資通安全法合規研究與管理實務指引（第3版）

Chapter 5資通系統集中化管理(節錄)
高等教育深耕計畫資安強化專章的績效指標主項目「確保資通系統管理量能」有兩個次要項目：資通系統集中化管理，資通系統資安管理作業原則集中至學校資訊(安)單位或其他具備資通安全專業能力之團隊統籌辦理，並因應集中化管理需求增聘適當人力；適度降低資通系統數量，汰換整併校內資通系統網站以降低資通系統數量。要加強閒置網站及因應臨時需求建置網站之管控，下架或限制存取。

5.1 基本安全保障
資通系統集中化管理可有效聚焦資安防護範圍，提升安全防護效能，這章就來談談資訊中心通常可以提供的基本安全保障：

1.虛擬主機：資訊中心若已建置虛擬主機(Virtual Machine, VM)服務，比只是主機代管(Co-location)更佳，因為通常會對虛擬主機做快照備份，一旦系統出狀況就很容易從快照還原讓系統快速重啟。
2.網路防火牆：基於防禦緃深的安全考量，除了獨立於虛擬主機外的網路防火牆，資訊中心也可協助建立本機防火牆。
3.恆溫空調：適當的溫度是主機正常運作的重要因素，資訊中心機房設置恆溫空調，為主機提供了最佳的運作環境，大大提高主機穩定性。
4.穩定的電力：資訊中心通常備有不斷電系統及柴油發電機，不論是例行維護或意外事件中斷電力，都可以即時提供充足的備援電力，確保網站服務不受影響。

資訊中心針對虛擬主機至少每天備份快照一次並保留一定天數，當網站遭受意外損壞時(如：誤刪資料、遭加密勒索等)，可還原出另一臺最近版本狀態的虛擬主機，將系統與資料復原。另外，資訊中心還可以協助在系統環境升版更新前對虛擬主機做快照，若作業遇到暫時無法解決的問題，就能快速回復到異動前的正常運作狀態，或是先複製一臺測試用虛擬主機確認升版更新成功，再進行正式主機的更新作業。

資訊中心通常會以多臺實體主機建立虛擬主機的叢集資源池，如果某臺實體主機故障，所承載的虛擬主機可自動在運作正常的實體主機上重新啟動，避免因為單一實體主機硬體故障而造成網站無法服務。系統重新上線時間依虛擬主機所啟用服務的複雜度而定，多半在幾分鐘至幾十分鐘內可完成。所以，在機制正常運作情形下，建立於虛擬主機上的系統復原時間目標(RTO)可縮短為幾十分鐘。

這項功能特色，就是對全校各單位宣導鼓勵租用虛擬主機服務的一大賣點，畢竟各單位建置網站或系統應該不會有備援機制，一旦系統出狀況就會停擺一陣子，但租用虛擬主機就可以安心多了。

依據《資通安全責任等級分級辦法》[1]應辦事項規定，網路防火牆及防毒軟體是一定要啟用的資通安全防護措施，而資訊中心通常會架設網路防火牆保護虛擬主機，並購買合法授權的防毒軟體提供各單位系統安裝，可達成法遵基本要求。

適當的溫度是維持主機正常運作的重要因素，資訊中心機房一定有做環境溫度控制，甚至採用冷熱通道分離的節能設計，配合多臺冷氣機交替運作，為主機提供了最佳的運作環境，也大大提高了主機的穩定性。另外資訊中心的實體伺服器主機都在不斷電系統的保護下，可防止供電瞬間的電源突波對機器造成損害，通常也另外設置柴油發電機在市電中斷時立即透過ATS 系啟動發電，以提供更長時間的穩定備援電力來源。

5.2 系統本身安全？
雖然資訊中心提供基本安全保障，但別讓各單位誤認為就不再有資安問題，因為安全與否還取決於網站運作的三個層面。

第一是接受網路HTTP(S)請求並回應的網站伺服程式，如：Apache、Nginx、IIS、Node.js 等。

第二是網站設計採用的程式語言、第三方套件或架站套裝軟體，如：HTML、PHP、ASP、jQuery、XML、Javascript、Node.js、Wordpress、Joomla、Drupal 等。

第三是網站後臺的資料庫系統，如：MySql、MariaDB、MS SQL、PostgreSQL 等。

以上三者在網站提供服務時是緊密相關的，可能分別存在不同的安全漏洞。網站伺服程式及資料庫系統可透過主機弱點掃描工具(簡稱主機弱掃)，判讀軟體版本並提出修補建議；自行開發或是採用第三方架站軟體所開發的網站，則要透過網站應用程式弱點掃描工具或是源碼檢測工具來發現漏洞。

網站所在的主機環境，還包含了作業系統、提供網站服務的相關套件以及開放的連線方式。

常見的作業系統可分成Windows 及Linux 兩大類。微軟的Windows Server 則都是要付費購買的作業系統。Linux 又可分為免費的Community版本以及需要付費的商業版本，這要看各個廠商所使用的版本，一般常見的有 Ubuntu、CentOS、Debian、Redhat、SUSE、Rocky 等。主機安裝的作業系統版本須注意是否仍在官方的維護清單，如果官方已經停止更新支援，就不建議繼續使用。

主機上的套件提供了對外開放的連線方式以及網站運作的必要軟體，如提供大眾服務的連接埠HTTP/HTTPS、遠端維護管理的SSH、遠端桌面(RDP)、PHP 程式、資料庫系統等，這些系統環境因子如果存在安全漏洞當然會影響網站運作。

不論是實體機或是虛擬機都需要安裝作業系統，網站也必須透過前面提過的網站伺服器及資料庫等套件才能正常運作。要發現作業系統或是網站的漏洞，就要定期進行主機弱掃。

由於主機弱掃所檢查出的系統漏洞都是已經公開的資訊，駭客或有心人士會優先嘗試透過這些漏洞來攻擊系統，進行入侵、破壞、竊取資料等行為，對於系統運作及資料安全造成嚴重的影響。如果發現系統有關鍵或是高風險漏洞，一定要找系統開發者或委外廠商負責解決，降低風險並預防系統遭駭入的可能性。

Chapter 5資通系統集中化管理(節錄)
高等教育深耕計畫資安強化專章的績效指標主項目「確保資通系統管理量能」有兩個次要項目：資通系統集中化管理，資通系統資安管理作業原則集中至學校資訊(安)單位或其他具備資通安全專業能力之團隊統籌辦理，並因應集中化管理需求增聘適當人力；適度降低資通系統數量，汰換整併校內資通系統網站以降低資通系統數量。要加強閒置網站及因應臨時需求建置網站之管控，下架或限制存取。

5.1 基本安全保障
資通系統集中化管理可有效聚焦資安防護範圍，提升安全防護效能，這章就來談談資訊中心通常可以提供的基...

推薦序
我因受邀參與教育部資安管理工作，結識陳育毅教授多年。陳教授具有深厚的資訊及資安學研背景，擔任教育機構資安驗證中心主任多年。他這本精心籌備撰寫完成的著作，可說是《資安法》實施以來，首部集大成的絕佳實務指引。

陳教授的著作有幾項值得向大家推薦的特色如下：1.落實資安法遵最完整的實作寶典：全面盤點《資安法》及逐一重點解析，復依作者多年的實作印證經驗，提供讀者最完整具體、簡明易懂及創新的實作指引，讓讀者猶如擁有一本可以倍增資安管理功力的案頭寶典。2.全觀的、多視角的法遵框架建構及有條不紊的實施步驟指引：從策略、管理及技術三個層面，逐一探討每一面向及細項的精義重點，從資安長與推動組織、核心業務及核心系統、風險評鑑方法、委外廠商管理及資安認知等系列，有序地逐一導引讀者解鎖《資安法》奧義及遵循實施。3.豐富多元的實用資源：提供實用的工具、方法、模板、表單、宣導素材及網路資源，讓即使不是資安專業的讀者也可以迅速靈活運用及依樣操作，提升法遵合規作業效率。

本書第1章〈資安長與資安推動組織〉內容是各章中最豐富者，彰顯作者特別凸顯資安長作為組織資安領頭羊角色及職能當責的重要性，建議讀者可以多花一點時間細細品讀，再逐章開展。

我相信陳教授這一本大家期待已久的指標性專著，可以協助公私部門將專業化的資安法遵工作普及化、標準化及全民化，進而內化成為百工百業的組織治理文化，達成「資通安全，人人有責」的理想。

國家資通安全研究院 何全德院長
2024.7.7


推薦序
本書提供相當多值得機關參考的資安管理策略與實務，首先我特別注意到資訊資產盤點、風險評鑑的建議方案，介紹基於ISO 27005、ISO 31010的高階風險評鑑方法，並參考國家資通安全研究院相關建議，提供一套完整的檢核表格與執行程序，不僅涵蓋系統分級，更將高階風險評鑑視為必須檢核防護基準的重要手段，納入安全控制措施的改良做法。另外，基於ISO 27001、ISO 31000、ISO 27005，詳細闡述如何進行詳細風險評鑑，針對威脅與弱點的識別，提供詳細的威脅目錄清單與控制措施識別清單，有效引導資訊資產管理者全面考量並確保評估的完整性。這些設計不僅簡化複雜的評估過程，還提供明確的引導方式，以及程序書參考條文，對於各機關落實資訊資產與資通系統風險評估合規，提供絕佳的參考方案與最佳實務。

本書也深入探討委外執行的法遵面要求，提供從考量、選任到監督的完整過程詳細指導，提醒委外人員在各階段應有的資安管理作為，並開放使用的教育訓練簡報，為各機關在這方面提供很好的教育宣導素材。而委外資通系統廠商須知的內容，不僅是委外廠商，更是各機關系統開發人員相當值得深入研讀的詳盡指引，強調達成資通系統防護基準的技術要求，將國家資通安全研究院的安全控制措施參考指引、美國國家標準及科技研究所頒布的NIST SP800-53安全控制措施進行深入淺出的探討，系統開發人員熟讀此章內容便能確保開發出的系統符合防護基準要求。

國家資通安全研究院 吳啟文副院長 2024.6.19


推薦序
隨著網路的大量使用，資訊安全已成為各界不可忽視的重大議題，民國 108 年實施的《資通安全管理法》，更是將資安視為國安發展的重大里程碑，為政府機關確立了資安防護的規範基準。

教育部於民國98 年開始規劃教育體系的資訊安全與個人資料保護管理系統驗證制度，也成立教育機構資安驗證中心，104 年開始委由國立中興大學陳育毅主任負責執行，多年來為教育體系培育相當多的資安人才，而且在《資安法》實施後配合教育部部屬機關(構)及國立大專校院資通安全實地稽核，有效檢視教育體系的資安法規落實程度。

在陳主任的帶領下，資安驗證中心根據教育體系的需求，提供全面性的資安管理指引與資源，除了擬定「全校落實資通安全之優先執行策略」，以提供各校更明確的推動方式及依據之外，也設計「資安管理程序書範本」與「風險評鑑改良方法」，以提供更妥善的程序方法。此外也編撰「教育體系資通安全稽核常見問題集」奠定稽核共通標準，建立「內稽人才資料庫」有效促進教育體系稽核人才交流，編撰「內稽作業常見問題」提供教育體系強化內部稽核作業。陳主任更是發展一系列教材與資源公開分享，讓資安相關人員及主管能有效學習資安工作的推動與執行方法。

《資通安全法合規研究與管理實務指引》的內容中有陳主任多年來執行稽核計畫所累積的案例分析，以及擔任國立中興大學計資中心主任長達八年推動校內資安工作的實務經驗，是非常值得參考的資安實務指引。此書不僅說明符合資安法規要求的實作方法，更無私分享管理實務的難題與解決方案。全書豐富的圖文解說能讓資安新手更容易理解，而且其分享不少線上資源更是執行資安作業的絕佳工具，也是想更進一步提升功力的資安專業人員必看寶典。

教育部資訊及科技教育司 吳穎沺司長
2024.6.25

推薦序
我因受邀參與教育部資安管理工作，結識陳育毅教授多年。陳教授具有深厚的資訊及資安學研背景，擔任教育機構資安驗證中心主任多年。他這本精心籌備撰寫完成的著作，可說是《資安法》實施以來，首部集大成的絕佳實務指引。

陳教授的著作有幾項值得向大家推薦的特色如下：1.落實資安法遵最完整的實作寶典：全面盤點《資安法》及逐一重點解析，復依作者多年的實作印證經驗，提供讀者最完整具體、簡明易懂及創新的實作指引，讓讀者猶如擁有一本可以倍增資安管理功力的案頭寶典。2.全觀的、多視角的法遵框架建構及有條不紊的實...

推薦序
1. 資安長與資安推動組織
1.1 資通安全實地稽核項目第二構面
1.2 資通安全實地稽核項目第一、三構面
1.3 讓資安長掌握資通系統盤點之重點概念
1.4 讓資安長掌握業務持續運作之重點概念
1.5 讓資安長掌握必要資安防護機制之重點概念
1.6 讓資安長掌握資安人員配置訓練之重點概念
1.7 全機關導入ISMS 資安長應掌握重點

2. 核心業務及核心系統
2.1 界定機關核心業務
2.2 從業務角度盤點核心資通系統
2.3 非核心業務及說明

3. 高階風險評鑑方法改良
3.1 高階風險評鑑做法建議
3.2 依資通系統防護基準執行控制措施
3.3 程序書修訂參考

4. 詳細風險評鑑方法改良
4.1 威脅及弱點評估做法改良
4.2 識別既存控制措施做法改良
4.3 程序書修訂參考

5. 資通系統集中化管理
5.1 基本安全保障
5.2 系統本身安全？
5.3 資通系統集中化管理的推動過程
5.4 網路維運中心(NOC)及安全維運中心(SOC)
5.5 網站共構系統或將網站移置外部較安全平臺

6. 強化資安認知訓練
6.1 資安通識教育訓練實施方式
6.2 資安通識教育訓練配套措施
6.3 辦公室張貼資安宣導海報
6.4 強化新進人員資安宣導
6.5 資安專業教育訓練實施對象

7. 委外辦理資通業務
7.1 資通系統、資通服務
7.2 委外考量
7.3 選任適當受託者
7.4 監督受託者資通安全維護情形
7.5 資訊服務採購案之資安檢核事項
7.6 限制使用危害國家資通安全產品
7.7 資通安全稽核檢核項目之委外相關構面
7.8 委外承辦人員落實教育訓練
7.9 程序書修訂參考

8. 委外資通系統廠商須知
8.1 對資通系統防護基準有更多認識
8.2 資通系統防護基準之存取控制
8.3 資通系統防護基準之事件日誌與可歸責性
8.4 資通系統防護基準之營運持續計畫
8.5 資通系統防護基準之識別與鑑別
8.6 資通系統防護基準之系統與服務獲得
8.7 資通系統防護基準之系統與通訊保護
8.8 資通系統防護基準之系統與資訊完整性
8.9 資通安全稽核檢核項目相關構面
8.10 各類資訊(服務)採購之共通性資安基本要求

9. 各單位主管的支持
9.1 督導並要求落實資安文件
9.2 督導並要求落實清查IoT
9.3 督導並要求落實資安措施
9.4 督導並要求參與資安教育訓練
9.5 督導並要求遵循採購規範
9.6 配合稽核
9.7 資安的價值

10. 全員日常資安對策
10.1 資訊安全管理系統之導入
10.2 全員日常資安重點
10.3 全員日常資安-落實資安措施
10.4 全員日常資安-資安事件通報與社交工程
10.5 全員日常資安-資安通識教育
10.6 全員日常資安-IoT 適當管控

11. 利害關係人與通報管理
11.1 利害關係人地圖
11.2 利害關係人關注紀錄與回應處置
11.3 資通安全事件通報作業規範之考量

12. 資安融入內部控制制度
12.1 內部控制及稽核制度實施辦法
12.2 上市上櫃公司資通安全管控指引

13. 資安稽核常見問題說明
13.1 Part A:一、核心業務及其重要性
13.2 Part B:二、資通安全政策及推動組織
13.3 Part C:三、專責人力及經費配置
13.4 Part D:四、資通系統盤點及風險評估
13.5 Part E:五、資通系統或服務委外辦理
13.6 Part F:六、資通安全維護計畫與實施情形
13.7 Part G:七、資通安全防護及控制措施
13.8 Part H:八、資通系統發展及維護安全
13.9 Part I:九、資通安全事件通報應變
13.10 請持續關注查檢重點與依據

14. 鑑往知來、預做準備
14.1 基於ISO 27001改版調整委外查核表(Part1)
14.2 基於ISO 27001改版調整委外查核表(Part2)
14.3 基於ISO 27001改版調整委外查核表(Part3)
14.4 基於ISO 27001改版調整委外查核表(Part4)
14.5 基於ISO 27001改版調整委外查核表(完成)
14.6 基於資通安全實地稽核表改版做準備
14.7 資安管理工作的投入

推薦序
1. 資安長與資安推動組織
1.1 資通安全實地稽核項目第二構面
1.2 資通安全實地稽核項目第一、三構面
1.3 讓資安長掌握資通系統盤點之重點概念
1.4 讓資安長掌握業務持續運作之重點概念
1.5 讓資安長掌握必要資安防護機制之重點概念
1.6 讓資安長掌握資安人員配置訓練之重點概念
1.7 全機關導入ISMS 資安長應掌握重點

2. 核心業務及核心系統
2.1 界定機關核心業務
2.2 從業務角度盤點核心資通系統
2.3 非核心業務及說明

3. 高階風險評鑑方法改良
3.1 高階風險評鑑做法建議
3.2 依資通系統防護基準執行控制措施
3.3 程序...