條)- 附表三 說明二:其規範設定項目主要包含: • Windows(win7、win8、win10):361項。 • Internet Explorer 11 :155項。 • Window Server:451項 • Red Hat Enterprise Linux:190項 • Google Chrome:30項 • Mozilla Firefox:52項 下載網址:https://www.nccst.nat.gov.tw/GCB

  9. 資安責任辦法(第十一條)- 附表三 • 計中每年至少會舉辦五~六場有關資通安全管理的教育訓練(如社交工程演練教育訓練),並寄發Email寄給全校各單位邀請通知,煩請各位業務單位注意相關訊息。

  10. 資安責任辦法(第十一條)- 附表九、附表十 計資中心將實施相關教育訓練,包含以下內容: • 依據附表九將資訊系統之機密性、完整性及可用性及法律遵循性四個構面進行評估,並依據評估結果進行分級。 • 接著利用附表十的分級進行各項防護控制措施。

  11. 資安法施行細則(第六條) 以目前的作法,有委外案件時應當: • 簽訂保密切結書 • 於合約上條列資安法要求事項(利用採購組公版合約進行修正)。

  12. 資安法施行細則(第四條) • 受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證。 資安驗證證書(ISO27001、 CNS27001或教育版本資安驗證證書)。 委外的廠商應提供導入ISMS導入相關佐證(例如管理系統文件列表) 。

  13. 資安法施行細則(第四條) • 受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。 ISO27001主導稽核員、CEH、CISSP等證照。 可請委外廠商之開發人員提供其過往建置系統時所被要求的資安作為(例如:提供廠商通過資安檢測的證明)。

  14. 資安法施行細則(第四條) • 受託者辦理受託業務得否複委託、 得複委託之範圍與對象,及複委託 之受託者應具備之資通安全維護措施。 委外案是否能轉包應當由單位在購案時決定。 轉包的廠商仍然需要依我們的要求加以規範(應以本條文第一及第二款進行規範)。

  15. 資安法施行細則(第四條) • 受託業務涉及國家機密者,執行受託業務之相關人員應接受適任性查核,並依國家機密保護法之規定,管制其出境。 委託單位亦可設計相關切結書,切結書內容宜包含其是否受徒刑、未曾觸犯資安法相關規定、是否被褫奪公權、無肇事紀錄、國籍限制…等。計資中心會設計一個公版文件供大家參考。 如果經費許可或上級單位有要求時,應當對相關人員進行實際查核(例如:徵信、或請其提供良民證)。

  16. 資安法施行細則(第四條) • 受託業務包括客製化資通系統開發者,受託者應提供該資通系統之安全性檢測證明;涉及利用非受託者自行開發之系統或資源者,並應標示非自行開發之內容與其來源及提供授權證明。 應當在合約上訂定在驗收時,依個案放上如何進行安全性檢測的相關條文,例如:作業系統的版本、更新、事先進行弱掃、滲透測試或壓力測試…等。 非自行開發的來源及授權講清楚也應當在驗收時提供。

  17. 公務機關所屬人員資通安全事項獎懲辦法 獎勵項目 • 訂定、修正及實施資通安全維護計畫,績效優良。 • 稽核所屬或辦理資通安全演練作業,績效優良。 • 配合主管機關、上級或監督機關辦理稽核或資通安全演練作業,經評定績效優良。 • 積極查察資通安全維護之異狀,即時發現重大資通安全事件,並辦理通報及應變,防止其損害擴大。 • 辦理其他資通安全業務有具體功績。 (其餘可參考獎懲辦法第3條,共有12款事宜)

  18. 公務機關所屬人員資通安全事項獎懲辦法 懲處項目 • 未依本法、本法授權訂定之法規或機關內部規範辦理資通安全管理事項。 • (維護計畫、事件通報應變、稽核、情資分享),情節重大。 • 辦理資通安全業務經主管機關、上級或監督機關評定績效不良,經疏導無效,情節重大。 • 其他違反本法、本法授權訂定之法規或機關內部規範之行為,情節重大。

  19. 行政院及所屬各機關行動化服務發展作業原則 • 第二條:本作業原則適用對象為行政院及所屬各級機關(構)、國立學校及國營事業(以下統稱各機關)。 • 第十一條:各機關開發之行動化服務應符合個人資料保護法及行政院訂定之政府資通安全管理等相關規定,並通過經濟部工業局訂定行動化應用軟體之檢測項目,始得提供民眾下載使用。

  20. 經濟部工業局訂定行動化應用軟體之檢測項目 行動化應用軟體之檢測項目分類 • 「甲類」行動應用程式: 無需使用者身分鑑別之應用程式。(無帳號密碼登入) • 「乙類」行動應用程式: 需使用者身分鑑別之應用程式。 (有帳號密碼登入) • 「丙類」行動應用程式: 含有交易行為之 應用程式。

  21. 行政院及所屬各機關行動化服務發展作業原則

  22. 行政院及所屬各機關行動化服務發展作業原則 • 只要Google play 及AppStore名稱出現中興大學或NCHU的APP,都要進行檢測。

More Related