項次 | 稽核項目 | 資安政策重點事項 |
一 | 針對必須使用「遠端桌面」與「網路芳鄰」兩項服務使用者,各單位需在確保連線設備滿足本院資安規定前提下,以特例放行並持續追蹤列管。
| 1. 於本院各級防火牆關閉「遠端桌面」與「網路芳鄰」所需使用之通訊埠。 2. 針對必須使用該兩項服務使用者,各單位需在確保連線設備滿足本院資安規定(通過主機弱掃、限制存取來源、連線通道加密、使用強密碼、來源與目的端加強資安防護等)前提下,以特例放行並持續追蹤列管。 3. 對於未能符合上述要求之單位,將列入黑名單,並通知全院其他單位採取必要之網路存取權限控管,直至改善完成。
|
二 | 儘速完成政府組態基準導入作業,如因套用影響學術研究等得依規定提出理由及配套措施,進行例外管理。
| 1. 規劃預計完成作業之分批階段目標及時程。 2. 建議針對部分學術區域設備,於不影響研究進行之前提下,採行測試作業,找出關鍵問題及解決方案。 |
三 | 確實於所有連網電腦(含伺服器)安裝防毒軟體及端點防護(如Xensor)。
| 勒索軟體主要在端點電腦上發動攻擊,因此必須針對端點提供相關保護措施,請儘速完成單位內防毒軟體及端點防護軟體之採購。 |
四 | 對機密與敏感性資料之儲存媒體實施防護措施。
| 1. 落實保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。 2. 如發現機敏資訊有遭洩漏外洩等異常情形,應依「資通安全事件通報及應變辦法」進行通報及後續妥處。 |
五 | 資安健診、滲透測試、弱點掃瞄發現之重大弱點應列冊追踪,於一個月內完成修補作業或採取替代防護措施並保存相關紀錄備查。 | 1. 務必督導單位遵循原則禁止遠端連線、導入資安弱點通報及端點偵測機制、敏感資訊加密儲存及傳輸、確實設定防火牆、不使用弱密碼或預設密碼、系統上線或更版前辦理安全驗測、資安事件依限通報等7 項配合事項。 2. 各項資安應辦事項(如帳號清查、資通系統弱點修補等)能留存執行紀錄,例外管理或服務開通(如防火牆例外開放、開放遠端桌面連線、資通系統上線等)能有簽核流程,可作追溯與查詢。
|
六 | 資訊系統通行碼是否未使用使用弱密碼或預設密碼,重要應用系統更換通行碼(密碼)週期應低於6個月。 | 1. 近期可明確辨識之資安事件類型以「非法入侵」事件居多,主要肇因係使用弱密碼;未遵循政府組態基準要求之複雜性與強度原則設定,導致帳號密碼遭暴力破解成功,並植入勒索軟體;或利用破解之郵件帳密大量寄送惡意郵件等。 2. 減少使用弱密碼及遠端連線維護,並落實辦理對供應商之監督管理及資通系統於需求、建置及維運等各階段的強化措施。
|
七 | 應用系統上線前或既有系統重大變更時應進行源碼檢測、網站及主機弱點掃描,確認弱點完成修補始可上線,相關紀錄應留存備查。 | 1. 建議充分利用本院資訊服務處提供之網站、主機及伺服器等檢測掃描服務,並落實弱點修補以降低資安破口。 2. 檢視有無系統重複建置情形(如公文系統、電子郵件系統),避免各自建置資源浪費,落實資安集中防護,降低資安風險。
|
八 | 確實落實網路分區(行政服務區、對外服務區、訪客區、學術服務區)及各分區網路存取控制。 | 1. 網路架構規劃為重點資安政策工作目標,應儘速規劃人力、預算及期程,若採委外方式辦理,應一併注意位委外廠商之是否符合相關資安防護措施之要求。 2. 導入資安弱點通報及端點偵測、取得TAF 標誌的第三方驗證證書、管控遠端存取、機敏資料加密等,以精進資安防護量能。
|
九 | 落實資通系統盤點及分級,應涵蓋網際網路連線之系統(含網站),並依資通安全防護基準執行控制措施,且保留完整之自評紀錄。 | 1. 持續精進落實資通系統盤點、分級,應涵蓋網際網路連線之系統(含網站), 並依資通安全防護基準執行控制措施,且保留完整之自評紀錄。 2. 俾利資安人員異動時,亦能掌握單位資安狀況,若發生資安事件時能迅速應變與處置。 |
十 | 採用本院資訊服務採購契約範本,於需求書或規格書納入資安要求項目,於契約相關文件納入委外廠商資安專業資格或能力之評估機制,明列採購案投入之資安經費,並規劃廠商稽核(自評或實地稽核)。 | 1. 依資安法施行細則第4 條規定,對於委外作業安全應建立相關管理程序,從廠商選擇(技術與能力要求)、服務水平、安全控制措施(包括保密、處理人員之管理)及廠商績效監控(稽核)與報告機制等,皆應明確制訂於管理程序,並落實於與廠商之合約規範中。 2. 辦理委外廠商稽核作業須有記錄相關查核證據,及追蹤管考機制。 3. 遵守行政院訂頒之「資通系統籌獲各階段資安強化措施」,依據資通安全管理法第九條規定,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。 |
十一 | 委外廠商遠端維護原則禁止例外允許,例外允許者應加強防護及管理措施。 | 1. 常被攻擊者利用之漏洞中,超過半數為遠端工作環璄所需之VPN連線或雲端服務相關漏洞,顯示駭客利用遠距工作之龐大需求,積極尋找相關資通訊技術弱點,多方面挖掘居家辦公之資安破口。 2. 應加強委外廠商遠端維護之例外管理及防護措施。 3. 減少使用弱密碼及遠端連線維護,並落實辦理對供應商之監督管理及資通系統於需求、建置及維運等各階段的強化措施。 4. 落實行政院訂頒之「資通系統籌獲各階段資安強化措施」之附件,附件1:廠商估價單資安作業範例、附件2:評選委員評選表範例、附件3:廠商資安管理作業自我評估表範例、附件4:資訊服務採購案之資安檢核事項、附件5:資料所在地及跨境傳輸切結書範例。 5. 辦理相關資訊服務採購時,應於各階段加強各項資安作為,如即時揭露系統資安防護等級、資安經費、單位資訊(安)人員全程參與等,並定期對委外廠商辦理稽核。 6. 行政院公共工程委員會資訊服務採購契約範本已於110年4月9日修正,並納入相關資安規範,請完成檢視資訊服務採購契約內容,務必將資安相關要求納入單位契約規範。 7. 優先採購國內資安自主產品,提升單位資安防護能量之際,亦能促進國內資安產業商機。
|
十二 | 配合汰換大陸廠牌資通訊產品政策,並於汰換前不得與公務環境介接,宣導及落實後續不得採購大陸廠牌資通訊產品之要求。 | 1. 重申各單位配合政府政策汰換所有大陸廠牌資通訊產品,並於汰換前不得與公務環境介接。 2. 提醒各實驗室日後自行採購之資通訊產品不得為大陸廠牌,以符合現行規定。 3. 汰換前之大陸廠牌資通訊產品,除不可拆卸外,建議存放於單位之資訊室。 4. 配合各項資安重點作業,如定期填報大陸廠牌資通訊產品清冊、落實視訊會議及即時通訊軟體使用安全等項,以降低資安風險。
|
十三 | 宣導及落實正確安全使用個人資通訊產品(包含:軟體、硬體及服務)處理公務事務原則。 | 1. 落實轉知單位內各同仁公務機關使用資通產品原則(含使用個人資通訊設備處理公務原則)。 2. 加強宣導及落實居家辦公及行動裝置在裝置面、網路面與應用軟體面之資安防護相關管理規定。<依據111年7月26日行政院國家資通安全會報第39次委員會議(擴大會議)決定事項>
|
十四 | 各單位之Log (含NAT IP配發紀錄)應依照中央研究院資通安全管理規範實施要點進行保存。應定期依 Log 自動產生之綜合分析報告,進行例行性檢視,分析異常狀況,及早發現潛在的資安威脅,以維持系統正常穩定運作。 | 1. Log管理者之帳號應選擇高安全性通行碼,妥善保管避免外洩並定期更新。 2. 應定期檢視具單位特性之異常人事物所涵蓋之log紀錄,及早發現潛在的資安威脅。 3. 部分單位囿於人力不足無法落實定期檢視Log紀錄進行管理,為落實辦理各項資安防護措施,務必轉達單位首長資安人力充裕之重要性,並優先配置資安專職人員。 |
十五 | 資通系統log是否已依資安法規定保留6個月。 | 遠端連線存取(如VPN)與NAT配發記錄,請依資安法要求落實Log管理及保留6個月。
|
十六 | 定期辦理保有個人資料盤點及風險評鑑作業,建立清冊進行管理,並依個資法第十七條規定公開相關資訊於本院網站供公眾查閱。 | 1. 落實每年定期辦理保有個人資料盤點及風險評鑑作業,並建立清冊進行管理。 2. 單位網站應依個資法第十七條規定公開相關資訊供公眾查閱。 |
十七 | 對個人蒐集資料應以最小蒐集為原則,其無須識別當事人者,不應蒐集可識別資料。因學術研究計畫須利用個資,其無須識別當事人者應以去識別化方式為之。 | 1. 單位內電子郵件屬周知全體同仁性質者,改用密件副本方式寄送,避免透過轉寄等方式外流、散布過多公務電子郵件帳號。 2. 單位內涉及個資之資訊,非必要勿印製紙本,以減輕保存防護負擔。
|
十八 | 落實軟體合法使用,並確實全面清查單位內授權軟體使用狀況。 | 1. 資訊人員因於經費核銷時未經知會,致無法掌握實驗室自行採購軟體及網路設備等情形,建議於行政流程中加入管控方式避免疏漏。 2. 持續針對單位新進人員進行軟體侵權宣導。
|
十九 | 落實宣導電子郵件防駭、本院同仁赴具資安疑慮國家交流等資安防護建議。 | 赴陸時公務資通訊裝置應採行資安防護之功能設定、系統重置及更新防毒軟體等措施,私人設備建議可比照採行。另赴陸期間若遇有公務資訊設備發生異常狀況、遺失或被竊,返臺後應檢測是否遭植入不明惡意程式,並即時於返臺通報表中反映敘明。 |
二十 | 發現資安事件時,落實資安法、本院資通安全事件通報及應變程序之規定。 | 1. 發現資安事件時,落實資安法及本院資通安全事件通報及處理要點之規定處理,不得有隱匿情事。 2. 務必嚴格落實辦理資安防護作業及資安事件通報應變。
|
二十一 | 因應防疫期間所需配合之資訊措施,落實其相關資安防護及管控作為。 | 1. 因應防疫期間,遇有同仁居家辦公、遠端連線等應同步配合之相關管控措施,落實其相關資安防護及管控作為。 2. 加強宣導及落實居家辦公及行動裝置在裝置面、網路面與應用軟體面之資安防護相關管理規定。<依據111年7月26日行政院國家資通安全會報第39次委員會議(擴大會議)決定事項>
|
二十二 | 定期辦理資安訓練時數宣導,並追蹤管控資安訓練時數達成率。 | 各所、中心規劃單位自行舉辦資安訓練宣導課程,並追蹤提醒單位同仁年度內完成資安訓練時數。 |
二十三 | 定期辦理資安法規、個人資料保護、社交工程及公務機密維護宣導。 | 1. 宣導同仁採行線上學習完成年度資安時數要求。 2. 避免使用gmail私人郵件處理公務,降低發生公務機密外洩事件。 3. 持續提醒同仁保持社交工程郵件攻擊之警覺性。 4. 避免點擊與時事相關之社交工程郵件。
|
