數位部114年度資安稽核共同發現事項及建議

114年度資安稽核共同發現事項及建議

綜整114年稽核發現，就待改善事項彙整較具重要性可提供各級機關借鏡之事項，分別就策略面、管理面及技術面及工控面說明如下【以下準則係依據資通安全管理法（108年施行版本）及相關子法（110年修正施行）】：

• 策略面

• 異地備份及備份媒體驗證

1. 說明：部分機關高等級資通系統未辦理異地備份，另未定期驗證備份媒體可靠性與備份資訊完整性。
2. 建議：依資通安全責任等級分級辦法防護基準規定，防護需求等級為高之資通系統應在與運作系統不同地點之獨立設施或防火櫃中，儲存重要資通系統軟體與其他安全相關資訊之備份（115年修正後為防護需求等級為高之系統，應建立資料異地備份機制），另防護需求等級為中以上之系統，應定期測試備份資料，驗證備份媒體之可靠性及資訊完整性，以確認資料備份還原機制正常運作。

• 業務持續運作演練
  1. 說明：部分機關業務持續運作演練未納入新興資安威脅及複合式情境、無業務單位參與，或演練範圍未包含所有核心資通系統。
  2. 建議：依資通安全責任等級分級辦法應辦事項規定，核心資通系統應辦理業務持續運作演練，建議納入新興資安威脅及複合式情境，以切合實際複雜情形，並落實各業務單位共同參與演練，以驗證業務服務有效性及真實反映跨單位合作之整體韌性。
• 資通系統防護需求分級原則
  1. 說明：部分機關未依資通系統防護需求分級原則評估系統分級，或未建立客觀一致性之衡量標準。
  2. 建議：依資通安全責任等級分級辦法第11條規定，各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級原則完成資通系統分級。機關應對資通系統進行機密性、完整性、可用性、法律遵循性四個構面進行評估分級，並建議建立全機關客觀一致之評估標準，且應於每年定期檢視分級妥適性，以有效分配資安防護資源。

• 管理面

• 資通系統或服務委外辦理之管理措施
  1. 說明：部分機關未定期稽核委外廠商執行情形，亦缺乏後續追蹤與改善機制，同時尚未建立系統第三方元件清單。
  2. 建議：依資通安全管理法施行細則第4條規定（115年修正後為第7條），委託機關應定期或於知悉受託者發生可能影響受託業務之資通安全事件時，以稽核或其他適當方式確認受託業務執行情形，機關宜建立後續追蹤與改善機制，以確保供應鏈安全，後續建議參加主管機關辦理之受託者聯合稽核，以簡化行政成本，提升委外品質與效能；另機關應建立系統第三方元件清單，以掌握元件來源、版本及授權證明，以利於接獲漏洞情資時盡速修補。
• 資通系統與資訊資產盤點
  1. 說明：部分機關未建立資產異動管理程序，或資產盤點範圍未涵蓋全機關，導致資產清冊與實際情形不符。
  2. 建議：依資通安全管理法施行細則第6條規定（115年修正後為第9條），資通安全維護計畫應包含資訊及資通系統之盤點，並標示核心資通系統及相關資產，機關應落實全機關資產盤點，盤點範圍包含全部單位，及納入IT、OT、IoT相關設備等，並建立資產異動管理程序，包含各類資產異動管理，如實體設備回收、業務異動等，以完整掌握資產範圍，俾利進行後續風險評鑑及處理。
• 資安風險評估機制
  1. 說明：部分機關資安風險評估機制未臻妥適，未適當檢討可接受風險值及未針對委外業務項目進行風險評估。
  2. 建議：依資通安全管理法施行細則第6條規定（115年修正後為第9條），資通安全維護計畫應包含資通安全風險評估（風險管理），建議機關建立相關風險準則、進行風險評鑑等，且風險評估成員應包含資訊、資安人員及業務相關人員，以利風險評估結果符合機關現況情形。另不可接受之風險評估等級及風險評估結果，應經機關管理層級審查並核定，適時檢討可接受風險值。

• 技術面

• 資通安全防護及控制措施
  1. 說明：部分機關資安防護未臻完善，如未建立完善的網段區隔、實體機房未落實管制(如監視、消防、進出管制等），且未落實無線基地臺、雲端服務之防護控制措施。
  2. 建議：依資通安全管理法施行細則第6條規定（115年修正後為第9條），資通安全維護計畫應包含資通安全防護及控制措施，建議機關網路架構應依網路服務需要區隔獨立的邏輯網域，如DMZ、內部或外部網路等，另於提供無線網路、雲端服務時，應針對服務存取及應用訂定相關安全管控程序並落實執行防護控制措施，以減少潛在攻擊。
• 弱點修補管理機制
  1. 說明：部分機關未完成中高風險弱點之修補，亦未建立替代管控措施，另修補後未進行複測，無法確認修補有效性。
  2. 建議：依資通安全責任等級分級辦法應辦事項及資通系統防護基準規定，應定期辦理安全性檢測、資安健診等，及確認資通系統相關漏洞修復之狀態及系統之漏洞修復應測試有效性及潛在影響，並定期更新，建議機關發現系統漏洞後，應執行漏洞修補，且測試漏洞修復之有效性及潛在影響，如未能及時完成修補，應建立替代緩解管控措施，並持續追蹤。
• 資安事件通報應變
  1. 說明：部分機關未於時限內完成資安事件通報，第3級與第4級事件未依規定由資安長召開會議研商；另部分機關相關通報應變程序書未完整包含法規要求，導致應變制度未臻完善。
  2. 建議：依資通安全事件通報及應變辦法第4條、第7條、第11條及第14條規定（115年修正後為資通安全事件通報應變及演練辦法第6條、第9條、第11條及第14條），公務機關及特定非公務機關知悉資通安全事件後，應於1小時內依主管機關指定之方式及對象，進行資通安全事件通報，知悉第3級或第4級資通安全事件後（115年修正後為重大資安事件），其資通安全長應召開會議研商相關事宜，並得請相關機關提供協助，建議機關透過演練、宣導等方式確保相關人員熟悉資安事件通報、應處等程序。

四、工控面

• 帳號密碼管理機制
  1. 說明：部分機關帳號密碼管理機制未完備，如OT系統管理者密碼為供應商持有、未定期審查帳號、未變更預設密碼及共用帳號且無其他監管措施等。
  2. 建議：機關應依各領域中央目的事業主管機關擬定之防護基準或資通安全責任等級分級辦法資通系統防護基準規定辦理相關控制措施，並應定期審查OT帳號、變更預設密碼、共用帳號應有其他監管措施（如架設監視器等方式監控），以最小權限為原則進行權限管理，確保OT設備之存取控制。
• OT資產盤點
  1. 說明：部分機關未完整盤點OT資產，或盤點分類方式不符合防護基準要求。
  2. 建議：依資通安全管理法施行細則第6條（115年修正後為第9條）及中央目的事業主管機關擬定之防護基準規定，機關應完整盤點OT資產，另部分機關應依所屬領域之防護基準規定進行OT資產分類，以掌握設備資產並遵循其防護基準。
• OT資安防護控制措施
  1. 說明：部分機關未落實執行OT資安防護控制措施，如重大漏洞未更新，缺乏校時機制，亦未完成OT網段隔離規劃與建置等。
  2. 建議：機關應依各領域中央目的事業主管機關擬定之防護基準或資通安全責任等級分級辦法資通系統防護基準規定辦理相關控制措施，遇有重大漏洞應與建置或維運廠商充分溝通確認修補之可行性，如因技術限制、設計、結構或性質等因素，就控制措施執行顯有困難者，得依資通安全責任等級分級辦法第11條規定，提交配套措施經等級提交機關或等級核定機關同意，報請主管機關備查後，免執行該事項或控制措施，惟仍須加強網段隔離及實體防護。