113/01/17
計畫處議題一:
本府資訊資產風險評鑑可接受風險值是否須修正調整,提請討論。
決議:
111年度調降可接受風險值63(含)。
議題二:
各單位規劃資通系統開發、委外案件時,應考量納入資通系統分級及防護基準之要求,提請討論。
決議:
本府各單位辦理資通系統開發或委外案件時,應依下列程序辦理:
1.承辦單位應先填寫「資通委外業務自我檢核表(NTG-ISMS-I-3-01-02)」,考量委外作業之風險。
2.承辦單位須完成「系統防護需求等級評估表(即附表9)」,以評估系統重要性。
3.依據評估結果,由「資通系統防護基準控制措施檢查表(即附表10)」確認相應應達成控制措施,並檢附符合的佐證證據。
附註:上開各表單可於本府全球資訊網/縣府資訊/資通安全政策頁籤下取得。
議題三:
本府訂定機房管理相關作業規定,各單位應宣導要求資通訊系統委外廠商依規定執行進行,提請討論。
決議:
本府各單位委外廠商有進入機房之必要時,應依下列程序辦理:
1.非授權人員(如廠商維護人員因故障檢修或維護保養)若需進入機房,應填寫於「NTG-ISMS-I-3-06-01南投縣政府電腦機房進出人員管制表」,並註明攜帶之行動裝置或可攜式儲存媒體,前述攜帶物品確認無病毒等足以妨害系統運作因素後,使得由授權人員陪同進入及其工作。
2.機房硬體設備若須外送修理或修妥送回時,應備註於「NTG-ISMS-I-3-06-02南投縣政府電腦機房設備攜出入登記表」,設備攜出時應優先考慮敏感/機密性資料的安全,避免將敏感/機密性資料攜離機房。
3.駐點廠商及非駐點廠商進行保養檢查時,應加強提醒「資通服務申請單」。
議題四:
本府資通系統維護合約,除有特殊情形,應使用資訊服務採購契約範本,禁止使用勞務契約範本,提請討論。
決議:
本府資通系統維護合約,除特殊情形外,應使用資訊服務採購契約範本。
議題五:
1.各單位應加強宣導,要求一般人員及主管應每年每人接受3小時之資通安全通識課程教育訓練,提請討論。
2.各單位應加強宣導,要求管理任何資通系統之承辦人員應視為資訊人員,依法須符合每兩年每人至少接受3小時以上之資通安全專業課程教育訓練,提請討論。
決議:
1.各單位應加強宣導,要求一般人員及主管應每年每人接受3小時之資通安全通識課程教育訓練。如因業務關係無法參加實體課程者,亦可至e等公務園搜尋資安相關課程,參加線上課程。
2.各單位應加強宣導使同仁知悉,單位內凡辦理資通訊統開發、維運委外採購承辦人員,或實質具有管理權之管理人員,均為資通安全法中之「資訊人員」,依法均有須符合每2年每人至少接受3小時以上之「資通安全專業課程教育訓練」之義務。相關課程應密切注意本府自行舉辦或行政院資通安全處舉辦之標記有「資通安全專業課程教育訓練」之課程。