113/01/17
計畫處
議題一:
本府資訊資產風險評鑑可接受風險值是否須修正調整,提請討論。
決議:
112年度維持可接受風險值63(含)。
議題二:
除Windows Server 2012r2將面臨EOS外,Linux系統CentOS也面臨EOS問題。各單位所管資訊系統,凡底層OS仍使用即將或已經EOS版本者,應進行更新或汰換,提請討論。
決議:
作業系統結束支援後,不再收到安全更新、錯誤修復、技術支援,或線上技術內容更新,為降低重大資安風險,需升級OS,惟可能牽涉資訊應用系統程式修改,從而衍生費用,各單位應就各業管系統,主動諮詢協力廠商,預先規劃因應,並提前籌編預算進行。
議題三:
新建置系統欲向本府資訊單位申請系統上線對外服務者,應將自評表、附表9及附表10影本附於防火牆異動申請單,始得同意開放防火牆權限,俾符合法遵義務要求,提請討論。
決議:
1.「各機關自行或委外開發之資通系統應依(資安責任等級分級辦法)附表九所定資通系統防護需求分級原則完成資通系統分級,並依(同法)附表十所定資通系統防護基準執行控制措施」,資通安全責任等級分級辦法11條2項參照。
2.資通系統分級及防護基準法規之明文規範,為資訊安全最低要求。
3.為使本府各新建置資訊系統符合上開法遵義務要求,同時促使參與本府標案廠商於資安面向同步成長,俾有效降低資安風險。即日起,新建置系統欲向本府資訊單位申請系統上線對外服務者,應將自評表、附表9及附表10電子檔附於防火牆異動申請單,始得同意開放防火牆權限。
附註:
各單位可自本府全球資訊網搜尋關鍵字”附表九”,即可以取得「資通系統防護需求等級評估表(附表九)」、「資通系統防護基準控制措施查檢表(附表十)」空白表單之電子檔。
