資通安全管理實務重點說明. - ppt download - SlidePlayer

一、資通安全責任等級分級辦法二、資安法施行細則三、公務機關所屬人員資通安全事項獎懲辦法四、行政院及所屬各機關行動化服務發展作業原則一、資通安全責任等級分級 ... 上传 请登录 Mypresentations Profile 反馈 Logout 搜索 请登录 请登录 Authwithsocialnetwork: 注册 忘记密码？ Downloadpresentation Wethinkyouhavelikedthispresentation.Ifyouwishtodownloadit,pleaserecommendittoyourfriendsinanysocialsystem.Sharebuttonsarealittlebitlower.Thankyou! Buttons: 取消 Download Presentationisloading.Pleasewait. 資通安全管理實務重點說明. PublishedbyJérômeParé Modified2年之前 嵌入 Downloadpresentation Copytoclipboard Similarpresentations More Presentationontheme:"資通安全管理實務重點說明."—Presentationtranscript: 1 資通安全管理實務重點說明 2 一、資通安全責任等級分級辦法二、資安法施行細則三、公務機關所屬人員資通安全事項獎懲辦法四、行政院及所屬各機關行動化服務發展作業原則一、資通安全責任等級分級辦法二、資安法施行細則三、公務機關所屬人員資通安全事項獎懲辦法四、行政院及所屬各機關行動化服務發展作業原則 3 資安責任辦法-第三條行政院直屬機關應每二年提交自身、所屬或監督之公務機關及所管之特定非公務機關之資通安全責任等級，報主管機關核定。

教育部來函將國立大專院校資安責任等級列為B級。

4 資安責任辦法-第十一條各機關應依其資通安全責任等級，辦理附表一至附表八之事項。

依據資通安全責任等級分級辦法之附表四所示，B級單位各資訊系統應進行分級防護、系統安全性檢測、導入政府組態基準等，並要求各資訊系統之管理者及使用者皆需接受資安教育訓練附表三資通安全責任等級B級之公務機關應辦事項 5 資安責任辦法-第十一條第二項：各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級原則完成資通系統分級，並依附表十所定資通系統防護基準執行控制措施 6 資安責任辦法(第十一條)-附表三安全性檢測網站安全弱點檢測全部核心資通系統每年辦理一次。

系統滲透測試全部核心資通系統每二年辦理一次。

本中心每半年會提供弱點掃描服務申請，請各單位務必配合提供主機IP進行弱掃。

而雖然業務單位的電腦皆非核心系統，不過以學校目前的政策是所有資訊系統皆需進行弱點掃描，以確保本校的資訊安全。

以目前而言核心系統皆在計資中心，故業務單位的資訊系統可以不用進行滲透測試。

業務單位不需要滲透測試，僅需要弱點掃描 7 (GovernmentConfigurationBaseline)資安責任辦法(第十一條)-附表三GCB(GovernmentConfigurationBaseline)初次受核定或等級變更後之一年內，依主管機關公告之項目，完成政府組態基準導入作業，並持續維運。

GCB目的在於規範資通訊終端設備(如：個人電腦)的一致性安全設定(如：密碼長度、更新期限等)，以降低成為駭客入侵管道，進而引發資安事件之疑慮。

GCB=政府組態基準 8 (GovernmentConfigurationBaseline)資安責任辦法(第十一條)-附表三GCB(GovernmentConfigurationBaseline)初次受核定或等級變更後之一年內，依主管機關公告之項目，完成政府組態基準導入作業，並持續維運。

說明二：其規範設定項目主要包含：Windows(win7、win8、win10)：361項。

InternetExplorer11：155項。

WindowServer：451項RedHatEnterpriseLinux：190項GoogleChrome：30項MozillaFirefox：52項下載網址： 9 資安責任辦法(第十一條)-附表三資通安全教育訓練資通安全及資訊人員每年至少二名人員各接受十二小時以上之資通安全專業課程訓練或資通安全職能訓練。

一般使用者及主管每人每年接受三小時以上之一般資通安全教育訓練。

計中每年至少會舉辦五～六場有關資通安全管理的教育訓練（如社交工程演練教育訓練），並寄發寄給全校各單位邀請通知，煩請各位業務單位注意相關訊息。

10 資安責任辦法(第十一條)-附表九、附表十資通系統分級及防護基準初次受核定或等級變更後之一年內，針對自行或委外開發之資通系統，依附表九完成資通系統分級，並完成附表十之控制措施；其後應每年至少檢視一次資通系統分級妥適性。

計資中心將實施相關教育訓練，包含以下內容：依據附表九將資訊系統之機密性、完整性及可用性及法律遵循性四個構面進行評估，並依據評估結果進行分級。

接著利用附表十的分級進行各項防護控制措施。

11 資安法施行細則(第六條)以目前的作法，有委外案件時應當：簽訂保密切結書於合約上條列資安法要求事項(利用採購組公版合約進行修正)。

根據資通安全管理法施行細則第六條第十一款明定資通安全維護計畫應載明委外辦理資通系統或服務時之管理措施，以利執行本法第九條所定對受託者進行之監督。

以目前的作法，有委外案件時應當：簽訂保密切結書於合約上條列資安法要求事項(利用採購組公版合約進行修正)。

政府特別將委外廠商放在資安法來做規範，主要因為過往很多資安事件會發生在委外。

例如：1.合約簽訂的時候未規範廠商的遵循是項。

12 資安法施行細則(第四條)各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供（以下簡稱受託業務），選任及監督受託者時，應注意下列事項：受託者辦理受託業務之相關程序及環境，應具備完善之資通安全管理措施或通過第三方驗證。

如果有跨校合作的話，教育版本資安驗證證書亦可委外的廠商應提供導入ISMS導入相關佐證(例如管理系統文件列表)。

資安驗證證書(ISO27001、CNS27001或教育版本資安驗證證書)。

13 資安法施行細則(第四條)各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供（以下簡稱受託業務），選任及監督受託者時，應注意下列事項：受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。

依據業務性質檢視其證照ISO27001主導稽核員、CEH、CISSP等證照。

可請委外廠商之開發人員提供其過往建置系統時所被要求的資安作為(例如：提供廠商通過資安檢測的證明)。

14 資安法施行細則(第四條)各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供（以下簡稱受託業務），選任及監督受託者時，應注意下列事項：受託者辦理受託業務得否複委託、得複委託之範圍與對象，及複委託之受託者應具備之資通安全維護措施。

委外案是否能轉包應當由單位在購案時決定。

1.複委託=轉包或稱小包2.小包廠商仍要遵照第一款及第二款的規定。

3轉包的廠商仍然需要依我們的要求加以規範(應以本條文第一及第二款進行規範)。

15 資安法施行細則(第四條)各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供（以下簡稱受託業務），選任及監督受託者時，應注意下列事項：受託業務涉及國家機密者，執行受託業務之相關人員應接受適任性查核，並依國家機密保護法之規定，管制其出境。

委託單位亦可設計相關切結書，切結書內容宜包含其是否受徒刑、未曾觸犯資安法相關規定、是否被褫奪公權、無肇事紀錄、國籍限制…等。

計資中心會設計一個公版文件供大家參考。

1.計中會提供一個公版文件來給業務單位做參考。

業務單位仍可依據個案來增加規範條款。

如果經費許可或上級單位有要求時，應當對相關人員進行實際查核(例如：徵信、或請其提供良民證)。

16 資安法施行細則(第四條)各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供（以下簡稱受託業務），選任及監督受託者時，應注意下列事項：受託業務包括客製化資通系統開發者，受託者應提供該資通系統之安全性檢測證明；涉及利用非受託者自行開發之系統或資源者，並應標示非自行開發之內容與其來源及提供授權證明。

應當在合約上訂定在驗收時，依個案放上如何進行安全性檢測的相關條文，例如：作業系統的版本、更新、事先進行弱掃、滲透測試或壓力測試…等。

非自行開發的來源及授權講清楚也應當在驗收時提供。

17 公務機關所屬人員資通安全事項獎懲辦法獎勵項目訂定、修正及實施資通安全維護計畫，績效優良。

稽核所屬或辦理資通安全演練作業，績效優良。

配合主管機關、上級或監督機關辦理稽核或資通安全演練作業，經評定績效優良。

積極查察資通安全維護之異狀，即時發現重大資通安全事件，並辦理通報及應變，防止其損害擴大。

辦理其他資通安全業務有具體功績。

(其餘可參考獎懲辦法第3條，共有12款事宜) 18 公務機關所屬人員資通安全事項獎懲辦法懲處項目未依本法、本法授權訂定之法規或機關內部規範辦理資通安全管理事項。

(維護計畫、事件通報應變、稽核、情資分享)，情節重大。

辦理資通安全業務經主管機關、上級或監督機關評定績效不良，經疏導無效，情節重大。

其他違反本法、本法授權訂定之法規或機關內部規範之行為，情節重大。

19 行政院及所屬各機關行動化服務發展作業原則第二條：本作業原則適用對象為行政院及所屬各級機關（構）、國立學校及國營事業（以下統稱各機關）。

第十一條：各機關開發之行動化服務應符合個人資料保護法及行政院訂定之政府資通安全管理等相關規定，並通過經濟部工業局訂定行動化應用軟體之檢測項目，始得提供民眾下載使用。

甲類：無需使用者身分鑑別之行動應用程式，需檢測之項目共16項。

6萬乙類：需使用者身分鑑別之行動應用程式，需檢測之項目共26項。

萬丙類：含有交易行為之行動應用程式，需檢測之項目共31項。

萬 20 經濟部工業局訂定行動化應用軟體之檢測項目行動化應用軟體之檢測項目分類「甲類」行動應用程式：無需使用者身分鑑別之應用程式。

(無帳號密碼登入)「乙類」行動應用程式：需使用者身分鑑別之應用程式。

(有帳號密碼登入)「丙類」行動應用程式：含有交易行為之應用程式。

21 行政院及所屬各機關行動化服務發展作業原則機構名稱實驗室名稱TAF認可日期鑒真數位有限公司鑒真數位鑑識實驗室2016/07/07勤業眾信聯合會計師事務所資安科技暨鑑識分析中心中華電信股份有限公司電信研究院測試中心2016/08/02安華聯網科技股份有限公司資安檢測實驗室2017/01/24行動檢測服務股份有限公司APP檢測實驗室2017/02/23財團法人台灣電子檢驗中心資通訊檢測實驗室2017/04/25安碁資訊股份有限公司數位鑑識中心實驗室2017/07/21安侯企業管理股份有限公司數位科技安全實驗室2017/11/23財團法人電信技術中心資通安全檢測實驗室2018/03/08數聯資安股份有限公司2018/07/24關貿網路股份有限公司關貿資安數位檢測中心2018/10/11 22 行政院及所屬各機關行動化服務發展作業原則只要Googleplay及AppStore名稱出現中興大學或NCHU的APP，都要進行檢測。

Downloadppt"資通安全管理實務重點說明." Similarpresentations 主講人：許文昌所長歐亞不動產估價師聯合事務所不動產估價師簡介不動產估價師簡介.民國89年10月4日總統令公布「不動產估價師法」。

民國90年起考選部辦理不動產估價師證照考試，迄今舉辦六次高考、三次特考，共錄取377人。

自民國94年10月6日起全面實施簽證制度。

1專利師考照班師資介紹高苑科技大學研究發展處專線服務電話陳小姐校內分機1701. 臺中市政府警察局婦幼警察隊小隊長吳敏男、謝豐昌 Excel－九十七年度教職員工資訊教育訓練董建弘. 中華電信南區分公司2012教育訓練課程表協銷與規劃設計日期：2012/4/27時間課程內容主講人上午 結構型金融商品研討會市場發展與風險管理慶祝中大九十週年主辦單位：國立中央大學財務金融系台灣金融研訓院 行銷研究單元三次級資料的蒐集. 桃園市都市設計審議報告書審議項目：□1.建築基地綜合設計(申請審查部分請打勾)□2.屋脊裝飾物審議□3.裝飾柱/裝飾版審議 建造執照申請流程附件7收件查核協檢項目？不收件協審行政審查決行起造人建築師 勞委會乙級證照項目(環境與安衛相關科系) 桃園市政府資訊中心C級與C+級機關應辦事項規定輔導課程. 當前資安情勢與未來推動重點行政院報告人:資通安全處簡處長宏偉105年9月22日1. 當前資安情勢與未來推動重點行政院報告人:資通安全處簡處長宏偉105年9月22日11. 第1章使用APPINVENTOR2開發ANDROIDAPP 第一篇Unix/Linux操作介面第1章Unix/Linux系統概論第2章開始使用Unix/Linux 手機作業系統介紹. 電子商務基本概念電子商務的定義1-1電子商務的特性1-2電子商務的演進1-3. HiNet光世代非固定制用戶端IPv6設定方式說明 無線射頻識別系統(RFID)基本原理及發展與應用 ASP.NET基本設計與操作建國科技大學資管系饒瑞佶2007年. Similarpresentations Aboutproject SlidePlayer 条款 反馈 隐私 反馈 ©2021slidesplayer.comInc.Allrightsreserved. 搜索 Tomakethiswebsitework,weloguserdataandshareitwithprocessors.Tousethiswebsite,youmustagreetoourPrivacyPolicy,includingcookiepolicy. Iagree.     AdsbyGoogle