社交工程演练作业-ntuedu.DOC

103年度臺灣學術網路 防範惡意電子郵件社交工程演練服務計畫 103年4月 目的 　　為提高教育體系各學校人員警覺性以降低社交工程攻擊風險，特訂定本計畫，舉辦相關資安教育訓練與宣導、規劃辦理演練服務作業，以強化人員資安意識並檢驗機關宣導社交工程203.74.210.113，請各單位資安人員協助豁免該IP的可能的連線阻擋，以利統計。 由本部資訊及科技教育司以偽冒公務、個人或公司行號等名義發送惡意郵件的內容請參閱教育部本部103年3月份郵件樣版，請各單位資安人員協助暫時豁免內容相關主題的垃圾郵件過濾處理。 自行辦理演練者參照本部作法規劃社交工程郵件型態。 評量標準 各單位之惡意郵件開啟率及惡意連結(或檔案)點擊率計算方式如下： 惡意郵件開啟率： 開啟惡意郵件之人數 / 機關提報人數。 惡意連結(或檔案)點擊率： 點閱惡意郵件所附連結或檔案之人數 / 機關提報人數。 各單位之惡意郵件開啟率應低於10%以下；惡意連結(或檔案)點擊率應低於6%以下。 自行辦理演練者於演練結束後，將演練結果（範例如附件4,EXCEL檔）分別於103年6月上旬及9月底前函送本部彙整辦理評量。 演練結果： 預定於6月及10月，由本部資訊及科技教育司彙整演練報告，陳報行政院資通安全辦公室，並選取成績優良單位及待改善單位。 演練成績優良單位，將依權責辦理相關人員敘獎事宜。  附件1：政府機關（構）資訊安全責任等級分級 作業名稱 等級防護縱深 ISMS推動作業 稽核方式 資安教育訓練一般主管、資訊人員、資安人員、一般使用者 專業證照 檢測機關網站安全弱點 A級 NSOC直接防護/ SOC自建或委外、IDS、防火牆、防毒、郵件過濾裝置 通過第三者驗証 每年至少2次內稽 每年至少3、6、18、3小時維持2張資安專業證照 每年2次 B級 SOC選項、IDS、防火牆、防毒、郵件過濾裝置 通過第三者驗証 每年至少1次內稽 每年至少3、6、16、3小時維持1張資安專業證照 每年1次 C級 防火牆、防毒、郵件過濾裝置 自行成立推動小組規劃作業 自我檢視 每年至少2、6、12、3小時資安專業訓練 每年1次 D級 防火牆、防毒、郵件過濾裝置 推動ISMS觀念宣導 自我檢視 每年至少1、4、8、2小時資安專業訓練 每年1次  附件2：受測人員電子郵件帳號列表 教育部103年度臺灣學術網路防範惡意電子郵件社交工程演練 機關名稱：　　　　　　　　　　 機關編制內行政人員（含約、聘僱、及技工友，不含工讀生）共　　員 編號 職稱 姓名 電子郵件帳號 備考 註： 資料請依格式上傳，未依格式製作致無法演練單位不予計分，表格不足使用請依格式製作。 為利演練計畫進行，本表格收集之資訊為各機關公務使用之公開郵件帳號及姓名，相關資料將在演練計畫完成後3個月內銷毀。 教育部防範惡意電子郵件社交工程演練服務計畫 第5頁，共5頁