113年第2次政府資通安全防護巡迴研討會重點摘要

資訊作業委外安全管理
1. 政府機關雲端服務應用資安
機關使用雲端服務可參考國家資通安全研究院公布之 【政府機關雲端服務應用資安參考指引】
為降低政府機關建置或使用雲端服務可能風險，辦理雲端服務採購作業建議參考行政院公共工程委員會113年5月17日公布之【資訊雲端服務採購契約範本】

2. 113年資安服務共同供應契約
113年共同供應契約-新增紅隊演練服務
為協助政府機關導入優質⺠間資安服務廠商，廠商評鑑結果將提供機關選擇委外廠商之參考

3. 限制使用危害國家資通安全產品
盤點陸牌設備方法
確認陸牌產品方式

4. 委外管理之常見稽核發現
廠商資安作為評估
契約要求
委外管理程序落實

近期資安政策宣導
1. 112年度資安治理成熟度結果

112年度公務機關IT資安治理成熟度評估結果
A級機關在各資安構面表現均較B級機關佳

A級公務機關弱項為：
T2.通訊作業管理面
T4.資通系統開發與維護安全管理

B級公務機關弱項為：
M2.資訊委外安全管理
T2.T3.T4.技術面能力度相對較弱

112年度CI提供者IT資安治理成熟度評估結果
金融、科技之關鍵基礎設施領域表現 較佳，而水資源領域尚須努力

整體CI領域資安防護弱項：
M2.資訊安全委外管理
T4.系統開發與維護管理

112年度CI提供者OT資安治理成熟度評估結果
多數CI領域在資安認知與教育訓練能力度較佳
各領域在OT工控領 域構面差異明顯，醫療領域面臨的困境較多。

整體CI領域資安防護弱項：
T5.系統偵測與機敏資訊安全防護
M4.資訊委外安全管理

2. 政府資安人員職能轉換訓練
修習20學分或360小時以上相關專業科目，取得轉任資訊處理職系資格 
開課資訊(包含開課學校及課程)資安署將發函相關機關，並於資安署網站公告 
學員依需求參加全修班及選修班

資料來源：113年第2次政府資通安全防護巡迴研討會重點節錄