106 年政府机关（构）资通安全稽核作业 共同发现事项及建议.PDFVIP

106 年政府機關(構)資通安全稽核作業 共同發現事項及建議 106 年稽核結果共同發現事項及建議分成策略面、管理面及技術 面 等項，分別說明如下： 一、策略面 (一)推動組織 1 、說明：資安推動組織成員大多為資訊單位，業務部門較少 參與 ，致使相關資安政策要求與控制措施未能落實 推行。 2 、建議：建議各機關之資安推動組織，宜整體考量資安業務 之推動，由各業務部門主管組成，訂定適當之資安 管理指標，制定有效量測方式，透過定期召開推動 會議，追蹤與檢討相關控 制措施的適切性及有效 性。 (二)導入資訊安全管理系統 (ISMS範圍) 1 、說明：部分機關取得第三方驗證後，未能持續 維護有效性 ISMS ，或已導入ISMS ，惟未以核心資訊系統為優先 導入範圍。 2 、建議：應依照「政府機關(構)資通安全責任等級分級作業 規定」應辦事項之要求執行 ISMS推動作業，詳實識 別資訊系統之安全等級，並針對安全等級為高之資 訊系統，優先導入 ISMS 。 (三)營運持續管理 1 、說明：資訊系統分級鑑別結果、營運衝擊分析、營運持 續計畫演練或驗證範圍等各項作業之間無關聯 性。 2 、建議：機關應落實與檢視資訊系統分級作業，釐定機關 之資訊系統安全等級，進而進行營運衝擊分析與訂 定復原點目標(RPO)、復原時間目標 (RTO) ，確實反 應真實需求，並列出影響營運持續的因素，包括： 設備、人力、環境、資料及支援系統等，擬定相關 資源之營運持續計畫並進行演練作業，以掌握機關 之核心業務在各種狀態下仍可持續運行 。 1 二、管理面 (一)個資盤點 1 、說明： 對於個資盤點內容尚缺周延、且個資保護管理規範 與落實度尚待加強 。 2 、建議：建議個人資料以作業流程面向進行盤點，詳細識別 個資蒐集之法令依據、保存年限及生命週期 ;且應 依照「個人資料保護法」及「個人資料保護參考指 引」之要求，訂定個資保護管理規範、設立個資保 護推動組織，並將個資保護推動情形納入內部稽核 範圍，定期檢視資源配置、落實狀況、並追蹤缺失 改善情 形。 (二風險管理) 1 、說明：資訊系統分級未確實進行衝擊影響評估，部分資訊 系統之安全等級被低估，致未能選取適切之資安防 護基準 。 2 、建議：各機關應詳實盤點資訊系統，遵循「資訊系統分級 與資安防護基準作業規定」，由業務承辦人評估各 資訊系統之影響衝擊，再由承辦單位主管檢視業務 承辦人所設定安全等級之合理性，最後由資訊安全 長核定。 (三)人力資源 1 、說明： 機