社交工程演练作业-长庚科技大学.DOC

106年度臺灣學術網路 防範惡意電子郵件社交工程演練服務計畫 106年4月 目的 　　為提高教育體系各學校人員警覺性以降低社交工程攻擊風險，特訂定本計畫，舉辦相關資安教育訓練與宣導、規劃辦理演練服務作業，以強化人員資安意識並檢驗機關宣導社交工程)。 2. 本部進行第1次集中演練：4-6月。 3. 納入本部演練單位針對開啟惡意郵件或點閱惡意郵件附件內容人員，進行加強宣導：8 ~ 9月上旬。 4. 本部進行第2次集中演練：7-9月。 社交工程郵件型態 由本部資訊及科技教育司以偽冒公務、個人或公司行號等名義發送惡意郵件給演練對象，郵件主題分為政治、公務、健康養生、旅遊等類型，郵件內容包含連結網址或word附檔。 當各單位收件人開啟郵件或點閱郵件所附連結或檔案時，即留下紀錄，俾利進行後續各單位惡意郵件開啟率及惡意連結(或檔案)點擊率之統計。 評量標準 各單位之惡意郵件開啟率及惡意連結(或檔案)點擊率計算方式如下： 惡意郵件開啟率： 開啟惡意郵件之人數 / 機關受測人數。 惡意連結(或檔案)點擊率： 點閱惡意郵件所附連結或檔案之人數 / 機關受測人數。 各單位之惡意郵件開啟率應低於10%以下；惡意連結(或檔案)點擊率應低於6%以下。 演練結果： 預定於6月及10月，由本部資訊及科技教育司彙整演練報告，陳報行政院資通安全處，並選取成績優良單位及待改善單位。 演練成績優良單位，將依權責辦理相關人員敘獎事宜。 三、演練成績待改善單位，提報後續改善計畫，並列為後續本部資安輔訪對象。  附件1：政府機關（構）資訊安全責任等級分級 作業 名稱 等級 資訊系統分類分級 ISMS推動作業 資安專責人力 稽核方式 業務持續運作演練 防護縱深 監控管理 安全性檢測 資安教育訓練(一般主管、資訊人員/資安人員、一般使用者 專業證照 A級 (104年底前) 2.完成資訊系統資安防護基準要求(105年底前) 1.全部核心資訊系統完成ISMS導入(105年底前) 2.全部核心資訊系統通過第三方驗證(106年底前) 指派資安專責人力2人 每年至少2次內稽 每年至少辦理 1 次核心資訊系統持續運作演練 1.防毒、防火牆、郵件過濾裝置 2.IDS/IPS、Web應用程式防火牆 3.APT 攻擊防禦 SOC監控(104年底前) 1.每年至少辦理 2次網站安全弱點檢測 2.每年至少辦理 1 次系統滲透測試 3.每年至少辦理 1 次資安健診 1.每年資安人員(資訊人員)至少2人次須接受12小時以上資安專業課程訓練或資安職能訓練 2.每年一般使用者與主管至少須接受3小時資安宣導課程並通過課程評量 每年維持至少2張國際資安專業證照與2張資安職能訓練證書之有效性 B級 2.完成資訊系統資安防護基準要求(105年底前) 1.至少2項核心資訊系統完成ISMS導入(106年底前) 2.至少2項核心資訊系統通過第三方驗證(107年底前) 指派資安專責人力1人 每年至少1次內稽 每2年至少辦理 1 次核心資訊系統持續運作演練 1.防毒、防火牆、郵件過濾裝置 2. IDS/IPS 3. Web應用程式防火牆(機關具有對外服務之核心資訊系統) SOC監控 (105年底前) 1.每年至少辦理 1 次網站安全弱點檢測 2.每2年至少辦理 1 次系統滲透測試 3.每2年至少辦理 1 次資安健診 1.每年資安人員(資訊人員)至少1人次須接受12小時以上資安專業課程訓練或資安職能訓練 2.每年一般使用者與主管至少須接受3小時資安宣導課程並通過課程評量 每年維持至少1張國際資安專業證照與1張資安職能訓練證書之有效性 C級 自行成立推動小組規劃作業 依各主管機關規定 依各主管機關規定 依各主管機關規定 1.防毒 2.防火牆 3.郵件過濾裝置(機關具有郵件伺服器) 依各主管機關規定 依各主管機關規定 1.依各主管機關規定資安人員(資訊人員)資安專業課程訓練或資安職能訓練要求 2.每年一般使用者與主管至少須接受3小時資安宣導課程並通過課程評量 依各主管機關規定  附件2：受測人員電子郵件帳號列表 教育部106年度臺灣學術網路防範惡意電子郵件社交工程演練 機關名稱：　　　　　　　　　　 機關編制內行政人員（含約、聘僱、及技工友，不含工讀生）共　　員 編號 電子郵件帳號 單位名稱 姓名 職稱 備考 1 xxx@ 校長室 王O明 校長 範例 2 oxo@ 副校長室 李O國 副校長 範例 3 xox@ 總務室 趙O蘭 一級主管 範例 4 Xx0@ 會計處 陳O麗 專員 範例 註： 演練人員資料涉及個資之部分，由各單位自行評估去識別化之方式，以各單位可分別實際人員為原則既可。 資料請依格式上傳，未依格式製作致無法演練單位不予計分，表格不足使用