數位發展部公布【111 年度公務機關資安稽核概況報告】顯示仍有多數政府相關單位未界定並落實盤點核心業務及核心資通系統。
【111 年度公務機關資安稽核概況報告】以抽檢方式檢視各機關資安維護計畫,包含各項資安管理政策、程序等法遵事項落實情形,並將法遵事項依屬性,透過 8 大項技術檢測以實地稽核作業,發掘機關可能的資安風險。
8 大項技術檢測項目有:
- 使用者電腦安全檢測: 使用者電腦弱點掃描、使用者電腦安全防護檢測
- 物聯網設備檢測
- 網域主機安全防護: 使用者電腦安全防護檢測、安全性更新檢測、惡意程式檢測
- 資料庫安全檢測
- 核心資通系統安全: 核心資通系統內網滲透測試、核心資通系統防護基準檢測
- 網路架構檢測
- 組態設定安全檢測: 作業系統組態檢測、瀏覽器組態檢測、網通設備組態檢測、應用程式組態檢測
- 網路惡意活動檢視: 惡意中繼站連線阻擋檢測、APT 網路流量檢測
實地稽核項目有:
- 策略面:核心業務及其重要性、資通安全政策及推動組織、專責人力及經費配置
- 管理面:資訊及資通系統盤點及風險評估、資通系統或服務委外辦理之管理措施、資通安全維護計畫與實施情形之持續精進及績效管理機制
- 技術面:資通安全防護及控制措施、資通系統發展及維護安全、資通安全事件通報應變及情資評估因應
本次總共稽核17個機關單位。將受稽機關依資安等級分成3組,僅就資安等級A者(共6個單位)進行技術檢測及實地稽核。其他僅進行實地稽核。
111 年稽核結果
技術檢測項目中「物聯網設備檢測」、「網域主機安全防護檢測」、「資料庫安全檢測」、「組態設定安全檢測」及「網路惡意活動檢視」等 5 項表現較佳。但在「使用者電腦安全檢測」、「核心資通系統安全檢測」及「網路架構檢 測」等 3 個檢測結果顯示仍待改進。尤其是「網路架構檢測」,經統計發現較多機關存在網路設備、網路網段存取控制設計不良、及未限制非加密資料傳輸協定等風險弱點。
實地稽核發現主要問題點為未落實資訊資產盤點、委外服務契約未納入資通安全管理法相關法遵要求或未落實執行、系統風險評鑑及處理機制不妥適、未就資安健診或資安事件發現的風險漏洞及問題有改善追蹤機制,及未落實執行資安事件通報及應變程序。尤其是在「資訊及資通系統盤點及風險評估」成績最低,顯示仍有多數機關在界定並落實盤點核心業務及核心資通系統,尚待持續調整改善。
改善建議
本次稽核報告也提出綜合改善建議:
- 各機關應依核心業務盤點對應的資通系統,並將支持核心業務持續運作之必要系統列為核心資通系統。
- 核心資通系統應定期進行安全性檢測,如:弱點掃描、滲透測試及資通安全健診,檢測結果應即處置,並應有追蹤檢測機制確認修補之有效性,以確實降低機關之資安風險。
- 核心資通系統之系統復原時間目標(RTO)及資料復原時間點目標(RPO)之評估,應考量實際業務需求,與業務單位共同評估,並適度安排備份資料回復測試週期且落實執行
- 應制定資通安全政策、目標。資通安全目標宜有量化與質化指標。量化型指標並應考量合宜性,可依機關之資通安全責任等級對應資通安全責任等級分級辦法。並不可以納入資安事件發生次數,以免影響資安事件通報意願。
- 對委外作業安全建立相關管理程序,從技術與能力要求、服務水平、安全控制措施(包括保密、處理人員之管理)及績效之管控、對廠商之稽核等監督管理 機制,皆應明制於機關管理程序,並納入與廠商之契約規範中落實執行。
- 機關對於遠端維護資通系統,除應採「原則禁止、例外允許」,並應強化相關管理作為。遠端存取開放原則應以短天期為限,並建立異常行為管理機制。