⼀、資安政策與治理
● 《資通安全概論》職能訓練教材改版 
免訓評量
1. 科目限《資通安全概論》，需提出申請（申請方式115年2月公布）
2. 比照參訓評量，1次首測+4次複測 (複測仍須收費300元)
參訓評量
首測
1. 參加該科目資安職能訓練 2. 訓練出席率達五分之四以上
複測
1. 已參加首測評量，惟成績未達合格標準 2. 報考以4次為限，每次收費300元
換證
1. 已持有資安職能訓練證書 2. 報考以2次為限
換證試題配合新版(114年11月改版)教材更新
● 政府組態基準(GCB)設定 
資安責任等級A、B級公務機關應於初次受核定或等級變更後之1年內，依主管機關公告之項目，完成GCB導入作業，並持續維運。
● 新版VANS系統作業推動 
建議每季至少上傳1次以比對弱點資訊。
高風險(CVSS 7.0分以上)弱點，應優先修補。
● 建立資安專職人力調訓機制 
公務機關資通安全專職人員 (A級4人、B級2人、C級1人)
人數規模約1,500人，原則均應實體參訓
● 資安業務績效評核 
資通安全責任等級B級以上中央機關(構)、公法人、直轄市政府所屬資訊機關及縣(市)政府均列入評選
資通安全責任等級C級以上公務機關採機關遴薦報名制
1. 資通安全管理法法遵應辦 事項執行情形 
2. 資通安全管理作業及業務 配合執行情形
3. 其他資通安全管理業務促 進活動或特殊創新作為

二、資安技術與防護機制 
● 持續精進網路攻防演練 
● 受託者資通安全聯合查核指引 
本次修正重點以擴大稽核涵蓋範圍及強化技術面合規事項為目標
資安法主管機關籌組稽核團隊
公務機關依據資訊服務採購契約，委由資通安全 管理法主管機關籌組專案團隊稽核
公務機關自行籌組聯合稽核團隊 
• 中央二級機關聯合所屬三、四級機關或聯合同領 域公務機關 
• 地方政府得參照上述辦理

三、近期政府機關資安事件案例分享及資安宣導
114年1月至9月資安事件
非法入侵
主因：為使用/下載來源不明之應用程式/套件，主要為下載含有 惡意程式之偽冒通訊軟體
設備問題
主因：多為設備異常/ 毀損、電力供應異常等
3級以上資安事件樣態
機密性
• 雲端空間權限設定不當 
• 人員疏失 
• 社交工程 
• 公文系統設定錯誤
• 網頁漏洞遭利用
可用性
• 電力問題核心系統可用性中斷
• 系統遭入侵，影響核心業務(急診業務) 
• 目錄權限設定錯誤，影響機關CI核心業務可用性 
• 資料庫異常，無法於可容忍中斷時間內修復 
• 網路設備異常，影響機關CI核心系統可用性
未即時處理資安預警警訊導致個資外洩
案係資安署於114年3月發布資安預警警訊(EWA)通知機關系統疑似存在弱點， 請機關儘速確認並進行必要應處，惟機關遲至5月被通知後才進行處理，該系 統已遭有心人士登入並瀏覽他人個資資料，已造成個人資料外洩風險，爰通報 3級資安事件。
建議防範措施
● 資安署及資安院發布之EWA警訊，機關應儘速處理，並依警訊內容進行檢視， 若發現入侵事實(機密性、完整性或可用性受影響)，須依資安法進行通報 
● 資料保護，敏感資料加密儲存、查詢過程遮蔽及最少揭露
雲端空間權限權限設定不當
機關辦理參訪活動報名時，透過QR CODE供⺠眾⾄雲端空間下載報名表， 後續廠商將整理後含個資之報名資料與⺠眾可下載報名表存放於相同雲端空間內，惟未設定雲端空間存取權限，導致⺠眾可掃描QR CODE後下載含個資之報名資料，致敏感資訊外洩。
建議防範措施
● 機關辦理對外活動或公告所使用之報名方式時，應確認其內容之妥適性及其資 安管理措施，避免因設定不當致資料外洩 
● 使用雲端空間分享敏感資訊時，檔案需加密，且資料夾應有合適權限管控 
● 注意廠商管理，針對機敏資訊應加強管理與防護
機關公務電話節費盒遭入侵及盜撥電話
案係某機關發現其公務電話遭不明人士盜打進行詐騙，經查該公務電話係機關使用之網路電話，比對撥話紀錄，發現有外部IP撥打情形，判斷應 係設置於機關內部之電話節費盒遭外部惡意登入後，進行未授權撥號所致。
建議防範措施
● 使用高強度密碼、並定期更新以及移除預設帳密 
● 遵循「原則禁止，例外允許」原則，進行存取限制管理 
● 納入監控，定期查看帳號登入及設備連線記錄，避免異常情形 
● 定期盤點更新狀態，若設備已停產或不再提供安全性更新，應評估是否需進行汰
資安宣導
資安推廣-惡意檔案檢測服務
資安署所管台灣電腦網路危機處理暨協調中心(TWCERT/CC)，提供惡意檔案檢測服務(VirusCheck)，本服務採用雲地混合架構，利用公有雲具彈性、高效及安全等特點，並結合地端商用沙箱之分析能力確保檢測資訊不外洩。建議機關可多加利用，避免機關利用VirusTotal進行檔案檢測時，誤將敏感資訊上傳造成資料洩漏。

資料來源：114年第2次政府資通安全防護巡迴研討會重點節錄