社交工程演练作业.DOCVIP

107年度臺灣學術網路防範惡意電子郵件社交工程演練服務計畫 第PAGE 1頁，共 NUMPAGES 7頁 107年度臺灣學術網路防範惡意電子郵件社交工程演練服務計畫 107年4月 目的 　　為提高教育體系各學校人員警覺性以降低社交工程攻擊風險，特訂定本計畫，舉辦相關資安教育訓練與宣導、規劃辦理演練服務作業，以強化人員資安意識並檢驗機關宣導社交工程防制成效。 對象 　　依「政府機關（構）資通安全責任等級分級作業規定」(如附件1)，辦理對象如下： 一、資安等級A級單位－教育部(以下簡稱本部)、臺灣大學醫學院附設醫院、成功大學醫學院附設醫院、陽明大學醫學院附設醫院。 二、資安等級B級單位－臺灣學術網路(TANet)區網中心及縣（市）教育網路中心、各公私立大學、教育部各部屬機關(構)。 三、受測人員包括學校正、副校長（正、副首長）、一級主管及一般行政人員。 演練說明 演練方式 統一由本部集中辦理演練，每單位每次演練寄送100封郵件，其中正、副校長及一級主管寄送30封，一般行政人員寄送70封。 教育訓練 依105年6月23日行政院頒「國家資通安全通報應變作業綱要」辦理，各機關應按其資安等級，每年定期舉辦防範惡意電子郵件社交工程演練。 資安教育訓練應納入社交工程防制有關之認知宣導，並著重攻擊實例說明，各機關學校人員每年至少需接受1小時社交工程防制宣導講習。 宣導課程應分兩階段辦理： 第一階段（於演練作業辦理前）：各機關學校應針對單位所有一級主管、行政人員，全面性實施教育訓練。 第二階段（於演練作業完成後）：針對開啟惡意郵件比例較高、點閱惡意郵件所附連結或檔案之人員再次進行教育訓練加強宣導，以強化其警覺性。 演練時程 1. 提報演練名單：請於4月13日前提報受測人員之電子郵件帳號（如附件2），並標記正、副校長及一級主管，演練名單資料請直接以電子郵件方式寄送給教育部資科司 李紀緯先生(moe_infosec@.tw)。 2. 本部進行第1次集中演練：107年4月。 3. 納入本部演練單位針對開啟惡意郵件或點閱惡意郵件附件內容人員，進行加強宣導：自107年7月至107年 8月上旬。 4. 本部進行第2次集中演練： 107年 9月。 社交工程郵件型態 由本部資訊及科技教育司以偽冒公務、個人或公司行號等名義發送惡意郵件給演練對象，郵件主題分為政治、公務、健康養生、旅遊等類型，郵件內容包含連結網址或word附檔。 當各單位收件人開啟郵件或點閱郵件所附連結或檔案時，即留下紀錄，俾利進行後續各單位惡意郵件開啟率及惡意連結(或檔案)點擊率之統計。 由本部資訊及科技教育司以偽冒公務、個人或公司行號等名義發送惡意郵件的內容請參閱教育部本部107年4月份郵件樣版，請各單位資安人員協助暫時豁免內容相關主題的垃圾郵件過濾處理。 評量標準 各單位之惡意郵件開啟率及惡意連結(或檔案)點擊率計算方式如下： 惡意郵件開啟率： 信件透過預覽或點開方式開啟，且信件本文內所含圖片亦完成圖片下載之動作或開啟信件內文中之附檔，始認定為測試成功。 開啟惡意郵件之人數 / 機關提報人數。 惡意連結(或檔案)點擊率： 受測人員點選信件內文中之連結網址，將被記錄為測試成功。 點閱惡意郵件所附連結或檔案之人數 / 機關提報人數。 各單位之惡意郵件開啟率應低於10%以下；惡意連結(或檔案)點擊率應低於6%以下。 演練結果： 預定於6月及10月，由本部資訊及科技教育司彙整演練報告，陳報行政院資通安全辦公室，並選取成績優良單位及待改善單位。 演練成績優良單位，將依權責辦理相關人員敘獎事宜。 三、演練成績不良單位，提報後續改善作為，並列為後續本部資安輔訪對象。 附件1：政府機關（構）資訊安全責任等級分級 作業 名稱 等級 資訊系統分類分級 ISMS推動作業 資安專責人力 稽核方式 業務持續運作演練 防護縱深 監控管理 安全性檢測 資安教育訓練(一般主管、資訊人員/資安人員、一般使用者 專業證照 A級 1.完成資訊系統分級(104年底前) 2.完成資訊系統資安防護基準要求(105年底前) 1.全部核心資訊系統完成ISMS導入(105年底前) 2.全部核心資訊系統通過第三方驗證(106年底前) 指派資安專責人力2人 每年至少2次內稽 每年至少辦理 1 次核心資訊系統持續運作演練 1.防毒、防火牆、郵件過濾裝置 2.IDS/IPS、Web應用程式防火牆 3.APT 攻擊防禦 SOC監控(104年底前) 1.每年至少辦理 2次網站安全弱點檢測 2.每年至少辦理 1 次系統滲透測試 3.每年至少辦理 1 次資安健診 1.每年資安人員(資訊人員)至少2人次須接受12小時以上資安專業課程訓練或資安職能訓練 2.每年一般使用者與主管至少須接受3