資通安全責任等級分級辦法應辦事項-資安專職人力及證照
一、資通安全專職人員之職務內容分策略面、管理面及技術面等三大面向,各面向內容如下:
(一)策略面:
1.機關(及所屬)資安政策、資源分配及整體防護策略之規劃。
2.機關導入資安治理成熟度之協調與推動。
3.資通安全維護計畫實施情形之績效評估與檢討。
4.(屬上級或監督機關者)稽核所屬(或所監督)公務機關之資通安全維護計畫實施情形。
(二)管理面:
1.訂定、修正及實施資通安全維護計畫並提出實施情形。
2.訂定及建立資通安全事件通報及應變機制。
3.辦理下列機關資通安全責任等級之應辦事項:資訊安全管理系統之導入及通過公正第三方之驗證、營運持續計畫演練、辦理資通安全教育訓練等。
4.(屬上級或監督機關者)針對所屬(或所監督)公務機關,審查其資通安全維護計畫及實施情形、辦理其資通安全事件通報之審核、應變協處與改善報告之審核。
5.委外廠商管理與稽核。
(三)技術面:
1.整合、分析與分享資通安全情資。
2.配合主管機關辦理機關資通安全演練作業。
3.辦理下列機關資通安全責任等級之應辦事項:安全性檢測、資通安全健診、資通安全監控管理機制、政府組態基準、資通安全防護等。
4.(屬上級或監督機關者)針對所屬(或監督)公務機關,規劃及辦理資通安全演練作業。
二、機關資通安全專職人員之職務分工建議如下:
(一)A級機關置4名專職人員:1名負責策略面工作,1至2名負責管理面工作,另1至2名負責技術面工作。
(二)B級機關置2名專職人員:1名負責策略面及管理面工作,另1名負責技術面工作。
(三)C級機關置1名專職人員:統籌機關資安業務。
三、機關如兼屬資安法之中央目的事業主管機關,應對所管轄之特定非公務機關辦理下列事項,如資通安全專職人員無法容納,建議由機關權責單位另派人力辦理,資通安全專職人員提供必要之協助。
(一)審查其資通安全維護計畫及其實施情形。
(二)稽核其資通安全維護計畫實施情形。
(三)辦理其資通安全事件之通報審核、應變協處、改善報告審核。
(四)訂定及修正機關特定非公務機關管理辦法。
(五)指定關鍵基礎設施提供者及訂定其防護基準。
(六)分享資通安全情資。
一、依 115 年 1 月 7 日修正公布之《資通安全責 任等級分級辦法》附表一至附表六規定,所稱 資通安全專職人員,指應全職執行資通安全 業務者,亦即資通安全為其主要核心業務,且 應優先辦理,各機關得依前述說明進行實務 認定。
二、各機關應優先於機關總員額內配置資通安全 專職人員,惟為解決機關人力短時間調配問 題,如暫無缺額人力可支配,得先以約聘僱或 委外人員擔任。另鼓勵可優先任用轉職系人 員,以提升資安防護能力及留任相關人才。
三、此外,建議資訊業務規模小之機關可考慮將 資通系統及資源向上集中,由上級機關統籌 辦理,減少機關自行維運之負擔。向上集中辦 理之經費,於實務上有上級機關統編或由各 使用機關分攤等方式。
一、各機關人員參加主管機關辦理之資通安全職 能訓練,於完成指定時數並通過評量測驗後,即可取得資通安全職能訓練證書。
二、自 115 年 4 月起,各機關人員可選擇不參加 「資通安全概論」職能訓練課程,逕行報名該科目之免訓評量,通過測驗者即可取得證書。詳細規定請參閱「資安人才培訓服務網」公告。
三、各機關亦得逕洽經主管機關認證之資通安全職能訓練機構申請開設專班,相關資訊請洽主管機關(電話:02-2380-8500)。
公務機關資通安全專職人員至少持有資通安全專業證照及資通安全職能訓練證書各1張以上、特定非公務機關資通安全專職人員至少持有資通安全專業證照或資通安全職能訓練證書1張以上,並維持其證照或證書之有效性。至於其他資訊或資安相關人員,機關也應鼓勵同仁踴躍參加資安相關教育訓練,提升專業能力。
一、「資通安全專業課程訓練」係泛指有助提升資通安全專職人員之資安策略、管理或技術專業知能之課程,以使資通安全專職人員勝任其職務內容。
二、「資通安全職能訓練」指經主管機關認證之資安訓練機構舉辦之資安職能訓練課程。
三、「資通安全通識教育訓練」係指資通安全相關之通識性概念課程,或機關內部資通安全管理規定之宣導課程。
四、為利資安課程時數統計,行政院人事行政總處自110年1月1日起,於公務人員終身學習入口網站之公務人員學習紀錄增加資安課程代碼:資通安全(通識)代碼522、資通安全(專業、職能)代碼523,各機關於統計學習時數時,可依代碼計算相關時數。
一、資通安全職能訓練時數取得方式,係參加經主管機關認證之資安訓練機構舉辦之資安職能訓練。
二、資通安全專業課程訓練係指可對應資安職能訓練發展藍圖中策略面、管理面、技術面之專業課程為原則,且不得涉入及特定資通訊產品宣傳,其相關時數,可透過以下方式取得:
(一)參加主管機關舉辦或所開設之資通安全策 略、管理、技術相關課程、講習、訓練及研 討(習)會。
(二)參加資通安全專業證照清單上所列之訓練課程。
(三)參加機關本身、上級機關或中央目的事業主 管機關所開設之資通安全策略、管理或技術 訓練課程,且該課程經報請課程開設機關之資安長同意。
三、資通安全專業課程訓練原則應優先以實體或遠距即時互動課程方式進行,惟為因應機關特定需求,符合下列各項條件者,同意採線上課程方式取得資通安全專業課程訓練時數,惟每人每年認定上限為6小時:
(一)課程須上架至數位學習資源整合平臺「e等公務園+學習平臺」。
(二)課程內容須定期更新,課後須辦理評量,且評量內容應涵蓋授課範圍、具辨識度且定期調整。
(三)線上課程應提供「問題提問或諮詢」機制,其方式不拘。
- 一 、資通安全通識教育訓練時數,可透過以下方式取得:
- (一)由機關自行辦理資通安全教育訓練。
- (二)至數位學習資源整合平臺「e等公務園+學習平臺」 (https://elearn.hrd.gov.tw)線上修習包含資安管理制度、社交工程攻擊防護、個人資料保護、行動裝置使用安全、物聯網資安威脅等資安課程。
- 二 、資通安全通識教育訓練與資通安全專業課程訓練性質及目的不同,爰資通安全專業課程訓練時數不可抵資通安全通識教育訓練時數。
- 三 、有關資通安全教育訓練時數法遵要求,已依人員類型區分為資通安全專職人員、資通安全專職人員以外之資訊人員、一般使用者及主管等3類,其中一般使用者及主管指機關組織編制表內人員,或得接觸、使用機關資通系統或服務之各類人員。是以,除資通安全專職人員外,其餘各類人員每人每年應接受3小時以上資通安全通識教育訓練。
- 四 、針對資通安全專職人員,由機關視需要適時派訓,如該員為機關新進人員時,仍建議接受機關內部資通安全管理規定之宣導課程。
一、為使資通安全專職人員於取得LA相關證照後,持續維持稽核能力,在其持續擔任資通安全專職人員期間,要求提供每年度須至少2次實際參與該證照內容有關之稽核工作或經驗證明。
二、稽核經驗可以稽核員或觀察員身分,參與內部稽核、外部稽核或針對資通系統委外廠商之稽核,均可納入稽核經驗次數計算。