壹、依據
一、資通安全管理法第 13 條第 1 項及第 17 條第 3 項。
二、教育部所管特定非公務機關資通安全管理作業辦法第 5 條第 1 項。
貳、目的
依資通安全管理法第 10 條及第 17 條第 1 項規定,公務機關及關鍵基 礎設施(Critical Infrastructure,以下簡稱 CI)提供者以外之特定非 公務機關應訂定、修正及實施資通安全維護計畫。依資通安全管理法第 13 條第 1 項規定,公務機關應稽核其所屬或監督機關之資通安全維護計畫實 施情形,另依資通安全管理法第 17 條第 3 項規定,中央目的事業主管機 關得稽核所管 CI 提供者以外之特定非公務機關資通安全維護計畫實施情 形。 教育部(以下簡稱本部)為落實前述法令規定,規劃每年度自所屬公 務機關及所管特定非公務機關擇定受稽核對象,查核其資通安全管理法法 遵符合情形與資通安全維護計畫實施情形,以協助機關改善並強化資通安 全防護工作之完整性及有效性,持續精進機關資安防護水準。 受稽機關之資通安全維護計畫實施有缺失或待改善者,應依資通安全 管理法第 13 條第 2 項及教育部所管特定非公務機關資通安全管理作業辦 法第 10 條規定提出改善報告,以確保資通安全維護計畫實施之合宜性、 適切性及有效性。
參、對象及期間
一、本部所屬公務機關
(一)範圍為國民及學前教育署(以下簡稱國教署)、青年署、體育署、 部屬機構(11 間)及國立大專校院(47 間)。
(二)實地查核頻率為 2 年(24 個月內)1 次,並由本部考量資源及風險 程度,每年度擇定 10 至 12 間為重點稽核對象(重點稽核對象於實 地查核前,將另辦理技術檢測)。
(三)符合下列遴選原則之一者,優先納入重點稽核對象:
1、依資通安全管理法規定,本部應辦理稽核者。
2、資通安全責任等級:屬 A、B 級者。
3、資通安全事件發生之頻率與程度:本年或近 1 年曾發生 2 級以上 資通安全事件者。
4、資通安全演練之成果:近 1 年本部辦理之社交工程演練、資通安 全事件通報及應變演練,或相關攻防演練成果不佳者。
5、歷年受行政院或本部稽核之頻率與結果:近 3 年未曾接受行政院 或本部實地稽核,或其稽核結果建議持續關注協助者。
6、其他與資通安全相關之因素:
(1)維運存有大量個資的資通系統之所屬機關(構)。
(2)負責維運臺灣學術網路(TANet)區域網路中心之學校。
(3)承接本部資通系統開發維運相關委辦計畫者。
(4)未完成資安應辦事項或執行情形不佳者。
二、本部所管特定非公務機關
(一)範圍為本部各單位轄管之財團法人(共 9 間)。
(二)實地查核每年擇定 1 間。
(三)遴選原則
1、依資通安全管理法規定,本部應辦理稽核者。
2、資通安全責任等級:屬 A、B 級者。 3
3、資通安全事件發生之頻率與程度:本年或近 1 年曾發生 2 級以上 資通安全事件者。
4、資通安全演練之成果:近 1 年本部辦理之相關資通安全演練成果 不佳者。
5、歷年受行政院或本部稽核之頻率與結果:近 3 年未曾接受行政院 或本部實地稽核,或其稽核結果建議持續關注協助者。
6、其他與資通安全相關之因素: (1)承接本部資通系統開發維運相關委辦計畫者。 (2)未完成資安應辦事項或執行情形不佳者。
三、專案實地稽核 考量近期國內、外資通安全事件頻繁發生,造成機關之機敏資料外 洩、資料遺失、系統服務中斷等重大衝擊,為協助機關重要業務相關資 通系統或服務發掘潛在資安風險,得視情況另籌組稽核團隊辦理專案實 地稽核。
四、書面查核 除已實地查核者,得另辦理機關資通安全維護計畫實施情形之書面 查核,頻率為 2 年 1 次。
五、稽核分組如下:
(一)第 1 組:本部所屬公務機關之重點稽核對象。
(二)第 2 組:第 1 組以外之受稽核對象。