主旨:轉知有關 110 年 12 月 7 日「行政院國家資通安全會報第 38 次委員會議(擴大會議)」紀錄,會議決議重點如說明,請貴機關(單位)知悉辦理,請查照。
說明:
一、依行政院秘書長 110 年 12 月 22 日院臺護長字第 1100196857 號函辦理。
二、摘錄本府及所屬各機關有關後續辦理內容如下:
(一)請檢視轄下是否存有遠端存取不當、委外單位資安認知不足、未落實安全軟體開發等資安問題,並加速改善與落實執行資安作業。
(二)請優先採購國內資安自主產品,提升機關資安防護能量之際,亦能促進國內資安產業商機。
(三)請針對涉及人民及經濟發展所管轄之產業,逐步推動建立整體資安聯防機制。
(四)機關內部應原則禁止遠端連線、導入資安弱點通報及端點偵測機制、敏感資訊加密儲存及傳輸、確實設定防火牆、不使用弱密碼或預設密碼、系統上線或更版前辦理安全驗測、資安事件依限通報等 7 項配合事項。
(五)請儘速確認國家資通安全發展方案(110 年至 113 年)中, 110 年各項具體措施之達成情形,並即早規劃 111 年相關應處作為。
(六)各機關除持續落實原資安法外,亦須注意子法修法重點,如導入資安弱點通報及端點偵測、取得 TAF 標誌的第三方驗證證書、管控遠端存取、機敏資料加密等,以精進資安防護量能。
(七)於 111 年 6 月底前確認所管關鍵基礎設施提供者及公營事業設置資安長,並將資安專責人力調整為資安專職人力。
(八)配合各項資安重點作業,如定期填報大陸廠牌資通訊產品清冊、落實視訊會議及即時通訊軟體使用安全等項,以降低資安風險。
(九)辦理相關資訊服務採購時,應於各階段加強各項資安作為,如即時揭露系統資安防護等級、資安經費、機關資訊(安)人員全程參與等,並定期對委外廠商辦理稽核。
(十)資訊服務採購契約範本已於 110 年 4 月 9 日修正,並納入相關資安規範,請各機關於本年 12 月底前完成檢視資訊服務採購契約內容,務必將資安相關要求納入契約規範。