tanet連線學(xué)校資通安全管理規(guī)范

教育體系資通安全管理規(guī)範(fàn)中華民國96年5月30日TOC\o"1-5"\h\z緣起 3簡介 3適用範(fàn)圍 3目標(biāo)期程 4引用標(biāo)準(zhǔn) 4、 關(guān)於適用性聲明(StatementofApplicability) 4用詞解釋 4關(guān)於資訊安全管理系統(tǒng)(ISMS)建置步驟 5關(guān)於資訊安全管理系統(tǒng)(ISMS)建置需求 6\o"CurrentDocument"附錄A控制目標(biāo)與控制措施 7\o"CurrentDocument"A.5資訊安全政策訂定與評(píng)估 8\o"CurrentDocument"A.6資訊安全組織 10\o"CurrentDocument"A.7資訊資產(chǎn)分類與管制 13\o"CurrentDocument"A.8人員安全管理與教育訓(xùn)練 15\o"CurrentDocument"A.9實(shí)體與環(huán)境安全 18\o"CurrentDocument"A.10通訊與作業(yè)安全管理 22\o"CurrentDocument"A.11存取控制安全 36\o"CurrentDocument"A.12系統(tǒng)開發(fā)與維護(hù)之安全 48\o"CurrentDocument"A.13資訊安全事件之反應(yīng)及處理 56\o"CurrentDocument"A.14業(yè)務(wù)永續(xù)運(yùn)作管理 58\o"CurrentDocument"A.15相關(guān)法規(guī)與施行單位政策之符合性 60\o"CurrentDocument"附錄B刪除之規(guī)範(fàn)與控制項(xiàng) 62壹、緣起網(wǎng)路的快速發(fā)展，改變了既有的業(yè)務(wù)處理模式，不單是業(yè)界，學(xué)校單位也感受到此股新興力量，許多行政工作藉由網(wǎng)路無遠(yuǎn)弗屆的特性，加速了程序的進(jìn)行，提升了整體的效率。然而，如同其他新興產(chǎn)業(yè)、領(lǐng)域碰到的問題ー樣，相關(guān)的法令制定、控制規(guī)範(fàn)，往往跟不上日新月異的變化，因此，不單只是產(chǎn)業(yè)界，其實(shí)學(xué)校單位對(duì)於通用性資通安全規(guī)範(fàn)的需求，早時(shí)有所聞。鑑於實(shí)務(wù)界已經(jīng)發(fā)展成熟的資安規(guī)範(fàn)，如CNS17799、ISPGuide73:2002、BS7799等，此時(shí)此刻，正是為各級(jí)學(xué)校單位量身訂作規(guī)範(fàn)的時(shí)機(jī)，如此才能確保各個(gè)行政程序的安全性。另外，考量到學(xué)校單位的重要性、急迫性以及可分配資源等因素，教育體系最適合進(jìn)行資通安全管理規(guī)範(fàn)的設(shè)計(jì)與施測(cè):所以，本規(guī)範(fàn)將以教育體系為對(duì)象，期能設(shè)計(jì)出最適合相關(guān)單位施行的管理規(guī)範(fàn)。貳、簡介本規(guī)範(fàn)之制定乃為提供教育體系及相關(guān)單位之管理階層、資訊業(yè)務(wù)人員及ー般教職人員ー套有效建置與管理資訊安全管理系統(tǒng)（InfbrmationSecurityManagementSystem,以下簡稱ISMS）模式;評(píng)估各單位資安管理上的需求、目標(biāo)、結(jié)果，並考量加入特有之作業(yè)程序、規(guī)模、架構(gòu)等因素，量身訂做出有別於業(yè)界所採用之ISMS規(guī)範(fàn)。為了讓施行資安管理單位能以花費(fèi)最低成本、人力等資源，採漸進(jìn)的方式逐步達(dá)成可行之規(guī)章條款，本規(guī)範(fàn)強(qiáng)調(diào)實(shí)行度與執(zhí)行效率，期望能將此資安規(guī)範(fàn)及相關(guān)之實(shí)施經(jīng)驗(yàn)推行到各單位，進(jìn)而強(qiáng)化TANet中各連線學(xué)校單位的資通安全。參、適用範(fàn)圍本標(biāo)準(zhǔn)適用於教育部電算中心、部屬館所、縣市網(wǎng)中心、大專院校以及高中職資訊管理單位等資訊業(yè)務(wù)相關(guān)單位（或其他管理單位認(rèn)為應(yīng)加入!SMS規(guī)範(fàn)範(fàn)圍之部門），針對(duì)「學(xué)術(shù)網(wǎng)路系統(tǒng)」以及「行政資訊系統(tǒng)」兩大業(yè)務(wù)範(fàn)疇，訂定教育體系所屬機(jī)關(guān)、學(xué)校資訊安全管理規(guī)範(fàn)，以提升資訊安全管理能力。有鑑於上述之單位，無論是層級(jí)、位置、規(guī)模有著不小的差異，為避免施行單位面對(duì)部分規(guī)範(fàn)窒礙難行的問題，本標(biāo)準(zhǔn)將適用單位分為二群，群組屬性為:一'第一群:本群適用單位以教育部電算中心、部屬館所、縣市網(wǎng)中心以及公私立大專院校（計(jì)網(wǎng)中心及校務(wù)行政）等為主;本群所屬單位之特性，適用之規(guī)範(fàn)須遵從較高的嚴(yán)謹(jǐn)度，除因規(guī)模較小或資源缺乏等限制得以轉(zhuǎn)換至第二群外，其他不得變更（除了原屬第二群之單位外）。二、第二群:本群適用單位以公私立高中職學(xué)校（資訊管理單位或因規(guī)模、資源肆、目標(biāo)期程本規(guī)範(fàn)的最終目標(biāo)，在於讓所有教育體系與相關(guān)單位，在有限的資源下，建置最為合適、有效的ISMS。有鑑於各單位在資訊業(yè)務(wù)管理上，受限於人カ、經(jīng)費(fèi)等各項(xiàng)資源，加上建置ISMS過程中須與相關(guān)單位以及管理階層多加協(xié)調(diào)溝通;因此，各單位在正式建置ISMS時(shí)，建議採階段式進(jìn)行，以三年為期自行設(shè)定合理的期程目標(biāo)，逐步達(dá)成每年度預(yù)定的進(jìn)程比例，而非耗盡內(nèi)部資源全力投入的模式;藉由如此的模式，在不過於影響單位運(yùn)作的情況下，成功建置合適的!SMS。伍、引用標(biāo)準(zhǔn)本規(guī)範(fàn)主要參考!SO/IEC27001:2005(E)ISMS規(guī)範(fàn)內(nèi)的條款，再依據(jù)教育體系與相關(guān)單位的特性及需求，設(shè)計(jì)出較為合適的標(biāo)準(zhǔn)，希冀能有效提升各單位的資通安全程度。下列本標(biāo)準(zhǔn)之參考文件:行政院及所屬各機(jī)關(guān)資訊安全管理規(guī)範(fàn)。ISO/IEC27001:2005(E)規(guī)範(fàn)。ISO/IEC17799:2005資訊技術(shù)一安全技術(shù)ー資訊安全管理之作業(yè)要點(diǎn)。CNS17799資訊技術(shù)ー資訊安全管理之作業(yè)要點(diǎn)。陸、關(guān)於適用性聲明(StatementofApplicability)本標(biāo)準(zhǔn)之設(shè)計(jì)為適用於教育體系與相關(guān)單位，但鑑於類型、規(guī)模、資源、業(yè)務(wù)性質(zhì)等因素，若本標(biāo)準(zhǔn)列出之任何條款無法適用於某單位時(shí)，可考慮予以排除，但必須在不影響該單位提供資訊安全能力與責(zé)任之情況下，並提出理由。在建置完該單位之ISMS後，必須提出符合的適用性聲明，其中應(yīng)包含選擇之控制目標(biāo)與控制措施項(xiàng)目與理由，以及排除條款之內(nèi)容、理由，作為稽核時(shí)的依據(jù)。柒、用詞解釋?資產(chǎn)(Asset)對(duì)組織有價(jià)値的任何事物。[CNSJISO/IEC13335-1:2004)]可用性(Availability)經(jīng)授權(quán)個(gè)體因應(yīng)需求之可存取及可使用的性質(zhì)。[CNSJISO/IEC13335-1:2004)]機(jī)密性(Confidentiality)使資訊不可用或不揭露給未經(jīng)授權(quán)之個(gè)人、個(gè)體或過程的性質(zhì)。[CNS_(ISO/IEC13335-1:2004)]資訊安全(InfbrmationSecurity)保存資訊的機(jī)密性、完整性及可用性。[CNS17799:2002]資訊安全事件(InfbrmationSecurityEvent)系統(tǒng)'服務(wù)或網(wǎng)路發(fā)生一個(gè)以識(shí)別的狀態(tài)，其指示可能的資訊安全政策違例或保護(hù)措施失效，或是可能與安全相關(guān)而先前未知的狀況等。[CNSJISO/IECTR18044:2004)]資訊安全管理系統(tǒng)(InfbrmationSecurityManagementSystem,ISMS)整體管理系統(tǒng)的一部分，以營運(yùn)風(fēng)險(xiǎn)導(dǎo)向(作法)為基礎(chǔ)，用以建立、實(shí)作、運(yùn)作、監(jiān)視、審查、維持及改進(jìn)資訊安全。備考:管理系統(tǒng)包括組織架構(gòu)、政策、規(guī)劃活動(dòng)、職責(zé)、實(shí)務(wù)，程序、過程及資源。[CNS17800:2002]完整性(Integrity)保護(hù)資產(chǎn)的準(zhǔn)確度(Accuracy)和完全性(Completeness)的性質(zhì)。[CNS_(ISO/IECTR18044:2004)]風(fēng)險(xiǎn)評(píng)估(RiskEvaluation)把估計(jì)的風(fēng)險(xiǎn)和已知的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較的過程，以決定風(fēng)險(xiǎn)的顯著性。[CNS14889]適用性聲明(StatementofApplicability)描述與組織之ISMS相關(guān)且對(duì)其適用之各項(xiàng)控制目標(biāo)與控制措施的已文件化聲明。[CNS17800:2002]捌、關(guān)於資訊安全管理系統(tǒng)(ISMS)建置步驟本標(biāo)準(zhǔn)在於協(xié)助施行單位開發(fā)、實(shí)施、維護(hù)及持續(xù)改進(jìn)一完善之ISMS，其可分為以下幾個(gè)步驟:三、1SMS之建立：依據(jù)該單位之類型、規(guī)模、資源、業(yè)務(wù)性質(zhì)等特性，定義ISMS之範(fàn)圍;考慮相關(guān)法律、法規(guī)以及合約之要求，於適度評(píng)估風(fēng)險(xiǎn)及應(yīng)對(duì)措施後，訂出經(jīng)由管理階層核準(zhǔn)之ISMS政策，並擬定一份適用性聲明書文件。四、ISMS之實(shí)施與操作:施行單位應(yīng)確實(shí)實(shí)施控制措施，以符合控管的目標(biāo)，並執(zhí)行訓(xùn)練與認(rèn)知計(jì)畫，確保偵測(cè)安全事件的能力，以及迅速回應(yīng)和應(yīng)對(duì)處理的時(shí)效。五、ISMS之監(jiān)控及審查:施行單位應(yīng)針對(duì)ISMS進(jìn)行監(jiān)控程序與其他控制措施，即時(shí)鑑別資安事件的發(fā)生、處理順序與解決方法;定期審查!SMS之有效性（建議一學(xué)年至少一次），並將相關(guān)有顯著影響之活動(dòng)與事件記錄下來。六、ISMS之維持及改進(jìn):施行單位應(yīng)定期實(shí)行改進(jìn)活動(dòng)，採取適當(dāng)?shù)某C正與預(yù)防措施，並得到管理階層之同意，並確保各項(xiàng)措施達(dá)到預(yù)期目標(biāo)。玖、關(guān)於資訊安全管理系統(tǒng)（ISMS）建置需求七、文件要求:關(guān)於ISMS文件化（電子檔案或紙本），必須包含安全政策、安全目標(biāo)、ISMS範(fàn)圍、適用性聲明、資安事件記錄以及其他有助於提升!SMS成效之文件;上述之文件需接受保護(hù)與管制，並定期的審查及更新，確保文件之最新版本;任何過其文件需保留或銷毀，應(yīng)予以適當(dāng)?shù)蔫a別。ハ、管理階層責(zé)任:施行單位之管理階層，最爲(wèi)重要的是給予承諾及實(shí)際的支持，並適度的提供資源以助ISMS程序的進(jìn)行，必要時(shí)審查!SMS的控制措施與有效性;另外，確保於ISMS範(fàn)圍內(nèi)之員エ，具備足夠之能力及認(rèn)知，並定期進(jìn)行教育訓(xùn)練。九、管理階層審查:管理階層應(yīng)在規(guī)劃期間內(nèi)，審查該單位的ISMS與適用範(fàn)圍，確保其持續(xù)的適用性、適切性及有效性;其中應(yīng)審查包含變更需求與改進(jìn)時(shí)機(jī)，並將其結(jié)果確實(shí)文件化。十、ISMS之改進(jìn):ISMS的改進(jìn)是持續(xù)的，必須藉由各資安事件與審查結(jié)果，做出適度的反應(yīng)與改進(jìn)，持續(xù)系統(tǒng)之有效性;另外，對(duì)應(yīng)的矯正措施以及防範(fàn)未然的預(yù)防措施，亦須予以制定並文件化。上述捌、玖兩節(jié)的規(guī)範(fàn)，施行單位必須確實(shí)執(zhí)行，不得因任合因素而有所簡化，甚至避免，並將其中過程適度文件化，留存紀(jì)錄待查，如此オ得由教育部宣告該施行單位之!SMS符合本標(biāo)準(zhǔn)規(guī)範(fàn)。附錄A控制目標(biāo)與控制措施本標(biāo)準(zhǔn)列出之控制目標(biāo)及控制措施乃參考ISO17799:2005第A.5至A.15和行政院及所屬各機(jī)關(guān)資訊安全管理規(guī)範(fàn)中列出之項(xiàng)目，另並依據(jù)教育體系與相關(guān)單位既有之屬性與特點(diǎn)，保留符合各層級(jí)單位之項(xiàng)目。各單位應(yīng)考量自身的需求與特性，考慮增加其他必要之控制目標(biāo)及控制措施。相關(guān)的條款針對(duì)其適用對(duì)象，除ー體適用不予標(biāo)註的項(xiàng)目外，將加以註記較適用於第一群之說明，避免歸屬第二群之單位於施行上的困難（但爲(wèi)避免此「建議適用」造成資安威脅的挑戰(zhàn)，第二群單位仍需考量該適用第一群條款之納入必要性）;另外，針對(duì)連線單位的「學(xué)術(shù)網(wǎng)路系統(tǒng)」及「行政資訊系統(tǒng)」，亦將註記該條款適用的系統(tǒng)，若無加註的部份，爲(wèi)兩套系統(tǒng)需遵守之項(xiàng)目。A.5資訊安全政策訂定與評(píng)估所謂的資訊安全政策，代表著管理階層的決心以及其對(duì)於單位推動(dòng)資訊安全的支持，除了制定資訊安全政策以貫徹致單位上下外，不斷的評(píng)估、檢視已制定資安政策的合適性與否，也是重要的部份;本章節(jié)的重點(diǎn)，在於管理階層的態(tài)度表示，雖不至於各項(xiàng)細(xì)節(jié)皆事必躬親，然而大方針的規(guī)劃與制定，將能讓所有的員エ體認(rèn)管理者的投入，以及對(duì)於單位資訊安全重要性的了解。本章節(jié)主要的內(nèi)容可參照下表:IS027001:2005(E)A.5資訊安全政策訂定與評(píng)估A.5控制目標(biāo)A.5.1資訊安全政策訂定與評(píng)估A.5.1控制項(xiàng)A.5.1.1資訊安全政策制定資訊安全政策應(yīng)參考資安相關(guān)法令及施行單位業(yè)務(wù)上的需求，並經(jīng)由管理階層核準(zhǔn)，以適當(dāng)方式向所有員エ公佈與宣導(dǎo)，在必要時(shí)告知相關(guān)單位及合作廠商，以利共同遵守。A.5.1.1A.5.1.2資訊安全政策評(píng)估面對(duì)資安事件的發(fā)生、資安相關(guān)法令與其他影響因素的改變時(shí)，資訊安全政策應(yīng)進(jìn)行即時(shí)的評(píng)估，並定期審查政策的可行性與有效性。A.5.1.2(一)資訊安全政策訂定與評(píng)估(A.5.1)1.資訊安全政策制定(A.5.L1)資訊安全政策應(yīng)參考資安相關(guān)法令及施行單位業(yè)務(wù)上的需求，並經(jīng)由管理階層核準(zhǔn)，以適當(dāng)方式向所有員エ公佈與宣導(dǎo)，在必要時(shí)告知相關(guān)單位及合作廠商，以利共同遵守。施行單位制定資訊安全政策，應(yīng)說明管理階層的承諾及該單位管理資訊安全的方法，應(yīng)涵括下列事項(xiàng):(1)資訊安全之定義、整體目標(biāo)、範(fàn)圍，及進(jìn)行資訊共享時(shí)，其安全機(jī)制的重要性。(2)資訊安全政策應(yīng)包含法令及契約對(duì)施行單位資訊安全的要求與規(guī)定。(3)資訊安全政策應(yīng)包含資訊安全教育及訓(xùn)練的要求。(4)資訊安全政策應(yīng)包含業(yè)務(wù)永續(xù)運(yùn)作規(guī)劃之政策。(5)員エ在資訊安全上應(yīng)負(fù)的一般及特定之資訊安全責(zé)任，包括資(6)發(fā)生資安事件之通報(bào)作業(yè)程序、規(guī)定及說明。(7)施行單位資安政策及規(guī)範(fàn)人員資安角色與責(zé)任的相關(guān)規(guī)定，應(yīng)載明於人員工作說明書或相關(guān)作業(yè)手冊(cè)中。(8)施行單位員工如違反資安相關(guān)規(guī)定，應(yīng)依紀(jì)律程序處理。(9)支援此一政策所需的參考文件，例如針對(duì)特定資訊系統(tǒng)的詳盡安全政策和程序或使用者應(yīng)遵守的安全規(guī)則。(1〇)資訊安全政策應(yīng)為一般政策文件的一部份，若此文件會(huì)被分送至組織以外的地方，必須小心敏感性文件是否外洩。2.資訊安全政策評(píng)估(A.5.1.2)面對(duì)資安事件的發(fā)生、資安相關(guān)法令與其他影響因素的改變時(shí)，資訊安全政策應(yīng)進(jìn)行即時(shí)的評(píng)估，並定期審查政策的可行性與有效性。施行單位應(yīng)評(píng)估資訊安全政策，應(yīng)涵括下列事項(xiàng):(1)資訊安全評(píng)估對(duì)象應(yīng)包含資訊設(shè)備及系統(tǒng)提供者、資訊及資料擁有者、使用者、管理者、系統(tǒng)維護(hù)者與其他相關(guān)人員。(2)資訊系統(tǒng)管理者應(yīng)配合定期(建議一學(xué)期一次)資安評(píng)估作業(yè)，檢討相關(guān)人員是否遵守施行單位之資安政策、規(guī)範(fàn)與其他規(guī)定。(3)應(yīng)定期(建議一學(xué)期一次)檢討評(píng)估各項(xiàng)軟、硬體設(shè)備的安全性，確保其符合施行單位的安全標(biāo)準(zhǔn)。(4)審查輸入事項(xiàng)建議包括:a,利害關(guān)係方的反應(yīng)b.客觀第三者審查的結(jié)果c.預(yù)防措施及改進(jìn)對(duì)策狀態(tài)d.前次評(píng)估的結(jié)果e,資訊安全政策遵行及執(zhí)行效果f.影響組織管理資訊安全的改變，包括組織環(huán)境'營運(yùn)事項(xiàng)、可用資源、合約、法規(guī)及技術(shù)等改變g.威脅、弱點(diǎn)的新趨勢(shì)。h.已回報(bào)的安全事件。i.相關(guān)權(quán)責(zé)單位提供的建議。(例如消防單位)(5)安全評(píng)估可視需求委由內(nèi)部或外界專業(yè)人員進(jìn)行，以人工或自動(dòng)化軟體工具方式執(zhí)行，產(chǎn)生技術(shù)評(píng)估報(bào)告，供日後解讀分析。審查產(chǎn)出結(jié)果建議包括下列相關(guān)的決定及對(duì)策:a.組織資訊安全管理方法及程序的改善。b.控制目標(biāo)及安控措施的改善。c.資源及責(zé)任分配的改進(jìn)。(6)評(píng)估應(yīng)記錄備查。(7)修訂過的政策應(yīng)獲得管理階層的批準(zhǔn)。A.6資訊安全組織在組織資安政策建立完成後，執(zhí)行組織因應(yīng)而生，為的是各項(xiàng)既定政策的落實(shí)及推動(dòng);因此，組織推動(dòng)資訊安全施行單位應(yīng)指定適當(dāng)權(quán)責(zé)之高層主管人員（類似資訊長的角色），代表學(xué)校或單位落實(shí)資訊安全的決心，負(fù)責(zé)推動(dòng)資訊安全組織，召開資安會(huì)報(bào)、訂定權(quán)責(zé)分屬、主導(dǎo)評(píng)估建置等相關(guān)活動(dòng)，除了解各項(xiàng)需求外，籌備必要資源，確保資安措施正常運(yùn)作，建立起一完善、安全之環(huán)境，降低組織資安威脅的機(jī)率。本章節(jié)主要的內(nèi)容可參照下表:IS027001:2005(E)A.6資訊安全組織A.6控制目標(biāo)A.6.1資訊安全組織推動(dòng)與權(quán)責(zé)A.6.1控制項(xiàng)A.6.1.1資訊安全組織推動(dòng)以及權(quán)責(zé)之分配由管理階層舉辦定期之資訊安全會(huì)報(bào)，召集相關(guān)單位代表進(jìn)行工作與責(zé)任的分屬，確保資安相關(guān)計(jì)畫的進(jìn)行，並展現(xiàn)管理階層的支持。A.6.1.1A.6.1.2A.6.1.3A.6.1.2資訊設(shè)施使用之授權(quán)資訊處理設(shè)備的移轉(zhuǎn)（包含新設(shè)備），應(yīng)由權(quán)責(zé)主管人員進(jìn)行授權(quán)、移交的程序，確保該設(shè)備後續(xù)的順利運(yùn)作以及責(zé)任所屬。A.6.1.4A.6.1.3保密條款之簽訂施行單位之員工（包含正職員エ、臨時(shí)雇員）應(yīng)簽署獨(dú)立或包含保密條款之合約，確保其了解應(yīng)有之資安責(zé)任與相關(guān)限制。A.6.1.5A.8.1.3A.6.1.4跨單位合作及協(xié)調(diào)為確保資訊安全作業(yè)的順利運(yùn)行，需與執(zhí)法機(jī)關(guān)、主管機(jī)構(gòu)，資訊服務(wù)廠商及電信公司建立適當(dāng)?shù)臏贤ü艿?。A.6.1.6A.6.1.5資訊安全諮詢與顧問在必要時(shí)，須向單位內(nèi)部專業(yè)人員或外部專業(yè)諮詢?nèi)藛T徵詢、協(xié)調(diào)資訊安全建議。A.6.1.7A.6.1.6資訊安全政策的獨(dú)立檢視機(jī)關(guān)制訂之資訊安全政策，應(yīng)進(jìn)行獨(dú)立及客觀的評(píng)估。A.6.1.8控制目標(biāo)A.6.2施行單位外部人員存取安全管理A.6.2控A.6.2.1施行單位面對(duì)外部人員存取施行單位資訊處理設(shè)施的A.6.2.1制項(xiàng)外部人員存取之安全掌控可能風(fēng)險(xiǎn)，應(yīng)視狀況採取適當(dāng)?shù)陌踩刂拼胧?，並條列安全規(guī)定於正式合約中。A.6.2.2A.6.2.3(-)資訊安全組織推動(dòng)與權(quán)責(zé)(A.6.1).資訊安全組織推動(dòng)以及權(quán)責(zé)之分配(A.6.1.1)由管理階層舉濟(jì)定期之資訊安全會(huì)報(bào)，召集相關(guān)單位代表進(jìn)行工作與責(zé)任的分屬，確保資安相關(guān)計(jì)畫的進(jìn)行，並展現(xiàn)管理階層的支持。定期(建議一學(xué)期一次)召開之資訊安全會(huì)報(bào)權(quán)責(zé)應(yīng)包含:(1)訂定資訊安全角色與資訊安全管理權(quán)責(zé)分エ，賦予相關(guān)人員應(yīng)有之安全權(quán)責(zé)，包含資安相關(guān)政策，計(jì)畫、措施、技術(shù)規(guī)範(fàn)、安全技術(shù)硏究、建置、評(píng)估，乃至使用管理、保護(hù)、資訊機(jī)密維護(hù)、稽核等，並以書面或其他方式記錄留存。(2)確保安全活動(dòng)符合資訊安全政策。(3)資訊安全教育訓(xùn)練及認(rèn)知之提昇。(4)評(píng)估資訊安全事件審查及監(jiān)視的結(jié)果，並針對(duì)資訊安全事件提出適當(dāng)?shù)男袆?dòng)方案。.資訊設(shè)施使用之授權(quán)(A.6.1.2)資訊處理設(shè)備的移轉(zhuǎn)(包含新設(shè)備)，應(yīng)由權(quán)責(zé)主管人員進(jìn)行授權(quán)、移交的程序，確保該設(shè)備後續(xù)的順利運(yùn)作以及責(zé)任所屬。在資訊處理設(shè)備的移轉(zhuǎn)、授權(quán)部分，應(yīng)確保:(1)在業(yè)務(wù)以及技術(shù)上皆通過權(quán)責(zé)人員的安全評(píng)估，並經(jīng)主管核準(zhǔn)，オ得以授權(quán)使用。(2)需進(jìn)行評(píng)估以及授權(quán)工作場(chǎng)所使用個(gè)(私)人資訊處理設(shè)施，例如:筆記型電腦、PDA等設(shè)備，避免可能造成的新弱點(diǎn)。.保密條款之簽訂(A.6.1.3)施行單位之員工(包含正職員エ'臨時(shí)雇員)應(yīng)簽署獨(dú)立或包含保密條款之合約，確保其了解應(yīng)有之資安責(zé)任與相關(guān)限制。有關(guān)保密條款之簽訂:(1)施行單位之員エ應(yīng)簽署相關(guān)之保密合約，確保其了解應(yīng)有之資安責(zé)任以及相關(guān)限制條件。(2)當(dāng)該職掌人員因故有所變更時(shí)，可視需求重新檢視保密條款之適切性。.跨單位合作及協(xié)調(diào)(A.6.1.4)爲(wèi)確保資訊安全作業(yè)的順利運(yùn)行，需與執(zhí)法機(jī)關(guān)、主管機(jī)構(gòu)、資訊服務(wù)廠商及電信公司建立適當(dāng)?shù)臏贤ü艿?。在跨機(jī)關(guān)的合作與協(xié)調(diào)上，應(yīng)達(dá)到:(1)與資安業(yè)務(wù)相關(guān)機(jī)關(guān)視需求建立與維護(hù)適當(dāng)?shù)幕?dòng)管道，以即(2)在與外部機(jī)關(guān)互動(dòng)交流時(shí)，應(yīng)予以適當(dāng)?shù)南拗?，防止敏感性資訊遭未經(jīng)授權(quán)之存取。.資訊安全諮詢與顧問(A.6.1.5)在必要時(shí)，須向單位內(nèi)部專業(yè)人員或外部專業(yè)諮詢?nèi)藛T徵詢、協(xié)調(diào)資訊安全建議。在資訊安全顧問及諮詢方面，應(yīng)考量:(1)施行單位資安人カ、能力和經(jīng)驗(yàn)不足情況下，得以委請(qǐng)內(nèi)部專業(yè)人員或外界專家學(xué)者提供顧問諮詢的服務(wù)。(2)對(duì)經(jīng)由委請(qǐng)之提供顧問諮詢服務(wù)的專家學(xué)者，相關(guān)單位及人員應(yīng)予以必要的協(xié)助及支援。.資訊安全政策的獨(dú)立檢視(A.6.1.6)機(jī)關(guān)制訂之資訊安全政策，應(yīng)進(jìn)行獨(dú)立及客觀的評(píng)估。在資安政策評(píng)估上，應(yīng)考量:1)反映政府資訊安全管理政策、法令、技術(shù)及機(jī)關(guān)業(yè)務(wù)之最新狀況，確保資訊安全之實(shí)務(wù)作業(yè)，確實(shí)遵守施行單位的資訊安全政策，並確保資訊安全實(shí)務(wù)作業(yè)的可行性及有效性。(二)施行單位外部人員存取安全管理(A.6.2).施行單位外部人員存取之安全掌控(A.621)面對(duì)外部人員存取施行單位資訊處理設(shè)施的可能風(fēng)險(xiǎn)，應(yīng)視狀況採取適當(dāng)?shù)陌踩刂拼胧?，並條列安全規(guī)定於正式合約中。關(guān)於外部人員存取的安全控制措施，應(yīng)包含:(1)評(píng)估存取風(fēng)險(xiǎn)，了解存取的資料類型、價(jià)値、安全措施與影響，並確保與外部人員建立協(xié)議，簽訂契約，オ得以進(jìn)行存取動(dòng)作。(2)外部人員存取之安全契約，應(yīng)條列資安規(guī)定、標(biāo)準(zhǔn)、必要連線條件、各項(xiàng)法律責(zé)任及限制、撤銷使用權(quán)利規(guī)定等供其遵守。(3)監(jiān)督、查核外部人員存取行為，建立控制其遵守相關(guān)規(guī)定之機(jī)制，必要時(shí)做出反應(yīng)並留存相關(guān)紀(jì)錄。(較適用於第一群)A.7資訊資產(chǎn)分類與管制施行單位內(nèi)有多少資訊資產(chǎn)?其資訊安全等級(jí)與分類為何?為確保施行單位資產(chǎn)獲得適切的保護(hù)，明確的資產(chǎn)分類與保護(hù)層級(jí)，將有助於資產(chǎn)保管的執(zhí)行效率，降低受危害的可能，勢(shì)必進(jìn)行徹底財(cái)產(chǎn)清點(diǎn)與分類;由於財(cái)產(chǎn)記錄在各學(xué)校單位已有職掌單位，為避免工作重疊的浪費(fèi)，可僅進(jìn)行補(bǔ)充加強(qiáng)的部份，擴(kuò)充既有的資訊資產(chǎn)清單，使其符合資安政策，降低可能的威脅及危險(xiǎn)。本章節(jié)主要的內(nèi)容可參照下表:IS027001:2005(E)A.7資訊資產(chǎn)分類與管制A.7控制 A.7.1 資訊資產(chǎn)分類與責(zé)任分屬A.7.1目標(biāo)A.7.2A.7.1.1資訊資產(chǎn) 應(yīng)製作所有資訊資產(chǎn)之清冊(cè)，並定期維護(hù)、A.7.1.1加 目錄建立更新。A.7.1.2制A.7.1.3謂A.7.1.2資訊安全 資訊資產(chǎn)應(yīng)進(jìn)行分級(jí)與標(biāo)示，並考量重要資A.7.2.1等級(jí)分類產(chǎn)的需求，於必要時(shí)制定保護(hù)措施及處理流A.7.2.2程。(一)資訊資產(chǎn)分類與責(zé)任分屬(A.7.1)1?資訊資產(chǎn)目錄建立(A.7.1.1)應(yīng)製作所有資訊資產(chǎn)之清冊(cè)，並定期維護(hù)、更新。資訊資產(chǎn)之清冊(cè)應(yīng)達(dá)到:(1)建立一份資訊資產(chǎn)目錄，訂定該資產(chǎn)之項(xiàng)目、擁有者及安全等級(jí)分類等，並定期維護(hù)與更新其內(nèi)容。(2)資訊資產(chǎn)參考項(xiàng)目如下:a.一般資產(chǎn):資料庫及資料檔案、系統(tǒng)文件、使用者手冊(cè)、訓(xùn)練教材、作業(yè)性及支援程序、業(yè)務(wù)永續(xù)運(yùn)作計(jì)畫、預(yù)備作業(yè)計(jì)畫等。b.軟體資產(chǎn):應(yīng)用軟體、系統(tǒng)軟體、發(fā)展工具及公用程式等。c.實(shí)體資產(chǎn):電腦及通訊設(shè)備、磁性媒體資料及其他技術(shù)設(shè)備。d.技術(shù)服務(wù)資產(chǎn):電腦及通信服務(wù)、其他技術(shù)性服務(wù)(電源及空調(diào))。(3)所有有關(guān)資訊系統(tǒng)或服務(wù)之資產(chǎn)應(yīng)指定專責(zé)單位保管，其職掌a.確定資訊及資產(chǎn)適當(dāng)?shù)胤诸?。b.定期審查存取限制及分類。(4)有關(guān)資訊系統(tǒng)或服務(wù)的資產(chǎn)，其可接受的使用方式應(yīng)該被確認(rèn)，並以書面或其他方式記錄後確實(shí)執(zhí)行。.資訊安全等級(jí)分類(A.7.L2)資訊資產(chǎn)應(yīng)進(jìn)行分級(jí)與標(biāo)示，並考量重要資產(chǎn)的需求，於必要時(shí)制定保護(hù)措施及處理流程。資訊資產(chǎn)分類原則，應(yīng)包含:(1)資訊安全之等級(jí)分類原則如下所示:a,應(yīng)建立資訊安全等級(jí)之分類標(biāo)準(zhǔn)，考量資訊分享及限制的影響、未經(jīng)授權(quán)的系統(tǒng)存取或是系統(tǒng)損害對(duì)機(jī)關(guān)業(yè)務(wù)的衝擊。b.機(jī)關(guān)資訊安全分類，依據(jù)國家機(jī)密保護(hù)、電腦處理個(gè)人資料保護(hù)及政府資訊公開等相關(guān)法規(guī)，將區(qū)分為機(jī)密性、敏感性及一般性等三類。c.界訂資安等級(jí)之責(zé)任，應(yīng)由資料的原始產(chǎn)生者或是由指定的系統(tǒng)所有者負(fù)責(zé)。d,當(dāng)須執(zhí)行或參考其他單位訂定之資安等級(jí)分類時(shí)，應(yīng)特別注意其與本機(jī)關(guān)的資訊安全等級(jí)分類，在定義及標(biāo)準(zhǔn)上是否相同。(2)應(yīng)納入安全等級(jí)分類之項(xiàng)目，包括書面報(bào)告、磁性媒體、電子訊息及檔案資料等，並標(biāo)示適當(dāng)?shù)陌踩燃?jí)以利使用者遵循。

A.8人員安全管理與教育訓(xùn)練再怎麼嚴(yán)密完整的政策與控制措施，缺乏觀念正確、訓(xùn)練有素的執(zhí)掌人員執(zhí)行，亦是惘然。因此，施行單位所屬相關(guān)人員需針對(duì)其擔(dān)負(fù)的資安責(zé)任，進(jìn)行管理與教育訓(xùn)練，透過定期的課程訓(xùn)練，確保其在職位上能執(zhí)行各項(xiàng)相關(guān)資安措施，降低可能的資安風(fēng)險(xiǎn)。本章節(jié)主要的內(nèi)容可參照下表:IS027001:2005(E)A.8人員安全管理與教育訓(xùn)練A.8控制目標(biāo)A.8.1聘任前之處理A.8.1控制項(xiàng)A.8.1.1所屬角色與責(zé)任施行單位之員エ、廠商及第三方使用者的資訊安全角色及責(zé)任應(yīng)適需求以書面或其他方式清楚定義，並與資訊安全政策一致。A.8.1.1控制目標(biāo)A.8.2聘用中之處理A.8.2控制項(xiàng)A.8.2.1資訊安全教育訓(xùn)練施行單位內(nèi)所有員エ、合作廠商與第三方使用者應(yīng)接受適當(dāng)之資安訓(xùn)練與有關(guān)資安政策、程序之宣導(dǎo)課程。A.8.2.2A.8.2.2違反規(guī)定之處理依據(jù)既定之條款或合約，違反施行單位之資訊安全政策與程序之人員，應(yīng)予以適當(dāng)之懲罰處理。A.8.2.3控制目標(biāo)A.8.3結(jié)束聘任或改變職務(wù)A.8.3控制項(xiàng)A.8.3.1結(jié)束聘用之處理負(fù)責(zé)執(zhí)行結(jié)束聘用或改變職務(wù)之權(quán)責(zé)，其職掌應(yīng)清楚定義並指派。A.8.3.1A.8.3.2資產(chǎn)繳回資產(chǎn)繳回應(yīng)有正式的離職程序，顯示其已繳回單位資產(chǎn)。A.8.3.2A.8.3.3存取權(quán)移除所有員エ、合約商及第三方使用者的存取權(quán)限應(yīng)根據(jù)既有的規(guī)範(fàn)或協(xié)定進(jìn)行移除或改變。A.8.3.3(-)聘任前之處理(A.8.1).所屬角色與責(zé)任(A.8.L1)施行單位之員エ、廠商及第三方使用者的資訊安全角色及責(zé)任應(yīng)適需求以書面或其他方式清楚定義，並與資訊安全政策一致。其原則應(yīng)包括:(1)符合資訊安全政策。(2)保護(hù)資產(chǎn)防止未授權(quán)的存取、洩漏、更改、破壞或干擾。(3)確保每項(xiàng)行動(dòng)規(guī)範(fàn)中，個(gè)人的責(zé)任。(4)安全角色及責(zé)任應(yīng)在聘用前即應(yīng)明確定義並與應(yīng)徵者清楚地溝通(由廠商聘用亦同)。(-)聘用中之處理(A.8.2).資訊安全教育訓(xùn)練(A.8.2.1)施行單位內(nèi)所有員エ、合作廠商與第三方使用者應(yīng)接受適當(dāng)之資安訓(xùn)練與有關(guān)資安政策、程序之宣導(dǎo)課程。有關(guān)資安教育與訓(xùn)練的部份:(1)應(yīng)定期(建議一學(xué)年至少ー次)以人員角色及職能為基礎(chǔ)，針對(duì)不同層級(jí)人員進(jìn)行進(jìn)行資訊安全教育及訓(xùn)練，促使員エ了解資訊安全的重要性以及各種可能的安全風(fēng)險(xiǎn)，提高員エ資安意識(shí)，並遵守資安規(guī)定。(2)施行單位同意及授權(quán)使用者存取系統(tǒng)前，應(yīng)教導(dǎo)使用者登入系統(tǒng)之程序，以及如何正確地操作及使用軟體及違規(guī)處理。(3)非施行單位所屬員工之相關(guān)人員，應(yīng)確保其對(duì)資安政策、相關(guān)控制及程序有一定的了解，並清楚其資安責(zé)任。.違反規(guī)定之處理(A.8.2.2)依據(jù)既定之條款或合約，違反施行單位之資訊安全政策與程序之人員，應(yīng)予以適當(dāng)之懲罰處理。(三)結(jié)束聘任或改變職務(wù)(A.8.3).結(jié)束聘用之處理(A.831)負(fù)責(zé)執(zhí)行結(jié)束聘用或改變職務(wù)之權(quán)責(zé)，其職掌應(yīng)清楚定義並指派。關(guān)於結(jié)束聘任後或改變職務(wù)，應(yīng):(1)視需求在合約中載明結(jié)束聘用後其責(zé)任及義務(wù)仍然有效的規(guī)定。(2)人員已離職或調(diào)職，應(yīng)通知相關(guān)員エ、合約商及第三方使用者。.資產(chǎn)繳回(A.8.3.2)資產(chǎn)繳回應(yīng)有正式的離職程序，顯示其已繳回單位資產(chǎn)。資產(chǎn)的繳回應(yīng):(1)包括所發(fā)給的軟體、單位文件、及設(shè)備。其它單位的資產(chǎn);例如行動(dòng)運(yùn)算設(shè)備、信用卡、智慧卡、手冊(cè)及其它必須繳回的電子媒體。(2)若使用自有的設(shè)備處理資訊，應(yīng)有正常程序以確保相關(guān)資訊已(3)對(duì)單位持續(xù)操作的重要知識(shí)或經(jīng)驗(yàn)，應(yīng)確實(shí)進(jìn)行移轉(zhuǎn)或紀(jì)錄。3,存取權(quán)移除(A.8.3.3)所有員エ、合約商及第三方使用者的存取權(quán)限應(yīng)根據(jù)既有的規(guī)範(fàn)或協(xié)定進(jìn)行移除或改變。移除或改變的存取權(quán)限應(yīng):(1)包括實(shí)體及邏輯存取、鑰匙、識(shí)別證、資訊處理設(shè)施及任何可以顯示其爲(wèi)單位成員的文件。(2)在結(jié)束聘用或改變職務(wù)之前，評(píng)估資訊資產(chǎn)及資訊處理設(shè)備的存取權(quán)應(yīng)該被降低或是移除。(3)若存取權(quán)限爲(wèi)多人共用，例如群組帳號(hào)，則其權(quán)限應(yīng)予移除，並通知相關(guān)人員不再與離職人員分享該資訊。

A.9實(shí)體與環(huán)境安全為保護(hù)資訊處理設(shè)施以及所在位置的安全，除環(huán)境的管制保護(hù)措施外，軟硬體的防護(hù)措施也需徹底實(shí)行，以有效降低資安事件發(fā)生的機(jī)率。這部份為各項(xiàng)資訊資產(chǎn)保護(hù)的基礎(chǔ)，再嚴(yán)密的處理程序及規(guī)範(fàn)，缺少實(shí)體及環(huán)境的安全落實(shí)，仍舊無法達(dá)到保護(hù)的目的，因此，此部分管理措施的落實(shí)與否，實(shí)為各項(xiàng)進(jìn)一步控管制度的基石。本章節(jié)主要的內(nèi)容可參照下表:IS027001:2005(E)A.9實(shí)體與環(huán)境安全A.9控制目標(biāo)A.9.1區(qū)域之安全A.9.1控制項(xiàng)A.9.1.1實(shí)體環(huán)境安全施行單位應(yīng)採用適當(dāng)防護(hù)措施保障資訊處理設(shè)施所在區(qū)域（機(jī)房設(shè)備、人員辦公區(qū)域）的安全。A.9.1.1A.9.1.2人員進(jìn)出控制施行單位應(yīng)實(shí)施控制措施，確保只有授權(quán)人員可以進(jìn)出安全區(qū)域。A.9.1.2A.9.1.3資訊處理設(shè)施安全在資訊處理設(shè)施所在區(qū)域工作，應(yīng)採取適當(dāng)?shù)目刂拼胧┡c指引，確保該區(qū)域的安全性。A9.1.3A9.1.4A9.1.5控制目標(biāo)A.9.2設(shè)備之安全A.9.2控制項(xiàng)A.9.2.1設(shè)備安置地點(diǎn)之保護(hù)措施施行單位應(yīng)安置或保護(hù)設(shè)備，降低環(huán)境之威脅'災(zāi)害以及未授權(quán)存取所造成的可能損失。A.9.2.1A.9.2.2電源供應(yīng)施行單位應(yīng)保護(hù)資訊處理設(shè)備，降低電力故障或異常的影響。A.9.2.2A.9.2.3電纜線安全防護(hù)施行單位應(yīng)保護(hù)通訊纜線及資訊處理設(shè)備之電源，降低受竊聽或破壞的可能損失。ー較適用於第一群A.9.2.3A.9.2.4設(shè)備之維誰資訊處理設(shè)備應(yīng)予以適當(dāng)?shù)木S護(hù)，確保其持續(xù)運(yùn)作。A.9.2.4A.9.2.5設(shè)備報(bào)廢與再使用資訊處理設(shè)備在報(bào)廢或再使用的過程中，應(yīng)避免內(nèi)存資料的外洩，進(jìn)行必要之清除動(dòng)作。A.9.2.6A.9.2.6預(yù)防未經(jīng)授權(quán)之移動(dòng)施行單位所屬之設(shè)備，資訊或軟體未經(jīng)授權(quán)禁止移動(dòng)。A.9.2.7(-)區(qū)域之安全(A.9.1).實(shí)體環(huán)境安全(A.9.L1)施行單位應(yīng)採用適當(dāng)防護(hù)措施保障資訊處理設(shè)施所在區(qū)域(機(jī)房設(shè)備、人員辦公區(qū)域)的安全。資訊處理設(shè)施所在區(qū)域之安全，應(yīng):(1)以事前劃定的各項(xiàng)週邊設(shè)施為基礎(chǔ)，設(shè)置必要的管制，達(dá)成安全控管的目的。(2)依資訊資產(chǎn)及服務(wù)系統(tǒng)的價(jià)値及安全風(fēng)險(xiǎn)，決定實(shí)體保護(hù)的程度。.人員進(jìn)出控制(A.9.1.2)施行單位應(yīng)實(shí)施控制措施，確保只有授權(quán)人員可以進(jìn)出安全區(qū)域。關(guān)於人員進(jìn)出安全區(qū)域的管制，應(yīng)確保:(1)有適當(dāng)?shù)倪M(jìn)出管制保護(hù)措施，使無授權(quán)的人員不得進(jìn)入。(2)來訪人員進(jìn)入管制區(qū)應(yīng)予適當(dāng)管制，並紀(jì)錄進(jìn)出時(shí)間;來訪人員只有在特定的目的或是被授權(quán)情形下，才能進(jìn)入管制區(qū)。(較適用於第一群)(3)員エ離職後，應(yīng)立即撤銷進(jìn)入管制區(qū)的權(quán)利。.資訊處理設(shè)施安全(A9L3)在資訊處理設(shè)施所在區(qū)域工作，應(yīng)採取適當(dāng)?shù)目刂拼胧┡c指引，確保該區(qū)域的安全性。為確保區(qū)域之安全性，採取的控制措施與指引應(yīng)包含:(1)資訊處理設(shè)施所在區(qū)域應(yīng)設(shè)立良好的實(shí)體安全措施，考量各種自然及人為災(zāi)害的可能性，考量鄰近空間的可能安全威脅。(較適用於第一群)(2)資訊處理設(shè)施應(yīng)遠(yuǎn)離大眾或是公共運(yùn)輸系統(tǒng)可直接進(jìn)出的地點(diǎn)。(較適用於第一群)(3)資訊處理設(shè)施應(yīng)儘可能不要有過於明顯的標(biāo)示;在建築物內(nèi)部及外部的說明，儘可能不要有過於明顯的指引或配置說明。(4)危險(xiǎn)性及易燃性物品應(yīng)遠(yuǎn)離資訊處理設(shè)施的安全地點(diǎn);非有必要，電腦相關(guān)文具設(shè)備不應(yīng)存放在電腦機(jī)房內(nèi)。(5)備援作業(yè)用的設(shè)備及備援媒體，應(yīng)存放在安全距離以外的地點(diǎn)。(較適用於第一群)(6)應(yīng)安裝適當(dāng)?shù)陌踩珎蓽y(cè)及防制設(shè)備，各項(xiàng)安全設(shè)備應(yīng)依廠商的使用說明書定期檢查，並針對(duì)相關(guān)員エ進(jìn)行適當(dāng)?shù)陌踩O(shè)備使(7)設(shè)備安全緊急處理作業(yè)程序應(yīng)以書面方式記載，並定期(建議一學(xué)期一次)演練及測(cè)試。(較適用於第一群)(-)設(shè)備之安全(A.9.2).設(shè)備安置地點(diǎn)之保護(hù)措施(A.9.2.1)施行單位應(yīng)安置或保護(hù)設(shè)備，降低環(huán)境之威脅、災(zāi)害以及未授權(quán)存取所造成的可能損失。設(shè)備安置須遵循下列之原則:(1)設(shè)備應(yīng)盡量安置在可減少人員不必要經(jīng)常進(jìn)出的工作地點(diǎn)。處理機(jī)密性及敏感性資料的工作站，應(yīng)放置在員エ可以注意及照顧的地方。(2)需要特別保護(hù)的設(shè)備，應(yīng)考量與一般設(shè)備區(qū)隔，安置在獨(dú)立的區(qū)域。(較適用於第一群)(3)應(yīng)檢查及評(píng)估火災(zāi)、煙、火、灰塵、震動(dòng)、化學(xué)效應(yīng)、電力供應(yīng)、電磁輻射等可能的風(fēng)險(xiǎn)。(較適用於第一群)(4)電腦作業(yè)區(qū)應(yīng)禁止抽菸及飲用食物。.電源供應(yīng)(A.9.2.2)施行單位應(yīng)保護(hù)資訊處理設(shè)備，降低電力故障或異常的影響。有關(guān)於資訊處理設(shè)備電源供應(yīng)，應(yīng):(1)防止斷電或其他電力不正常導(dǎo)致的傷害;電源供應(yīng)應(yīng)依據(jù)製造商提供的規(guī)格設(shè)置。(2)應(yīng)考量安置預(yù)備電源，並考量使用不斷電系統(tǒng)。(3)將不斷電系統(tǒng)失效之後的應(yīng)變措施納入資安事件緊急處理應(yīng)變計(jì)畫;不斷電系統(tǒng)應(yīng)依據(jù)製造廠商的建議，定期進(jìn)行測(cè)試。(4)應(yīng)謹(jǐn)慎使用電源延長線，以免電力無法負(fù)荷導(dǎo)致火災(zāi)等安全情事。.電纜線安全防護(hù)(A.9.2.3)一較適用於第一群施行單位應(yīng)保護(hù)通訊纜線及資訊處理設(shè)備之電源，降低受竊聽或破壞的可能損失。電力及通信用的電纜線應(yīng)予適當(dāng)?shù)谋Ｗo(hù)，其保護(hù)原則如下:(1)連接資訊設(shè)施的電源及通信線路，應(yīng)盡可能地下化;如不能地下化，應(yīng)視需求採取足夠的替代保護(hù)措施。(2)應(yīng)考量保護(hù)網(wǎng)路通信線路的措施，以防止遭截取或是受到破壞。(3)對(duì)於特別敏感性或是特別重要的系統(tǒng)，應(yīng)採取額外強(qiáng)化的安全措施。(4)清楚的識(shí)別電纜線與設(shè)備標(biāo)示，以及文件化的清單，減少錯(cuò)誤發(fā)生的可能性。.設(shè)備之維護(hù)(A.9.2.4)資訊處理設(shè)備應(yīng)予以適當(dāng)?shù)木S護(hù)，確保其持續(xù)運(yùn)作。為確保設(shè)備的完整性及可持續(xù)使用，應(yīng):(1)應(yīng)依據(jù)廠商建議的維修服務(wù)週期及說明，進(jìn)行設(shè)備維護(hù)。(2)設(shè)備的維護(hù)只能由授權(quán)的維護(hù)人員執(zhí)行。(3)應(yīng)將所有的錯(cuò)誤或是懷疑的錯(cuò)誤予以記載。(4)當(dāng)設(shè)備送場(chǎng)外維修時(shí)，應(yīng)採取適當(dāng)?shù)目刂拼胧?例如:將內(nèi)部敏感性的資料移清除).設(shè)備報(bào)廢與再使用(A.9.2.5)資訊處理設(shè)備在報(bào)廢或再使用的過程中，應(yīng)避免內(nèi)存資料的外洩，進(jìn)行必要之清除動(dòng)作。有關(guān)於設(shè)備處理之安全措施，需在:(1)儲(chǔ)存媒體的設(shè)備項(xiàng)目(例如硬碟)處理前詳加檢查，確保任何機(jī)密性、敏感性的資料及有版權(quán)的軟體已經(jīng)被移除。.預(yù)防未經(jīng)授權(quán)之移動(dòng)(A.926)施行單位所屬之設(shè)備，資訊或軟體未經(jīng)授權(quán)禁止移動(dòng)。關(guān)於財(cái)產(chǎn)移轉(zhuǎn)之安全管理，應(yīng):(1)在沒有管理人員授權(quán)的情況下，設(shè)備、資訊或是軟體不應(yīng)被帶離所屬區(qū)域。

A.10通訊與作業(yè)安全管理為確保正確以及安全的操作資訊處理設(shè)施，降低各種可能的風(fēng)險(xiǎn)與損害，維護(hù)資訊處理與通訊服務(wù)之完整性及可用性，必須設(shè)立通訊與作業(yè)安全之管理措施。此部份為整個(gè)規(guī)範(fàn)中最為繁複的章節(jié)，牽扯範(fàn)圍之廣泛非其他節(jié)能比擬，其重要性可見一般。本章節(jié)主要的內(nèi)容可參照下表:IS027001:2005(E)A.10通訊與作業(yè)安全管理A.10控制目標(biāo)A.10.1作業(yè)程序與責(zé)任A.10.1控制項(xiàng)A.10.1.1作業(yè)程序文件化安全政策所規(guī)定之作業(yè)程序，應(yīng)文件化並定期維護(hù)。A.10.1.1A.10.1.2作業(yè)變更之管理資訊處理設(shè)施、系統(tǒng)之變更，應(yīng)進(jìn)行管制。A.10.1.2A.10.1.3資訊安全責(zé)任之分散職務(wù)與責(zé)任範(fàn)圍需予區(qū)分，降低資訊或服務(wù)遭未授權(quán)修改或誤用之機(jī)會(huì)。ー較適用於第一群A.10.1.3A.10.1.4系統(tǒng)發(fā)展、測(cè)試及實(shí)務(wù)作業(yè)之分散開發(fā)或測(cè)試用之設(shè)備、軟體轉(zhuǎn)換至作業(yè)狀態(tài)，應(yīng)制定規(guī)則分隔開來，並加以文件化。ー較適用於第一群A.10.1.4控制目標(biāo)A.10.2資訊作業(yè)委外服務(wù)之安全管理A.10.2控制項(xiàng)A.10.2.1資訊作業(yè)服務(wù)之管控施行單位執(zhí)行資訊業(yè)務(wù)委外時(shí)，應(yīng)與廠商簽訂適當(dāng)?shù)馁Y訊安全協(xié)定及課予相關(guān)的安全管理責(zé)任，納入契約條款。A.10.2.1A.10.2.2服務(wù)之監(jiān)控與審查施行單位應(yīng)監(jiān)視和審查廠商提供的服務(wù)，確保服務(wù)標(biāo)準(zhǔn)達(dá)到協(xié)議的要求。A.10.2.2A.10.2.3廠商服務(wù)異動(dòng)面對(duì)廠商服務(wù)異動(dòng)的管理程序，應(yīng)注意相關(guān)的系統(tǒng)以及程序，確實(shí)的掌控以避免導(dǎo)致新資安危機(jī)。ー較適用於第一群A.10.2.3控制目標(biāo)A.10.3系統(tǒng)規(guī)劃與驗(yàn)收A.10.3

控制項(xiàng)A.10.3.1系統(tǒng)作業(yè)容量之規(guī)劃施行單位應(yīng)適時(shí)預(yù)估系統(tǒng)容量需求，確保有充分處理資料與儲(chǔ)存的空間。ー較適用於第一群A.10.3.1A.10.3.2新系統(tǒng)上線作業(yè)之安全評(píng)估新資訊系統(tǒng)、系統(tǒng)升級(jí)與新版本正式上線前應(yīng)予以適當(dāng)?shù)臏y(cè)試，建立固定的驗(yàn)收程序。A.10.3.2控制目標(biāo)A.10.4電腦病毒、惡意軟體A.10.4控制項(xiàng)A.10.4.1電腦病毒及惡意軟體之控制施行單位應(yīng)進(jìn)行防備電腦病毒與惡意軟體之偵測(cè)及預(yù)防的控制措施，以及使用者認(rèn)知程序。A.10.4.1控制目標(biāo)A.10.5備份作業(yè)之管控A.10.5控制項(xiàng)A.10.5.1資料備份重要資訊與軟體應(yīng)進(jìn)行定期的備份。A.10.5.1控制H櫟A(chǔ).10.6網(wǎng)路安全管理ー較適用於學(xué)術(shù)網(wǎng)路系統(tǒng)A.10.6控制項(xiàng)A.10.6.1網(wǎng)路安全規(guī)劃與管理應(yīng)實(shí)施網(wǎng)路控制措施，維護(hù)網(wǎng)路安全。A.10.6.1A.10.6.2網(wǎng)路服務(wù)之安全控制使用公用或私用網(wǎng)路，應(yīng)評(píng)估網(wǎng)路服務(wù)提供者之安全措施是否足夠，並提供明確的安全措施說明，另應(yīng)考量使用該項(xiàng)網(wǎng)路對(duì)維持機(jī)關(guān)資料傳輸機(jī)密性、資料完整性及可用性等各種安全影響。A.10.6.2控制目標(biāo)A.10.7儲(chǔ)存媒體的處理與安全A.10.7控制項(xiàng)A.10.7.1電腦媒體之安全管理電腦儲(chǔ)存媒體、可攜式媒體或印出報(bào)表，應(yīng)制定控管措施。A.10.7.1A.10.7.2電腦媒體處理之安全應(yīng)訂定電腦媒體的處理作業(yè)程序，以降低可能的安全風(fēng)險(xiǎn)。A.10.7.2A.10.7.3資料檔案之保護(hù)重要資料檔案應(yīng)進(jìn)行控管，並安全的保存。A.10.7.3A.10.7.4系統(tǒng)文件之安全重要系統(tǒng)文件應(yīng)受到保護(hù)，避免未授權(quán)之存取。A.10.7.4

控制H標(biāo)!A.10.8資訊與軟體交換A.10.8控制項(xiàng)A.10.8.1資訊與軟體交換安全政策與協(xié)定單位間交換資訊與軟體的行為(具機(jī)密性或敏感性內(nèi)容)應(yīng)有安全保護(hù)措施以及協(xié)議規(guī)範(fàn)，必要時(shí)制定正式合約。A.10.8.1A.10.8.2A.10.8.2電子郵件安全管理應(yīng)制定電子郵件使用政策，並實(shí)施控制措施降低安全風(fēng)險(xiǎn)。A.10.8.4A.10.8.3電子辦公系統(tǒng)安全視需求應(yīng)制定並實(shí)施控制措施，以管制和電子辦公系統(tǒng)有關(guān)之單位及安全風(fēng)險(xiǎn)。A.10.8.5A.10.8.4對(duì)外公告資訊之管理對(duì)外公告資訊前應(yīng)有正式授權(quán)程序，並避免未授權(quán)之竄改。A.10.9.3控制目標(biāo)A.10.9系統(tǒng)存取及應(yīng)用之監(jiān)督A.10.10控制項(xiàng)A.10.9.1事件記錄建立及製作例外事件及資訊安全事項(xiàng)的稽核軌跡，並保存一段的時(shí)間，以作為日後調(diào)查及監(jiān)督之用。A.10.10.1A.10.9.2系統(tǒng)使用之監(jiān)控為確保使用者只能執(zhí)行授權(quán)範(fàn)圍內(nèi)的事項(xiàng)，應(yīng)建立系統(tǒng)使用監(jiān)督程序。A.10.10.2A.10.9.3記錄的保護(hù)單位應(yīng)保護(hù)未授權(quán)的變更及防止記錄設(shè)備操作發(fā)生問題。A.10.10.3A.10.9.4系統(tǒng)管理者與作業(yè)人員之記錄應(yīng)忠實(shí)紀(jì)錄系統(tǒng)管理者與作業(yè)人員之相關(guān)操作記錄。A.10.10.4A.10.9.5系統(tǒng)錯(cuò)誤事項(xiàng)之紀(jì)錄系統(tǒng)發(fā)生錯(cuò)誤之事項(xiàng)時(shí)，應(yīng)予以忠實(shí)的記錄，並進(jìn)行適當(dāng)?shù)奶幚沓绦颉.10.10.5A.10.9.6系統(tǒng)時(shí)鐘應(yīng)予同步應(yīng)定期校正系統(tǒng)作業(yè)時(shí)間，維持系統(tǒng)稽核紀(jì)錄的正確性及可信度，最為事後法律上或是紀(jì)律處理上的重要依據(jù)。A.10.10.6(一)作業(yè)程序與責(zé)任(A.10.1)1.作業(yè)程序文件化(A.10.1.1)安全政策所規(guī)定之作業(yè)程序，應(yīng)文件化並定期維護(hù)。關(guān)於作業(yè)程序之訂定，應(yīng):(1)制訂電腦系統(tǒng)作業(yè)程序'並以書面或其他方式載明，確保員エ(2)載明每項(xiàng)執(zhí)行電腦作業(yè)程序的詳細(xì)規(guī)定:a.如何正確地處理資料檔案。b.如何備份。c,電腦作業(yè)時(shí)程的需求，包括與其他系統(tǒng)的相互關(guān)係、作業(yè)啓動(dòng)的最早時(shí)間及作業(yè)結(jié)束的最晚時(shí)間。d,處理電腦當(dāng)機(jī)及發(fā)生作業(yè)錯(cuò)誤之規(guī)定，及其他電腦作業(yè)之限制事項(xiàng)。e.遭遇非預(yù)期電腦作業(yè)技術(shù)問題時(shí)，如何與支援人員聯(lián)繫之規(guī)定。f.資料輸出處理的特別規(guī)定，例如使用特別的文具，或是對(duì)機(jī)密資料輸出之管理、電腦當(dāng)機(jī)或作業(yè)錯(cuò)誤時(shí)所輸出資訊之安全處理規(guī)定等。g.電腦當(dāng)機(jī)重新啓動(dòng)及回復(fù)正常作業(yè)之程序。h.電腦及網(wǎng)路之日常管理作業(yè)，例如開關(guān)機(jī)程序、資料備援'設(shè)備維護(hù)、電腦機(jī)房之安全管理;作業(yè)程序應(yīng)視為正式文件，作業(yè)程序的更改必須經(jīng)權(quán)責(zé)單位核準(zhǔn)。.電腦稽核軌跡及系統(tǒng)記錄資訊之管理。(較適用於第一群).作業(yè)變更之管理(A.10.1.2)資訊處理設(shè)施、系統(tǒng)之變更，應(yīng)進(jìn)行管制。關(guān)於資訊處理設(shè)施、系統(tǒng)之變更，應(yīng):(1)建立控制及管理機(jī)制，以免造成系統(tǒng)安全上的漏洞。(2)執(zhí)行作業(yè)變更之管理:a.界定及記錄重大變更的事項(xiàng)。b.作業(yè)變更的規(guī)劃與測(cè)試。(較適用於第一群)c.評(píng)估作業(yè)變更之可能衝擊。(較適用於第一群)d.建立作業(yè)變更之程序。e.與相關(guān)人員溝通作業(yè)變更之細(xì)節(jié)。f.作業(yè)變更不能順利執(zhí)行時(shí)之回復(fù)計(jì)畫，或失敗變更回復(fù)之作業(yè)程序及責(zé)任。.資訊安全責(zé)任之分散(A.10.1.3)一較適用於第一群職務(wù)與責(zé)任範(fàn)圍需予區(qū)分，降低資訊或服務(wù)遭未授權(quán)修改或誤用之機(jī)會(huì)。資安責(zé)任之分散應(yīng):(1)對(duì)關(guān)鍵性資訊業(yè)務(wù)，分散資安管理及執(zhí)行作業(yè)的責(zé)任，建立相互制衡機(jī)制，分別賦予相關(guān)人員必要的安全責(zé)任，以降低人爲(wèi)疏忽或故意，導(dǎo)致資料或系統(tǒng)遭不法或不當(dāng)之使用，或遭未經(jīng)(2)應(yīng)在資訊人カ許可下，盡可能由不同人員執(zhí)行下列業(yè)務(wù)及功能:a.業(yè)務(wù)系統(tǒng)之使用。b.資料建檔。c.系統(tǒng)使用與操作。d.網(wǎng)路管理。e,系統(tǒng)管理。f.系統(tǒng)發(fā)展及維護(hù)。g.變更管理。h,安全管理。i.安全稽核。.系統(tǒng)發(fā)展、測(cè)試及實(shí)務(wù)作業(yè)之分散(A.10.1.4)一較適用於第一群開發(fā)或測(cè)試用之設(shè)備、軟體轉(zhuǎn)換至作業(yè)狀態(tài)，應(yīng)制定規(guī)則分隔開來，並加以文件化。系統(tǒng)發(fā)展及測(cè)試作業(yè)之分散，應(yīng):(1)將系統(tǒng)發(fā)展及系統(tǒng)實(shí)際作業(yè)的設(shè)施分散，降低可能的安全風(fēng)險(xiǎn)，以減少作業(yè)軟體或資料遭意外竄改，或是遭未經(jīng)授權(quán)的存取0(2)系統(tǒng)發(fā)展及系統(tǒng)實(shí)際作業(yè)之分散，應(yīng)考量下列措施:a.軟體從開發(fā)轉(zhuǎn)移至實(shí)作狀態(tài)的規(guī)則，應(yīng)予界定並文件化。b,系統(tǒng)發(fā)展及實(shí)際作業(yè)的軟體，應(yīng)盡可能在不同的處理器上作業(yè)，或是在不同的目錄或領(lǐng)域(Domain)下作業(yè)。c.系統(tǒng)發(fā)展及測(cè)試作業(yè)應(yīng)盡可能分開。d.編輯器及其他公用程式不再使用時(shí)，不應(yīng)與作業(yè)系統(tǒng)共同存放在ー起。(-)資訊作業(yè)委外服務(wù)之安全管理(A.10.2)1.資訊作業(yè)服務(wù)之管控(A.1021)施行單位執(zhí)行資訊業(yè)務(wù)委外時(shí)，應(yīng)與廠商簽訂適當(dāng)?shù)馁Y訊安全協(xié)定及課予相關(guān)的安全管理責(zé)任，納入契約條款。納入資訊委外服務(wù)契約的資訊安全事項(xiàng)包括:(1)應(yīng)留在施行單位內(nèi)部處理之機(jī)密性、敏感性或是關(guān)鍵性的應(yīng)用系統(tǒng)項(xiàng)目。(2)應(yīng)經(jīng)施行單位核準(zhǔn)始得執(zhí)行的事項(xiàng)。(3)廠商如何配合執(zhí)行機(jī)關(guān)業(yè)務(wù)永續(xù)運(yùn)作計(jì)畫。(較適用於第一群)(4)廠商應(yīng)遵守的資訊安全規(guī)範(fàn)及標(biāo)準(zhǔn)，及評(píng)鑑廠商是否遵守資訊安全標(biāo)準(zhǔn)的衡量及評(píng)估作業(yè)程序。(5)廠商如何處理及通報(bào)資訊安全事件的責(zé)任及作業(yè)程序。.服務(wù)之監(jiān)控與審查(A.10.2.2)施行單位應(yīng)監(jiān)視和審查廠商提供的服務(wù)，確保服務(wù)標(biāo)準(zhǔn)達(dá)到協(xié)議的要求。應(yīng)考慮下列安控措施:(1)檢視服務(wù)效能標(biāo)準(zhǔn)是否符合協(xié)議要求。(2)審查廠商產(chǎn)生的報(bào)告並按照協(xié)議需求定期安排行程會(huì)議。(3)施行單位提供資訊安全事件的資訊，由廠商和施行單位審查這些資訊。(4)審查廠商安全事件、操作問題、錯(cuò)誤的稽核存底與記錄。(較適用於第一群)(5)解決和管理所有界定的問題。.廠商服務(wù)異動(dòng)(A.1023)ー較適用於第一群面對(duì)廠商服務(wù)異動(dòng)的管理程序，應(yīng)注意相關(guān)的系統(tǒng)以及程序，確實(shí)的掌控以避免導(dǎo)致新資安危機(jī)。服務(wù)異動(dòng)之管理程序應(yīng)包含:(1)由施行單位產(chǎn)生的異動(dòng)。a.現(xiàn)有服務(wù)的加強(qiáng)。b.任何新應(yīng)用程式和系統(tǒng)的開發(fā)。c,單位政策與程序的修改或更新。d.需要改善安全和解決資訊安全事件的新措施。(2)由廠商服務(wù)產(chǎn)生的異動(dòng)。a.網(wǎng)路的改變或加強(qiáng)。b.新技術(shù)的使用。c.採用新產(chǎn)品或較新版本。d.新的開發(fā)工具和環(huán)境。e.服務(wù)設(shè)施實(shí)體位置的改變。f.賣主異動(dòng)。(三)系統(tǒng)規(guī)劃與驗(yàn)收(A.10.3).系統(tǒng)作業(yè)容量之規(guī)劃(A.1031)ー較適用於第一群施行單位應(yīng)適時(shí)預(yù)估系統(tǒng)容量需求，確保有充分處理資料與儲(chǔ)存的空間。系統(tǒng)作業(yè)容量之規(guī)劃應(yīng)包含:(1)應(yīng)隨時(shí)注意及觀察分析系統(tǒng)的作業(yè)容量，並進(jìn)行需求預(yù)測(cè)，以避免容量不足而導(dǎo)致電腦當(dāng)機(jī)。(2)應(yīng)預(yù)留預(yù)算及採購行政作業(yè)的前置時(shí)間，以利進(jìn)行前瞻性規(guī)畫リ，並及時(shí)取得必要的作業(yè)容量。(3)系統(tǒng)管理人員，應(yīng)隨時(shí)注意及觀察分析系統(tǒng)資源使用狀況，包括處理器、主儲(chǔ)存裝置、檔案儲(chǔ)存、印表機(jī)及其他輸出設(shè)備和通信系統(tǒng)之使用狀況;主管人員應(yīng)隨時(shí)注意上述設(shè)備的使用趨(4)應(yīng)隨時(shí)掌握及利用電腦與網(wǎng)路系統(tǒng)容量使用狀況的資訊，分析與找出可能危及系統(tǒng)安全的瓶頸，預(yù)作補(bǔ)救措施之規(guī)劃。.新系統(tǒng)上線作業(yè)之安全評(píng)估(A.1032)新資訊系統(tǒng)、系統(tǒng)升級(jí)與新版本正式上線前應(yīng)予以適當(dāng)?shù)臏y(cè)試，建立固定的驗(yàn)收程序。新系統(tǒng)上線作業(yè)之安全評(píng)估應(yīng)包含:(1)訂定新系統(tǒng)被認(rèn)可及納入正式作業(yè)的標(biāo)準(zhǔn)，並在新系統(tǒng)上線作業(yè)前，執(zhí)行適當(dāng)?shù)臏y(cè)試。(2)新系統(tǒng)被認(rèn)可及納入正式作業(yè)的標(biāo)準(zhǔn)，應(yīng)執(zhí)行:a.評(píng)估系統(tǒng)作業(yè)效能及電腦容量是否滿足需求。b.檢查發(fā)生錯(cuò)誤後之回復(fù)作業(yè)以及系統(tǒng)重新啓動(dòng)程序的準(zhǔn)備作業(yè)，和資安事件之緊急應(yīng)變作業(yè)是否已經(jīng)完備。c,進(jìn)行新系統(tǒng)正式納入例行作業(yè)程序之準(zhǔn)備及測(cè)試。d.評(píng)估新系統(tǒng)的建置不致影響現(xiàn)有的系統(tǒng)作業(yè)，尤其是對(duì)系統(tǒng)尖峰作業(yè)時(shí)段之影響。(較適用於第一群)e.辦理新系統(tǒng)作業(yè)及使用者教育訓(xùn)練。(3)在發(fā)展重要系統(tǒng)時(shí)，應(yīng)確定系統(tǒng)的功能及確保系統(tǒng)的作業(yè)效能能夠滿足需求;例如在系統(tǒng)發(fā)展的每ー階段，充分諮詢相關(guān)人員的意見。(四)電腦病毒、惡意軟體(A.10.4)1.電腦病毒及惡意軟體之控制(A.10.4.1)施行單位應(yīng)進(jìn)行防備電腦病毒與惡意軟體之偵測(cè)及預(yù)防的控制措施，以及使用者認(rèn)知程序。關(guān)於惡意程式的控制，應(yīng):(1)採取必要的事前預(yù)防及保護(hù)措施，防治及偵測(cè)各種可能的惡意程式侵入。(2)促使員工正確認(rèn)知惡意軟體的威脅，提升員エ的資安警覺，健全系統(tǒng)存取控制機(jī)制。(3)惡意程式的防範(fàn)?wèi)?yīng)考量下列原則:a.建立軟體管理政策，規(guī)定各單位及使用者應(yīng)遵守軟體授權(quán)規(guī)定，禁止使用未取得授權(quán)的軟體。b.選擇信譽(yù)良好、功能健全的防制軟體，並依下列原則使用:防制軟體應(yīng)定期更新。使用防制軟體事前掃瞄電腦系統(tǒng)及資料儲(chǔ)存媒體，偵測(cè)有無受到感染。視需求安裝可偵測(cè)軟體是否遭更改的工具軟體，並偵測(cè)執(zhí)行碼是否遭變更。應(yīng)充分了解防制軟體的特性及功能。定期檢查軟體及重要系統(tǒng)資料內(nèi)容，如發(fā)現(xiàn)有僞造的檔案或是未經(jīng)授權(quán)的修正事項(xiàng)，應(yīng)立即調(diào)查找出原因。對(duì)來路不明及內(nèi)容不確定的儲(chǔ)存媒體，應(yīng)在使用前詳加檢查。應(yīng)建立防制攻擊事件及回復(fù)作業(yè)的管理程序，並訂定相關(guān)人員的責(zé)任。應(yīng)建立妥適的業(yè)務(wù)永續(xù)運(yùn)作計(jì)畫，將必要的資料及軟體加以備份，並於事前1]?定回復(fù)作業(yè)計(jì)畫。(五)備份作業(yè)之管控(A.10.5).資料備份(A.10.5.1)重要資訊與軟體應(yīng)進(jìn)行定期的備份。關(guān)於資料備份，應(yīng):(1)準(zhǔn)備適當(dāng)及足夠的備援設(shè)施，定期執(zhí)行必要的資料及軟體備份及備援作業(yè)，以便在發(fā)生災(zāi)害或是儲(chǔ)存媒體失效時(shí)，可迅速回復(fù)正常作業(yè)。(2)系統(tǒng)資料備份及備援作業(yè)，應(yīng)符合單位業(yè)務(wù)永續(xù)運(yùn)作之需求。(3)資料備份作業(yè)的原則爲(wèi):a.正確及完整的備份資料，除存放在主要的作業(yè)場(chǎng)所外，應(yīng)另存放於安全距離的場(chǎng)所，防止災(zāi)害發(fā)生時(shí)可能帶來的傷害。b.重要資料的備份，建議以維持三代以上爲(wèi)原則。c,備份資料應(yīng)有適當(dāng)?shù)膶?shí)體及環(huán)境保護(hù)。(較適用於第一群)d.應(yīng)定期測(cè)試備份資料，確保其可用性。e.資料的保存時(shí)間以及永久保存的需求，應(yīng)由資料擁有者硏提?！陸?yīng)定期檢查測(cè)試回復(fù)程序，確?；貜?fù)程序能在指定時(shí)間內(nèi)完成復(fù)原作業(yè)程序。(較適用於第一群)g.重要機(jī)密的資料備份，應(yīng)使用加密方式來保護(hù)。(較適用於第一群)(六)網(wǎng)路安全管理(A.10.6)ー較適用於學(xué)術(shù)網(wǎng)路系統(tǒng).網(wǎng)路安全規(guī)劃與管理(A.10.6.1)應(yīng)實(shí)施網(wǎng)路控制措施，維護(hù)網(wǎng)路安全。網(wǎng)路安全規(guī)劃與管理，包含:(1)網(wǎng)路安全規(guī)劃:a.建立電腦網(wǎng)路系統(tǒng)的安全控管機(jī)制，確保網(wǎng)路傳輸資料的安全，保護(hù)連線作業(yè)及未經(jīng)授權(quán)的系統(tǒng)存取。b.加強(qiáng)跨單位間電腦網(wǎng)路系統(tǒng)之網(wǎng)路安全管理。(較適用於第C,利用公眾網(wǎng)路或無線網(wǎng)路傳送敏感性資料，應(yīng)採取特別的安全保護(hù)措施，保護(hù)資料的完整性及機(jī)密性，並保護(hù)連線作業(yè)系統(tǒng)之可用性。(較適用於第一群)d.網(wǎng)路安全管理應(yīng)考量:(較適用於第一群)盡可能將電腦作業(yè)及網(wǎng)路作業(yè)責(zé)任分開。?建立管理遠(yuǎn)端設(shè)備的責(zé)任及程序。實(shí)施適當(dāng)?shù)挠涗浥c監(jiān)控。密切協(xié)調(diào)電腦及網(wǎng)路管理作業(yè)'以便發(fā)揮網(wǎng)路系統(tǒng)最大的服務(wù)功能，確保其在跨單位的基礎(chǔ)架構(gòu)上運(yùn)作。2.網(wǎng)路服務(wù)之安全控制(A.10.6.2)使用公用或私用網(wǎng)路，應(yīng)評(píng)估網(wǎng)路服務(wù)提供者之安全措施是否足夠，並提供明確的安全措施說明，另應(yīng)考量使用該項(xiàng)網(wǎng)路對(duì)維持機(jī)關(guān)資料傳輸機(jī)密性、資料完整性及可用性等各種安全影響。網(wǎng)路服務(wù)安全應(yīng)包括:1)提供連線服務(wù)、私有網(wǎng)路服務(wù)、加値網(wǎng)路及受管理網(wǎng)路的安全解決方案，例如防火牆及入侵偵測(cè)系統(tǒng)。2)若網(wǎng)路服務(wù)是委外提供，應(yīng)確認(rèn)廠商提供約定服務(wù)的安全管理能力。(七)儲(chǔ)存媒體的處理與安全(A.10.7).電腦媒體之安全管理(A.10.7.1)電腦儲(chǔ)存媒體、可攜式媒體或印出報(bào)表，應(yīng)制定控管措施。應(yīng)包含:(1)可隨時(shí)攜帶及移動(dòng)的儲(chǔ)存媒體，應(yīng)建立使用管理程序，規(guī)範(fàn)磁帶、磁碟及電腦輸出報(bào)告等使用。(2)儘量避免使用有明顯用途標(biāo)示的資料儲(chǔ)存系統(tǒng);電腦媒體儲(chǔ)存的資料內(nèi)容，不應(yīng)在外部以明顯方式標(biāo)示，以免被輕易地辨識(shí)出來。(3)可重複使用的資料儲(chǔ)存媒體，不再繼續(xù)使用時(shí)，應(yīng)將儲(chǔ)存的內(nèi)容消除。(4)對(duì)於要帶離機(jī)關(guān)辦公場(chǎng)所的儲(chǔ)存媒體，應(yīng)建立書面的授權(quán)規(guī)定，並建立使用紀(jì)錄，以備日後稽核之用。(較適用於第一群)(5)儲(chǔ)存媒體應(yīng)依製造廠商提供的保存規(guī)格，存放在安全的環(huán)境。(6)儲(chǔ)存資料的媒體到達(dá)製造廠商提供的使用期限時(shí)，應(yīng)在別處再作儲(chǔ)存，以免資料遺失。(7)應(yīng)登記可攜式媒體來減少資料遺失的機(jī)會(huì)。(8)可攜式媒體應(yīng)在公務(wù)理由上オ可使用。.電腦媒體處理之安全(A.10.7.2)應(yīng)訂定電腦媒體的處理作業(yè)程序，以降低可能的安全風(fēng)險(xiǎn)。處理作業(yè)程序包含:(1)應(yīng)建立需以安全方式處理的儲(chǔ)存媒體清單，包括:a.輸入文件，例如電傳文件。b.複寫紙。c.書出報(bào)告。d.磁帶。e.可攜帶的磁片或是磁帶。f.作業(yè)程序目錄。g.測(cè)試資料。h,系統(tǒng)文件。(2)非重複性使用之媒體，應(yīng)以安全方式處理，如燒毀、碎紙機(jī)處理或是將資料從媒體中完全清除。(3)儲(chǔ)存媒體應(yīng)依製造廠商提供的保存規(guī)格，存放在安全的環(huán)境。(4)機(jī)密性及敏感性資料處理過程，應(yīng)以書面記錄之，以利事後查考與稽核之用。(5)防止大量非機(jī)密性資料彙總成為敏感性或機(jī)密性資料。(較適用於第一群).資料檔案之保護(hù)(A.10.7.3)重要資料檔案應(yīng)進(jìn)行控管，並安全的保存。保護(hù)原則有:(1)應(yīng)保護(hù)重要資料檔案，以防止遺失、毀壞、被僞造或竄改。重要資料檔案應(yīng)依相關(guān)規(guī)定，以安全方式保存。(2)超過法定保存期限的資料檔案，可依相關(guān)規(guī)定刪除或銷毀，但事前應(yīng)考量可能造成的不利影響。(3)資料檔案的管理，應(yīng)遵循下列原則:a,訂定檔案保存、儲(chǔ)存、處理等指導(dǎo)原則作為執(zhí)行的依據(jù)。b.檔案保存期限應(yīng)依檔案型態(tài)及法定保存期限之規(guī)定擬定。c,應(yīng)建立及維護(hù)重要資訊資源的目錄。d.應(yīng)採行適當(dāng)?shù)拇胧Ｗo(hù)機(jī)關(guān)的重要檔案及資訊，防止資料遺失、毀壞及被僞造或竄改。(4)必要時(shí)硏訂重要性資料檔案的輸入及輸出媒體之安全作業(yè)程序，包括:a.輸出及輸入資料檔案之處理程序及標(biāo)示。b.依授權(quán)規(guī)定，建立收受重要資料檔案的正式收文紀(jì)錄。c.確保輸入資料之真確性。d.儘可能要求收受者提出傳送之媒體已送達(dá)的收訖證明。e.重要資料檔案的分發(fā)對(duì)象，應(yīng)以最低必要的人員為限。f.為提醒使用者注意安全保密，應(yīng)在資料上明確標(biāo)示資料機(jī)密等級(jí)。g.必要時(shí)評(píng)估重要性資料檔案的發(fā)文清單，及檢討其內(nèi)容。h.應(yīng)確保資訊系統(tǒng)內(nèi)部資料與外部資料之一致性。.系統(tǒng)文件之安全(A.10.7.4)重要系統(tǒng)文件應(yīng)受到保護(hù)，避免未授權(quán)之存取。重要系統(tǒng)文件之保護(hù)'包括:(1)系統(tǒng)流程、作業(yè)流程、資料結(jié)構(gòu)及授權(quán)程序等系統(tǒng)文件，應(yīng)予適當(dāng)保護(hù)，防止系統(tǒng)文件遭未授權(quán)存取與不當(dāng)利用。(2)系統(tǒng)文件的安全保護(hù)措施如下:a,系統(tǒng)文件應(yīng)鎖在安全的儲(chǔ)櫃或其他安全場(chǎng)所。b,系統(tǒng)文件的發(fā)送對(duì)象，應(yīng)以最低必要的人員為限，且應(yīng)經(jīng)系統(tǒng)擁有者的授權(quán)。c.電腦產(chǎn)製的文件，應(yīng)與其他應(yīng)用檔案分開存放，且建立適當(dāng)?shù)拇嫒”Ｗo(hù)措施。(ハ)資訊與軟體交換(A.10.8).資訊與軟體交換安全政策與協(xié)定(A.10.8.1)單位間交換資訊與軟體的行為(具機(jī)密性或敏感性內(nèi)容)應(yīng)有安全保護(hù)措施以及協(xié)議規(guī)範(fàn)，必要時(shí)制定正式合約。單位間資訊與軟體交換行為規(guī)範(fàn)，包含:(1)單位間進(jìn)行資料或軟體交換，應(yīng)訂定正式的協(xié)定，將機(jī)密性及敏感性資料的安全保護(hù)事項(xiàng)及責(zé)任列入?yún)f(xié)定。(2)單位間資料及軟體交換的安全協(xié)定內(nèi)容，應(yīng)考量:a,控制資料及軟體傳送、送達(dá)收受的管理責(zé)任及作業(yè)程序。b.資料、軟體包裝及傳送的最低技術(shù)標(biāo)準(zhǔn)。c.識(shí)別資料及確定軟體傳送者身分的標(biāo)準(zhǔn)。d,資料遺失的責(zé)任及義務(wù)。e,資料及軟體的所有權(quán)、資料保護(hù)的責(zé)任、軟體的智慧財(cái)產(chǎn)權(quán)規(guī)定等。f.紀(jì)錄及讀取資料及軟體的技術(shù)標(biāo)準(zhǔn)。g.保護(hù)機(jī)密或敏感性資料的安全措施。(如使用加密技術(shù))h.確?？勺粉櫤筒豢煞裾J(rèn)性的作業(yè)程序。.電子郵件安全管理(A.10.8.2)應(yīng)制定電子郵件使用政策，並實(shí)施控制措施降低安全風(fēng)險(xiǎn)。有關(guān)電子郵件安全管控，包括:(1)郵件伺服器應(yīng)進(jìn)行防護(hù)設(shè)定，或利用電子郵件安全管理系統(tǒng)的防護(hù)措施。(2)依施行單位安全政策及規(guī)定，明訂電子郵件使用規(guī)定。(3)建立電子郵件安全管理機(jī)制，降低電子郵件可能帶來的業(yè)務(wù)或安全上的風(fēng)險(xiǎn)。(4)電子郵件安全管理規(guī)定，應(yīng)評(píng)估下列事項(xiàng):a.訊息遭未經(jīng)授權(quán)的擷取及竄改的安全弱點(diǎn)。(較適用於第一群)b,發(fā)生資料錯(cuò)誤誤投的安全弱點(diǎn)。(較適用於第一群)c.電子郵件服務(wù)的可靠性及可用性。(較適用於第一群)d.電子郵件法律效力的考量，例如來源證明、送達(dá)、發(fā)送及收受等。(較適用於第一群)e.使用者從遠(yuǎn)端存取電子郵件帳號(hào)之安全控管。(5)密等以上的公文及資料，不得以電子郵件傳送;敏感性資訊如有電子傳送之必要，得經(jīng)加密處理後傳送。(6)必要時(shí)以電子簽章方式簽發(fā)電子郵件，達(dá)到身份辨識(shí)及不可否認(rèn)的目的。(7)電子郵件附加檔案，應(yīng)事前檢視內(nèi)容有無錯(cuò)誤後方可傳送。(8)察覺有人員違反電子郵件管理政策，須適時(shí)規(guī)勸並指導(dǎo)正確的使用方式。.電子辦公系統(tǒng)安全(A.10.8.3)視需求應(yīng)制定並實(shí)施控制措施，以管制和電子辦公系統(tǒng)有關(guān)之單位及安全風(fēng)險(xiǎn)。有關(guān)電子辦公系統(tǒng)之安全,應(yīng):(1)訂定電子辦公系統(tǒng)的使用政策及指導(dǎo)原則，以確保單位實(shí)施辦公電子化在業(yè)務(wù)及系統(tǒng)上之安全。(2)電子辦公系統(tǒng)應(yīng)考量之安全事項(xiàng)如下:a.電子辦公系統(tǒng)如未能提供適當(dāng)及足夠的安全保護(hù)措施，不應(yīng)將敏感性資料列入系統(tǒng)目錄。b,應(yīng)訂定單位資料流通及分享的政策及管理措施。(例如:應(yīng)訂定單位的電子布告欄系統(tǒng)應(yīng)用政策)。c.對(duì)於特定個(gè)人(如單位主管或負(fù)責(zé)處理機(jī)密性或敏感性資訊的人員)的行程資訊等，不宜開放供開存取，並予以適當(dāng)?shù)南拗啤?較適用於第一群)d.評(píng)估以電子辦公系統(tǒng)處理單位重要業(yè)務(wù)的適當(dāng)性。e.應(yīng)建立被授權(quán)使用電子辦公系統(tǒng)的相關(guān)人員名錄，並建立使用者存取系統(tǒng)權(quán)限等資訊。f.特定的電子辦公設(shè)施，應(yīng)限制只有特定人員才能使用。g.應(yīng)訂定系統(tǒng)儲(chǔ)存資訊的保管作業(yè)及備援作業(yè)規(guī)定。h.電腦當(dāng)機(jī)的備援作業(yè)規(guī)定。(較適用於第一群).對(duì)外公告資訊之管理(A.10.8.4)對(duì)外公告資訊前應(yīng)有正式授權(quán)程序，並避免未授權(quán)之竄改。關(guān)於對(duì)外公告資訊管理，應(yīng):(1)對(duì)外開放的資訊系統(tǒng)，應(yīng)儘可能安裝在一部專用的主機(jī)上，並以防火牆與機(jī)關(guān)內(nèi)部網(wǎng)路區(qū)隔，提高內(nèi)部網(wǎng)路的安全性。(2)建立對(duì)外公告資訊程序，公告前須經(jīng)由權(quán)責(zé)人員確認(rèn)內(nèi)容，並有正式授權(quán)證明，オ得以進(jìn)行公告動(dòng)作。(3)對(duì)外開放系統(tǒng)內(nèi)之公告資訊內(nèi)容須符合單位相關(guān)規(guī)定，避免含有機(jī)密性或敏感性資料，。(4)避免未授權(quán)之竄改，已對(duì)外公告資訊內(nèi)容之修改須經(jīng)由相關(guān)權(quán)責(zé)人員的認(rèn)可及證明，オ得以進(jìn)行內(nèi)容的調(diào)整。(5)對(duì)外開放的資訊系統(tǒng)所提供之網(wǎng)路服務(wù)(FTP,Gopher,HTTP等)，應(yīng)做適當(dāng)?shù)拇嫒】毓?，以維護(hù)系統(tǒng)正常運(yùn)作。(九)系統(tǒng)存取及應(yīng)用之監(jiān)督(A.10.9).事件記錄(A.10.9.1)建立及製作例外事件及資訊安全事項(xiàng)的稽核軌跡，並保存一段的時(shí)間，以作為日後調(diào)查及監(jiān)督之用。系統(tǒng)稽核軌跡應(yīng)包括下列事項(xiàng):(1)使用者識(shí)別碼。(2)登入及登出系統(tǒng)之日期及時(shí)間。(3)儘可能記錄終端機(jī)的識(shí)別資料或其位址。(4)存取系統(tǒng)成功與失敗情形的紀(jì)錄。(5)存取資料與其他資源的成功與失敗情形的紀(jì)錄。(6)更改系統(tǒng)設(shè)定。(7)特別權(quán)限的使用。(8)系統(tǒng)公用程式與應(yīng)用程式的使用。(較適用於第一群)(9)檔案存取及存取類型(較適用於第一群)(10)網(wǎng)址及通信協(xié)定(較適用於第一群)(11)存取權(quán)限提昇警報(bào)(較適用於第一群)(12)保護(hù)系統(tǒng)的執(zhí)行與撤銷(例如防毒系統(tǒng)及入侵偵測(cè)系統(tǒng))(較適用於第一群).系統(tǒng)使用之監(jiān)控(A.10.9.2)為確保使用者只能執(zhí)行授權(quán)範(fàn)圍內(nèi)的事項(xiàng)，應(yīng)建立系統(tǒng)使用監(jiān)督程序。系統(tǒng)使用監(jiān)督應(yīng)考量:(1)系統(tǒng)存取失敗情形。(2)檢查系統(tǒng)登入的模式，確定使用者識(shí)別碼是否有不正常使用或是被重新使用的情形。(3)查核系統(tǒng)存取特別權(quán)限的帳號(hào)使用情形及配置情形。(4)追蹤特定的系統(tǒng)交易處理事項(xiàng)。(較適用於第一群)(5)敏感性資源的使用情形。(較適用於第一群)(6)監(jiān)督作業(yè)應(yīng)經(jīng)權(quán)責(zé)主管人員之正式授權(quán)。.記錄的保護(hù)(A.10.9.3)單位應(yīng)保護(hù)未授權(quán)的變更及防止記錄設(shè)備操作發(fā)生問題。記錄保護(hù)之內(nèi)容應(yīng)包括:(1)已記錄之記錄型態(tài)的改變。(2)記錄檔被修改或刪除。(3)超過媒體記錄容量，所產(chǎn)生的錯(cuò)誤。.系統(tǒng)管理者與作業(yè)人員之記錄(A.10.9.4)應(yīng)忠實(shí)紀(jì)錄系統(tǒng)管理者與作業(yè)人員之相關(guān)操作記錄。操作記錄應(yīng)包含:(1)應(yīng)忠實(shí)記錄系統(tǒng)啓動(dòng)及結(jié)束作業(yè)時(shí)間、系統(tǒng)錯(cuò)誤、更正作業(yè)及建立日誌條目的人員或程序等事項(xiàng)。(2)作業(yè)人員的系統(tǒng)作業(yè)紀(jì)錄，應(yīng)定期交由客觀的第三者檢查，以確認(rèn)其是否符合機(jī)關(guān)訂定的作業(yè)程序。(較適用於第一群).系統(tǒng)錯(cuò)誤事項(xiàng)之紀(jì)錄(A.10.9.5)系統(tǒng)發(fā)生錯(cuò)誤之事項(xiàng)時(shí)，應(yīng)予以忠實(shí)的記錄，並進(jìn)行適當(dāng)?shù)奶幚沓绦?。其中?yīng)包含:(1)系統(tǒng)發(fā)生作業(yè)錯(cuò)誤時(shí)，應(yīng)迅速報(bào)告權(quán)責(zé)主管人員，並採取必要的更正行動(dòng)。(2)使用者對(duì)電腦及通信系統(tǒng)作業(yè)錯(cuò)誤的報(bào)告，應(yīng)正式記錄下來，以供日後查考。(3)應(yīng)建立明確的系統(tǒng)作業(yè)錯(cuò)誤報(bào)告程序及作業(yè)規(guī)定，要項(xiàng)如下:a.應(yīng)檢查錯(cuò)誤情形的紀(jì)錄，確保系統(tǒng)作業(yè)錯(cuò)誤已經(jīng)改正。b.應(yīng)檢查更正作業(yè)是否妥適，確保更正作業(yè)依正當(dāng)?shù)氖跈?quán)程序辦理，且未破壞系統(tǒng)原有的安控措施。.系統(tǒng)時(shí)鐘應(yīng)予同步(A.10.9.6)應(yīng)定期校正系統(tǒng)作業(yè)時(shí)間，維持系統(tǒng)稽核紀(jì)錄的正確性及可信度，最為事後法律上或是紀(jì)律處理上的重要依據(jù)。

A.ll存取控制安全施行單位應(yīng)鑑別（Identify，該資料機(jī)密等級(jí)與存取動(dòng)作）與文件化相關(guān)之存取行爲(wèi)，建立存取控制政策的內(nèi)容及範(fàn)圍，防範(fàn)非經(jīng)授權(quán)存取的可能及危險(xiǎn)，降低相關(guān)資訊或檔案遭竊取的威脅，此部分可說是機(jī)密或敏感性資料保護(hù)的最後一道防線，何種層級(jí)人員可進(jìn)行哪些部分的存取，皆須訂定嚴(yán)密的規(guī)範(fàn)與機(jī)制，除可防止外部人員的竊取外，更降低內(nèi)部洩露的可能。本章節(jié)主要的內(nèi)容可參照下表:IS027001:2005(E)A.1I存取控制安全A.ll控制目標(biāo)A.11.1使用者存取控制A.11.1控制項(xiàng)A.11.1.1使用者註冊(cè)管理應(yīng)制定正式使用者註冊(cè)、註銷流程和條款，以供存取資訊系統(tǒng)及服務(wù)。A.11.2.1A.11.1.2系統(tǒng)存取特別權(quán)限管理限制與控管特許權(quán)限的分配及使用方式。ー較適用於第一群A.11.2.2A.11.1.3一般通行碼之控管應(yīng)建立使用者通行碼之管理制度。A.ll.2.3A.11.1.4系統(tǒng)存取權(quán)限之評(píng)估施行單位應(yīng)定期審查使用者存取權(quán)限。ー較適用於第一群A.11.2.4控制目標(biāo)A.11.2使用者責(zé)任A.11.3控制項(xiàng)A.11.2.1桌面淨(jìng)空安全管理應(yīng)考量採用辦公桌面的淨(jìng)空政策，以減少文件及儲(chǔ)存媒體等在正常的辦公時(shí)間之外遭未被授權(quán)的人員取用、遺失、竄改或是被破壞的機(jī)會(huì)。A.ll.3.3控制目標(biāo)A.11.3網(wǎng)路存取控制措施A.11.4控制項(xiàng)A.11.3.1網(wǎng)路服務(wù)之限制施行單位須清楚限定使用者只能直接存取準(zhǔn)許使用之服務(wù)。A.ll.4.1A.11.3.2遠(yuǎn)端使用者身份鑑別遠(yuǎn)端連線使用者之存取需進(jìn)行身分鑑別。ー較適用於第一群A.11.4.2

A.11.3.3診斷埠(DiagnosticPorts)存取控制診斷埠的存取行爲(wèi)必須嚴(yán)密控管。ー較適用於第一群A.11.4.4A.11.3.4網(wǎng)路分隔控制網(wǎng)路應(yīng)視需求控制措施，將資訊服務(wù)、使用者及各資訊系統(tǒng)區(qū)隔。ー較適用於第一群A.11.4.5A.11.3.5網(wǎng)路連線控制使用者連線能力應(yīng)視需求予以限制。ー較適用於第一群A.11.4.6A.11.3.6網(wǎng)路路由控制共享網(wǎng)路應(yīng)有路由控制措施，確保電腦連線及資訊流依循應(yīng)用系統(tǒng)之存取控管政策。ー較適用於第一群A.11.4.7控制目標(biāo)A.11.4作業(yè)系統(tǒng)存取控制A.11.5控制項(xiàng)A.11.4.1系統(tǒng)登入程序使用者存取電腦系統(tǒng)應(yīng)經(jīng)由安全的系統(tǒng)登入程序。A.11.5.1A.11.4.2使用者通行碼管理應(yīng)以安全有效的使用者通行碼管理系統(tǒng)鑑別使用者身份。A.11.5.3A.11.4.3系統(tǒng)公用程式管理系統(tǒng)上公用程式的使用，應(yīng)予限制並控管。ー較適用於第一群A.11.5.4A.11.4.4連線作業(yè)時(shí)間之控制必要時(shí)限制使用者在高風(fēng)險(xiǎn)應(yīng)用系統(tǒng)的連線作業(yè)時(shí)間。ー較適用於第一群A.11.5.6控制H標(biāo)!A.11.5應(yīng)用系統(tǒng)的存取控制ー較適用於行政資訊系統(tǒng)A.11.6控制項(xiàng)A.11.5.1資訊存取限制依資訊存取規(guī)定，配予應(yīng)用系統(tǒng)的使用者與業(yè)務(wù)需求相稱的資料存取及應(yīng)用系統(tǒng)的使用權(quán)限。A.11.6.1A.11.5.2機(jī)密及敏感性系統(tǒng)之獨(dú)立作業(yè)必要時(shí)對(duì)機(jī)密性及敏感性系統(tǒng)，考量建置獨(dú)立的或是專屬的電腦作業(yè)環(huán)境。ー較適用於第一群A.11.6.2控制目標(biāo)A.11.6行動(dòng)式電腦作業(yè)與遠(yuǎn)距工作管理ー較適用於第一群A.11.7控制項(xiàng)A.11.6.1行動(dòng)式電腦作業(yè)控制必要時(shí)應(yīng)針對(duì)行動(dòng)式電腦設(shè)施制定適當(dāng)?shù)目刂拼胧┘罢?。ー較適用於第一群A.11.7.1A.11.6.2遠(yuǎn)距工作管理施行單位應(yīng)制定遠(yuǎn)距工作活動(dòng)的政策、流程及標(biāo)準(zhǔn)，控管相關(guān)活動(dòng)的進(jìn)行。ー較適用於第一群A.11.7.2(-)使用者存取控制(A.U.1)1.使用者註冊(cè)管理(A.1L1.1)應(yīng)制定正式使用者註冊(cè)、註銷流程和條款，以供存取資訊系統(tǒng)及服務(wù)。關(guān)於使用者註冊(cè)管理，應(yīng):(1)對(duì)於多人使用的資訊系統(tǒng)，建立正式的使用者註冊(cè)程序。(2)使用者註冊(cè)管理程序，應(yīng)考量:a.查核使用者是否已經(jīng)取得使用該資訊系統(tǒng)的正式授權(quán)。b.查核使用者被授權(quán)的程度是否與業(yè)務(wù)目的相稱，以及符合資安政策與規(guī)定。c.以書面或其他方式告知使用者系統(tǒng)存取權(quán)利。d.要求使用者簽訂約定，使其確實(shí)了解系統(tǒng)存取的各項(xiàng)條件及要求。e.在系統(tǒng)使用者尙未完成正式授權(quán)程序前，資訊服務(wù)提供者不得對(duì)其提供系統(tǒng)存取服務(wù)。f.應(yīng)建立及維持系統(tǒng)使用者之註冊(cè)資料紀(jì)錄，以備日後查考。g.使用者調(diào)整職務(wù)及離(休)職時(shí)，應(yīng)盡速註銷其系統(tǒng)存取權(quán)利。h.應(yīng)定期檢查及取消閒置不用的識(shí)別碼及帳號(hào)。.閒置不用的識(shí)別碼不應(yīng)重新配予其他的使用者。.系統(tǒng)存取特別權(quán)限管理(A.11.1.2)一較適用於第一群限制與控管特許權(quán)限的分配及使用方式。關(guān)於特許權(quán)限的限制與控管，應(yīng):(1)嚴(yán)格管制系統(tǒng)存取特別權(quán)限。(2)針對(duì)有必要特別保護(hù)的系統(tǒng)，賦予使用者系統(tǒng)存取特別權(quán)限，並依下列的授權(quán)程序管理:a,應(yīng)確認(rèn)系統(tǒng)存取特別權(quán)限之事項(xiàng)，例如作業(yè)系統(tǒng)、資料庫管理系統(tǒng)、應(yīng)用系統(tǒng)、需賦予系統(tǒng)存取特別權(quán)限的人員名單。b.應(yīng)依執(zhí)行業(yè)務(wù)的需求，視個(gè)案逐項(xiàng)考量賦予使用者系統(tǒng)存取特別權(quán)限;系統(tǒng)存取特別權(quán)限之配予，應(yīng)以執(zhí)行業(yè)務(wù)及職務(wù)所必要者爲(wèi)限。c.應(yīng)建立申請(qǐng)系統(tǒng)存取特別權(quán)限之授權(quán)程序，並只能在完成正式授權(quán)程序後，才能配予使用者;另外，應(yīng)將系統(tǒng)存取d.應(yīng)促進(jìn)開發(fā)與使用系統(tǒng)的例行作業(yè)，以避免授予使用者特別權(quán)限的要求。e,開發(fā)與使用程式，應(yīng)避免以特別權(quán)限執(zhí)行。f.特別權(quán)限應(yīng)授予正常營運(yùn)使用之外的使用者。.一般通行碼之控管(A.11.1.3)應(yīng)建立使用者通行碼之管理制度。通行碼之控管應(yīng)考量:(1)盡量以簽訂書面約定或其他方式，要求使用者善盡保護(hù)個(gè)人通行碼之責(zé)任;如屬於群組軟體之使用者，應(yīng)確保工作群組的通行碼，僅限群組成員使用。(2)為維護(hù)通行碼的機(jī)密性，應(yīng)以配予臨時(shí)性通行碼並強(qiáng)迫使