政府資安政策與發展方向

行政院資通安全辦公室

吳啟文

中華民國105年3月8日

行政院資通安全辦公室

資安威脅趨勢

資安推動政策

資安重點工作

政府組態基準(GCB)

安全軟體發展生命週期(SSDLC)

資安治理

結語

大綱

2

行政院資通安全辦公室

國際資安威脅趨勢

關鍵基礎設施透過開放系統與網際網路遭實體破壞風險倍增

組織型駭客以進階持續威脅(Advanced Persistent Threat)竊取公務、國防及商業機密

資訊與資安供應商持續遭駭，破壞信任價值鏈，危及網際網路整體運作

網路與經濟罪犯大量竊取個人隱私資料，影響電子商務與金融運作

資訊戰(Cyber-warfare)與分散式阻斷攻擊癱瘓國家網路運作

3

行政院資通安全辦公室

2015年資安威脅趨勢

APT不再只針對政府機關

關鍵基礎設施攻擊增加

DDoS攻擊日趨嚴重

行動裝置威脅持續成長

傳統網站威脅不可忽略

資料來源：The News Lens 關鍵評論網

4

行政院資通安全辦公室

2016年 – 勒索軟體年

資料來源：http://www.ithome.com.tw/tags/%E5%8B%92%E7%B4%A2%E8%BB%9F%E9%AB%94

5

行政院資通安全辦公室

大智移雲時代來臨 – 資安防護更加嚴峻

行政院資通安全辦公室

大數據

智慧聯網

移動裝置

雲端運算

圖片來源：From Machine-to-Machine to the Internet of Things: Introduction to a New Age of Intelligence

思科估計，迄今實體世界中仍有99%的物件未連上網路，但到2020年全球將有500億個連網裝置與物件。

6

行政院資通安全辦公室

資安威脅趨勢

資安推動政策

資安重點工作

政府組態基準(GCB)

安全軟體發展生命週期(SSDLC)

資安治理

結語

大綱

7

行政院資通安全辦公室

90年 93年 97年 101年 105年

90-93年 建立我國通資訊基礎設施安全機制計

畫 (第一期機制計畫)

100年3月 籌設「行政院資通安全辦公

室」

94-97年 建立我國通資訊基礎設施安全機制計

畫 (第二期機制計畫)

90年1月 成立「行政院國家資通安全會報」

98-101年 國家資通訊安全

發展方案 (第三期發展方案)

102-105年 國家資通訊安全

發展方案 (第四期發展方案)

101年8月 成立「資通安全技術交流小

組」

103年5月 指定科技部為 資安主管機關

105年1月 成立「國家資通安全科

技中心」

我國資安政策及組織發展進程(1/4)

8

行政院資通安全辦公室

我國資安政策及組織發展進程(2/4)

第二期機制計畫

第三期 發展方案

90－93 94－97 98－101 106 －109

我國資安發展階段

第五期 發展方案(研議中)

第一期機制計畫

建構資安防護體系

建全資安防護能力

建構安全資安環境 邁向優質網路社會

102－105

第四期 發展方案

資安政策 1 . 0

資 安 政 策 2 . 0

創意臺灣 政策白皮書

縱深防禦- 推廣即時監控(SOC)、落實CISO制度、落實資

安演練及稽核、建構國家二階聯防機制、加強網路骨幹監

控防護

公私協同- 維運技術交流小組、G-ISAC、SPMO(專案協

助、共同供應契約、廠商評鑑)

資訊透明- 調整資安責任等級及系統分級、明確應辦事項

與防護水準、盤點人力與經費

人才培育- 落實資安人才訓用合一

產業發展-資安產業創新加值、建置前瞻實驗場域

環境改善-導入政府組態基準(GCB)、加強CIIP、完善資安

組織法制、強化網路犯罪執法、

安全信賴的智慧台灣 安心優質的數位生活

資訊安全管理系統(ISMS) 資安責任等級分級 資安演練

政府機關資訊安全長責任制度(CISO) 國家資通安全防護管理平台(G-SOC) 強化資安內稽 資安關鍵指標 實體隔離

關鍵資訊基礎建設防護(CIIP) 強化緊急應變與復原能力 強化電子商務資訊安全 資訊系統分級分類 資安治理

9

行政院資通安全辦公室

我國資安政策及組織發展進程(3/4)

10

網際防護體系 科技部

網際犯罪 偵防體系

法務部/內政部

關鍵性系統 防護體系

行政院國土安全辦公室

其他資安 相關體系 各主管機關

標準規範組 經濟部 (通傳會)

認知教育及 人才培育組 教育部 (科技部)

稽核服務組

科技部 (各機關)

政府資通安全組

科技部 (各機關)

個資保護及 法制推動組 法務部 (各機關)

防治網路 犯罪組 內政部

資通訊 環境安全組 通傳會 (經濟部)

網路內容安全分組

通傳會

技術規範分組

通傳會

標準分組

經濟部(

標檢局)

資訊服務分組

科技部

資安教育分組

教育部

關鍵工業控制系統安

全分組

經濟部(

國營會)

人力資源分組

人事總處

通訊傳播分組

通傳會

衛生醫療分組

衛福部

金融服務分組

金管會

財政事務分組

財政部

交通事業分組

交通部

經濟事業分組

經濟部

學術機構分組

教育部

電子化政府分組

國發會

國防體系分組

國防部

行政院資通安全辦公室 會報幕僚單位

資通安全 諮詢會

國家資通安全科技中心

行政院國家資通安全會報 召集人：行政院副院長

副召集人：政務委員及科技部長 協同副召集人：國安會諮詢委員 委員：行政院本部資安長、部會及直轄市副首長、國安局副局長 、學者及專家

行政院資通安全辦公室 11

我國資安政策及組織發展進程(4/4)

： 資安政策規劃研擬 ：交辦、推動與執行 ：協助

幕僚作業 國家資通安全會報

召集人：行政院副院長 副召集人：政務委員及科技部部長 協同副召集人：國安會諮委 委員：推動資通安全有關之機關、直轄市政府副首長及學者、專家派（聘）兼之

決策

行政院 資通安全辦公室

行政院

資通安全業務主管機關

科技部

資通安全業務相關機關

監督與執行

國家資通安全科技中心

技術幕僚與支援

經濟部 (通傳會)

標準規範

教育部 (科技部)

人才培育

科技部 (各機關)

稽核服務

政府資通安全

法務部 (各機關)

個資保護及法制推動

內政部 防治網路犯罪

通傳會 (經濟部)

資通訊環境安全

經濟部 資安產業

行政院資通安全辦公室

願景

建構安全資安環境，邁向優質網路社會 ▲

強化國家資安政策，建立安全資安環境。

完備資安防護管理，分享多元資安情報。

奠基資安技術能量，整合科技實務應用。

擴大資安人才培育，加強國際資安交流。

策略目標

▲ ▲ ▲ ▲

行動方案

完備資安管理法規

推動功能性資安組織

健全資安防護網

推升資安產業能量

加強資安交流合作

推展資安基礎環境安

全設定

加強資安防護管理二

線監控服務及情蒐

強化資安應變功能及

復原能力

建構資安專案管理

(SP

MO

)

機制

國家資通訊安全發展方案(102-105年)

執 行 策 略

▲

20個 52個

12

行政院資通安全辦公室 13

ide@Taiwan 2020 – 網路資安隱私(1/2)

短期 策略

短期推動策略與具體作法

健全資安法令標準

強化網路犯罪執法

擴大公私協同合作

落實人才訓用合一

推升智慧商務安全

•規劃適合我國之資安治理架構 •建構適用於我國之資安治理成熟度評估機制 •積極研議我國資安作用法並推動立法

•健全資安及網路犯罪通報 •擴大偵查組織架構與人才進用 •加強兩岸及跨國共同打擊犯罪 •加強數位證據保全與程序 •加強網路犯罪宣導面向 •每年定期參與相關國際會議

研議由課程、平臺、競賽、實習及產學合作等五大主軸擴大資安人才培育，落實訓用合一

•盤點資安自主技術，發展優先項目 •發展虛實整合的關鍵防護安全技術 •軟體工程加入資安與隱私保護的設計 •提出最佳商務安全實務與解決方案 •發展民眾有感智慧商務App

•處理來自企業與民間各領域之資安事件通報與諮詢 •研議企業與民間情資交換安全標準 •與國內外各領域CERT建立資訊共享系統或平台

推動 策略

行政院資通安全辦公室 14

ide@Taiwan 2020 – 網路資安隱私(2/2)

• 訂定合理資訊(安)人力及預算配比

• 研議成立資安專戶或基金 • 篩選資安產業潛在價值與利基之產品適度扶植

接軌國際實務標準

建置前瞻實驗場域

改善政府資源配置

•結合產、學、研資源建置前瞻實驗場域 •研究關鍵資訊基礎設施存在之弱點、模擬外來之攻擊威脅及測試驗證創新之資安防護技術實驗場所

•發展讓消費者放心與安心之產品技術、及服務標準 •研議資服產業安全分級機制 •鼓勵國內學研與廠商加入國際產業標準協會

14

推動 策略

中長期推動策略與具體作法

行政院資通安全辦公室

資 安 責 任 等 級

C級

B級

A級

保有全國、區域性或地區性個人資料檔案

涉及能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、高科技園區等關鍵資訊基礎設施業務或營運

政府機關層級

涉及外交、國防、國土安全、財政、經濟 、警政等重要業務

資安責任等級分級準則

15

行政院資通安全辦公室

政府機關資安應辦事項

16

面向 作業名稱 A級 B級 C級

政策面 資訊系統分級 資訊系統分級及資安防護基準要求

管理面

ISMS推動作業 ISMS導入及通過第三方驗證

資安專責人力 指派資安專責人力

稽核方式 每年辦理內稽

業務持續 運作演練

每年辦理核心資訊系統持續運作演練

技術面

防護縱深 防毒、防火牆、郵件過濾裝置、IDS/IPS、Web應用程式防火牆、APT攻擊防禦

監控管理 SOC監控

安全性檢測 網站安全弱點檢測、系統滲透測試、資安健診

認知與訓練 資安教育訓練 資安專業課程(職能)訓練、資安宣導課程及評量

專業證照 維持國際資安專業證照與資安職能訓練證書之有效性

行政院資通安全辦公室

資訊系統分級作業流程

各資訊系統均須依循處理程序填寫「安全等級

評估表」

步驟 ：依機密性、完整性、可用性及法律遵

循性四大構面，分別評估對各資訊系統(不含共

同性系統)之影響衝擊，並設定影響構面等級，

依資訊系統填寫「安全等級評估表」

步驟：識別資訊系統支援之業務屬性（分為

行政與業務二類），並檢視安全等級之合理性

步驟 ：由資訊單位將各資訊系統「安全等級

評估表」中資訊，併同共同性系統，彙整至「

資訊系統清冊」，資訊系統安全等級經資訊主

管、業務主管確認後，由資訊安全長核定。

共同性系統之分級，統一由開發管理之機關進

行評估與鑑別 （分為普、中、高三等級）

輸入：資訊系統

設定 影響構面等級

識別業務屬性

檢視安全等級

核定資訊系統 安全等級

輸出 ： 資訊系統安全等級

步驟

步驟

步驟

17

行政院資通安全辦公室

資安防護基準(7類29項)

依據「安全控制措施參考指引」及美國NIST 「 加強關鍵基礎設施網路安全框架」明定資安防護基準

1.存取控制 (Access Control)(3)

• 帳號管理(Account Management) • 最小權限(Least Privilege) • 遠端存取(Remote Access)

2.稽核與可歸責性 (Audit and Accountability)(6)

• 稽核事件(Audit Events) • 稽核紀錄內容(Content of Audit Records) • 稽核儲存容量(Audit Storage Capacity) • 稽核處理失效之回應(Response to Audit Processing Failures) • 時戳(Time Stamps) • 稽核資訊之保護(Protection of Audit Information)

3.營運持續計畫 (Contingency Planning)(2)

• 資訊系統備份(Information System Backup) • 資訊系統備援(Redundancy of information systems)

4.識別與鑑別 (Identification and Authentication)(5)

• 使用者之識別與鑑別(Identification and Authentication) • 裝置之識別與鑑別(Device Identification and Authentication) • 鑑別符管理(Authenticator Management) • 鑑別符回饋(Authenticator Feedback) • 加密模組鑑別(Cryptographic Module Authentication)

5.系統與服務獲得 (System and Services Acquisition)(8)

• 系統發展生命週期需求階段(System Development Life Cycle-Requirement) • 系統發展生命週期設計階段(System Development Life Cycle-Design) • 系統發展生命週期開發階段(System Development Life Cycle-Develop) • 系統發展生命週期測試階段(System Development Life Cycle-Test) • 系統發展生命週期部署與維運階段(System Development Life Cycle-Deployment and Maintenance) • 系統發展生命週期委外階段(System Development Life Cycle-Outsourcing ) • 獲得程序(Acquisition Process) • 資訊系統文件(Information System Documentation)

6.系統與通訊保護 (System and Communications Protection)(2)

• 傳輸之機密性與完整性(Transmission Confidentiality and Integrity) • 資料儲存之安全(Protection of Information at Rest)

7.系統與資訊完整性 (System and Information Integrity)(3)

• 漏洞修復(Flaw Remediation) • 資訊系統監控(Information System Monitoring) • 軟體、韌體及資訊完整性(Software, Firmware, and Information Integrity)

18

行政院資通安全辦公室

資通安全管理法立法目的

非公務機關資通安全防護能量提升

資通安全產業能量提升

落實國家資通安全政策 +

加速建構國家資通安全環境

公務機關資通安全防護能量提升

保障國家數位國土安全

提升民眾數位福址

發展資通安全產業

19

行政院資通安全辦公室

資通安全管理法草案說明

20

-資安會報(資安辦)、科技部及資安科技中心三級制 -主管機關與中央目的事業主管機關權責

-資安責任等 級分級 -資安維護計 畫之制定與 實施 -資安長設置 -年度資安報 告提出與資 安查核 -資安事件之 通報應變 -獎懲制度 -依法編列人 力與經費

-委託機關應監督受託者 資安之維護 -明定公務機關受託單位 之業務範圍、專業能力、 專業人員僱用等 -公務機關依標準選任受 託單位

-基金來源：循預算 程序撥款、罰鍰提 撥、基金孳息、捐 贈收入等 -基金用途：資安專 業人才培育及資安 意識提升；資安科 技研發、整合及應 用；資安標準及認 驗證機制發展；資 通軟體及設備安全 審驗機制發展；重 大資安事件處理等

-中央目的事業主管機關 得要求訂定與執行資安 維護計畫，並進行查核 -資安事件之通報應變、 資訊公開及證據保存 -行政檢查及行政救濟

民眾福祉 產業發展國家安全

資通安全 推動組織

公務機關資通安全管理

資通服務之 委外管理

資通安全管理暨發展基

金

非公務機關資通安全管

理

20

行政院資通安全辦公室

資通安全管理法草案架構

資通安全管理法草案

第1章 總則(§1~§6)

第3章 公務機關資通安全管理(§10~§15)

第4章 非公務機關資通安全管理(§16~§22)

第5章 罰則(§23~§29)

立法目的、名詞定義、主管機關及中央目的事業主管機關權責分工、委外、基金設置

資安責任等級分級、資通安全管理與維護責任、資通安全長之設置、資通安全維護計畫之制定與實施、資通安全查核、年度資通安全報告之提出、資通安全事件預防通報及應變、獎懲制度

非公務機關、受指定非公務機關之產品或服務及關鍵基礎設施提供者資通安全維護業務之指導、監督與管理、資通安全維護計畫之制定與實施、行政檢查、行政救濟

行政處分

第6章 附則(§30~§34) 資通安全情資分享、人力與預算編列、資通安全產業之推動、施行細則授權、施行日期

第2章 資通安全推動組織(§7~§9)

國家資通安全會報及其幕僚之設立、任務與組成；科技部與國家資通安全科技中心之任務

21

行政院資通安全辦公室

完善關鍵資訊基礎設施防護機制

資安管理法施行 細則與相關配套

關鍵基礎設施資 安指導推動小組

G-ISMS

各CI資安 管理指引

資安管理共通 基準(Baseline)

能源

水資源

交通

高科技園區

金融

通訊傳播

醫療

各CI資安會報 成立與運作

• 指定關鍵基礎設施提供者資通安全管理及查核辦法

• 指定非公務機關制定資通安全管理制度及其管理辦法

法源依據 指導監督

協助制定

參考依據 參考依據

負責制定

關鍵資訊基礎設施資安推動機制 國內七大CI領域

參與組成

執行依據

政府資安管理框架

• 關鍵基礎設施資安指導推動小組由行政院資安會報與科技部指導成立

• 各關鍵基礎設施資安會報由該領域主管部會召集成立

22

行政院資通安全辦公室

資安威脅趨勢

資安推動政策

資安重點工作

政府組態基準(GCB)

安全軟體發展生命週期(SSDLC)

資安治理

結語

大綱

23

行政院資通安全辦公室

推動政府組態基準(GCB)

類別 項目名稱 項數統計

Windows 7

Account Policy 9

Computer Energy Policy 4

Computer Settings 225

User Settings 8

Windows 7 Firewall

Windows 7 Firewall Settings 35

Internet Explorer 8

Internet Explorer 8 Computer Settings

110

Internet Explorer 8 User Settings 5

總計 396 24

政府組態基準(Government Configuration Baseline，GCB)係規範資通訊終端設備(如個人電腦等)的一致性安全設定(如：密碼長度、更新期限等)，以降低資安風險

行政院資通安全辦公室

GCB項目

作業系統(Microsoft Windows、Linux、Unix、iOS、Android、VM)

瀏覽器(IE、Chrome、Firefox、Safari、Opera)

網通設備(Wireless、Switch、Router、Firewall)

應用程式(Microsoft Office、Web Server、Mail Server、Database)

GCB項目類別

25

行政院資通安全辦公室

GCB發展規劃

26

類型 102年 103年 104年 105年 106年 107年

作業系統

• Win7 (281項)

• Win Server 2008 R2 (332項)

• RHEL 5(190項)

• Win 8.1 (340項)

• Win10 • Win Server 2012/2016

瀏覽器

• IE8 (115項)

• IE11 (154項)

• Chrome • Firefox • Edge

網通設備

• Wireless (19項)

• Juniper Firewall

• Cisco Switch

應用程式

• Exchange Server 2013

• Outlook 2013

• Apache

行政院資通安全辦公室

軟體安全的事後思維

軟體發展生命週期(SDLC)

為傳統資訊系統開發之標準步驟

需求->設計->開發->測試->部署維護

問題

強調功能面(求最短時間內完成產品)

缺乏Security design in & build in

軟體安全得到的關注不夠

◎學校課程

◎軟體公司

越後期修補成本越高

27

行政院資通安全辦公室

安全軟體發展生命週期(Secure Software Development Lifecycle，SSDLC)

MS - SDL

Cigital – TouchPoint Model

28

行政院資通安全辦公室

SSDLC各階段資安重點工作

需求(Requirements)階段 萃取並追蹤安全需求

設計(Design)階段 威脅建模(Threat Modeling)

開發實作(Implementation)階段 發展控制措施

避免常見弱點

測試(Testing)階段 安全測試(靜態、動態)

驗證安全需求

部署維運(Deployment & Maintenance)階段 組態強化與元件更新

29

行政院資通安全辦公室

SSDLC相關參考文件

100年起已針對軟體安全發展議題，訂定相關參考指引

30

行政院資通安全辦公室

依「資訊系統分級與資安防護基準作業規定」，資訊系統安全等級列【高】者，配合新系統開發或系統改版，優先納入推動範圍

提供政府機關安全軟體發展之建議作法

系統委外開發RFP之資安需求範本

系統驗收階段之資安需求確保

系統承包商之安全水準評估規劃

持續辦理教育訓練，參考相關推動經驗，調修教材內容，增加實務案例，推廣安全軟體發展觀念

SSDLC推動規劃

31

行政院資通安全辦公室

國際資安治理趨勢

美國國家標準技術研究所(NIST)

建議組織應透過由上而下且持續回饋的資安治理架構，以降低資安風險

資料來源 http://www.nist.gov/cyberframework/uploa

d/cybersecurity-framework-021214.pdf

管理階層應關注組織所面臨的威脅，並針對存在的風險決定因應措施及優先順序

應鑑別關鍵的業務與系統，確保重要業務所存在之潛在風險得以被完善的管控

依據管理階層的意向以及業務關鍵性，確保重要的資訊資產得以受到全面性的保護

管理層

業務層

維運層

32

行政院資通安全辦公室

資安治理與資安管理(1/2)

資安治理定義 資訊安全治理之定義為建立與維護框架、支援管理之結構及程序

，以及提供下列保證的過程：在努力管理風險下，使資訊安全策略與業務目標一致、支援業務目標，藉由嚴守政策與內部控制以符合相關法規，以及提供職責之指派

資訊安全治理為指導及控制組織資訊安全活動之系統，目標在於確保資訊安全目標及策略承接組織營運的目標及策略

資安管理定義 資訊安全管理之目的在於透過規劃、建立、執行與監督(PDCA)機

制，保護資訊資產的機密性(Confidentiality)、完整性(Integrity)以及可用性(Availability)

資料來源 NIST SP800-100

資料來源 ISO/IEC 27001

資料來源 CNS 27014

33

行政院資通安全辦公室

資安治理與資安管理(2/2)

資安治理與資安管理的關鍵領域

資料來源 ISACA COBIT 5

以評估(Evaluate)、指導(Direct)、監督(Monitor)建立治理架構，向下監督、管理資訊安全管理執行機制，並透過治理架構向上溝通，回應組織利害關係人之要求

遵循治理架構所形成之指導原則，規劃與建立組織適用之管理機制，並透過日常維運執行與監督的過程確保其持續改善，並提供組織得以再次評估之管理回饋

規劃 (Plan)

執行 (Do)

檢查 (Check))

行動 (Act)

評估(Evaluate)

指導(Direct)

監督(Monitor)

管理回饋

資安治理

資安管理

組織需求

34

行政院資通安全辦公室

政府資安治理推動規劃

1.建立資安治理 架構

2.建立成熟度 評估機制

4.資安治理評估系統 試行與導入

3.建立 資安治理評估系統

1.建立資安治理架構

蒐集現有政府機關資安規範要求，考量國內資安治理現況並參考國內外資安治理或管理之標準與文獻整理，例如： CNS 27014:2013、ISO/IEC 38500:2008 、ISACA COBIT 5、NIST SP800-100、ISO/IEC 27001:2013…等，提出政府機關資安治理架構

4.資安治理評估系統

試行與導入

於系統建置完成後，遴選三家政府機關，進行資安治理成熟度檢核問項與評估系統試行導入之相關活動，其試行單位提供問項與系統相關之調整與修正建議

2.建立成熟度評估機制

依資安治理架構，參考政府機關所應遵循之要求，例如:資安責任等級應辦事項，設計成熟度評估之檢核問項，並依國際標準建議之成熟度衡量方式，包含:ISO/IEC 15504-2:2003、ISO/IEC 15504-7:2008建立成熟度與能力度之定義，並進一步設計機關整體資安治理成熟度之評定方式

3.建立資安治理評估系統

開發資安治理成熟度評估之資安治理成熟度評估系統，提供政府機關透過網頁登入，填寫相關檢核問項，以更了解其資安治理成熟度之程度

35

行政院資通安全辦公室

政府資安治理架構

P.3資安 風險監控

M.4績效與成果監督

O.1 資訊資產識別

與管理

O.2 存取控制與加

密管理

O.3 作業與通訊安

全管理

O.4 系統獲取、開發及維護

政策與符合性

規劃、推動與監督

作業與技術

參考國際資安治理標準及最佳實務架構，包括4個面向、 18個流程構面

36

行政院資通安全辦公室

政府資安治理成熟度評估機制

面向流程

構面

控制

目標控制項目

評估項

目編號評估項目

選項

編號選項

1機關尚未有與資訊安全相關之政策或

要求

2

機關內雖未明定組織之資訊安全政策

，但有資訊安全相關之基本要求，惟

僅部份員工知悉要求內容

3

機關內雖未明定組織之資訊安全政策

，但有資訊安全相關之基本要求，且

所有員工皆知悉要求內容

4機關已制定資訊安全政策，且對所有

員工公布及傳達內容

5機關已制定資訊安全政策，且對所有

員工及相關外部各方公布及傳達內容

P.1治理

架構與政

策

P.政策

與符

合性

機關是否已建

立資訊安全政

策，並對相關

人員進行布

達?

P.1.1

建立

資訊

安全

政策

建立資訊安全

政策，並對相

關人員進行布

達

2.機關填寫各流程構面之檢核項目

3.依自評結果，計算機關資安治理成熟度

1.依政府資安治理架構， 以18個流程構面作為自評之構面

• 檢視流程構面等級分級之定義 • 依各等級之流程構面得分，計算機關成熟度

• 檢視機關各流程構面之得分

• 檢核項目之設計，參考資安責任等級應辦事項，以利單位評估與檢視應辦事項之符合性

37

行政院資通安全辦公室

A、B、C級機關問項設計

以應辦事項之安全性檢測規定為例

面向

流程 構面

控制目標

控制項目

檢核項目編號

檢核項目 選項 編號

A級機關選項 B級機關選項 C級機關選項

M.規劃、推動與監督

M.3風險及安全性評鑑 與管理

安全性評鑑

執行網站安全弱點檢測

M.3.2

機關辦理網站安全弱點檢測，是否符合對各級機關要求之頻率?

1 機關曾辦理網站安全弱點檢測活動

機關曾辦理網站安全弱點檢測活動

機關曾辦理網站安全弱點檢測活動

2

• 機關已定期辦理網站安全弱點檢測活動

• 檢測頻率並未達每年至少辦理2次

• 機關已定期辦理網站安全弱點檢測活動

• 檢測頻率並未達每年至少辦理1次

機關已依各主管機關規定辦理網站安全弱點檢測

3 機關已定期每年至少辦理 2次網站安全弱點檢測

機關已定期每年至少辦理1次網站安全弱點檢測

機關已定期每兩年至少辦理 1次網站安全弱點檢測(自建網站者)

4

• 前述事項3已完成，且網站安全弱點檢測結果符合所可接受之量化衡量指標

• 前述事項3已完成，且網站安全弱點檢測結果符合可接受之量化衡量指標

• 前述事項3已完成，且網站安全弱點檢測結果符合可接受之量化衡量指標

5

• 前述事項2~3已完成，且針對需改善事項皆能在預定時間內完成

• 前述事項2~3已完成，且針對需改善事項皆能在預定時間內完成

• 前述事項2~3已完成，且針對需改善事項皆能在預定時間內完成

基準值

38

行政院資通安全辦公室

政府資安治理推動時程與重點

資安治理成熟度與

防護能力指標設計

資安治理成熟度與

防護能力指標推廣

資安治理成熟度與

防護能力指標自我評估

104年7月~10月 104年10月~11月 105年1月~105年12月

1. 建構機關資安防護能力指標之流程構面

2. 設計資安防護能力等級與評估指標項目

3. 規劃政府機關資安治理與防護能力指標之評估機制

4. 調整資安治理成熟度評估工具

1. 資安治理成熟度與防護能力評估教育訓練

2. A、B 級政府機關每兩年進行一次資安治理成熟度評；C 級政府機關由各主管機關規定

3. 各機關檢視與分析評估結果並提出因應措施

4. 彙整與分析各機關成熟度評估結果

1. 辦理資安治理成熟度與防護能力指標自我評估試辦導入

2. 辦理各級機關資安治理成熟度與防護能力指標自我評估填寫與系統使用說明會

主要任務

39

行政院資通安全辦公室

資安威脅趨勢

資安推動政策

資安重點工作

政府組態基準(GCB)

安全軟體發展生命週期(SSDLC)

資安治理

結語

大綱

40

行政院資通安全辦公室

隨著雲端運算、行動裝置及智慧聯網等技術快速發展，

加以對岸資安威脅與刺探攻擊強度持續提高，資安挑戰

將日趨嚴峻

我國自資安會報成立以來，在中央及地方共同努力之下

，政府資安防護機制已漸齊備，後續將透過資安會報、

科技部、資安科技中心三級制運作及相關機關之分工合

作，持續精進資安政策之規劃與落實執行

將滾動檢討資安策略，並透過推動資安專法、建置國家

資安實驗場域等前瞻作法，結合產官學研資源及專業技

術，加強關鍵基礎設施及重要產業之整體資安防護，以

確保國家安全、民眾福祉及產業發展

結語

41

報告完畢、敬請指教