政府機關資安解決方案
政府機關面臨的資安挑戰
法規遵循
資通安全管理法中責任等級屬 A、B、C 級的政府公務機關,需定期進行資安健診,並確認使用者端電腦與伺服器主機是否存在惡意程式。
維運挑戰
資安人力不足,無法即時有效應變處理。
駭客威脅
因地緣因素,政府機關長期面臨國家級駭客威脅。
數聯資安提供政府機關完整而有效的資安防護服務
結合資安顧問、檢測、監控,即時協助政府機關進行威脅判別、通報、調查與應處
政府機關 (構) 資安責任等級
根據資安法規定,資通安全責任等級分級辦法,依據等級整理如下:
公務機關 | 特定非公務機關 | 解決方案 | ||
---|---|---|---|---|
管理面 | 資通系統分級及防護基準 | 每年至少一次 | 每年至少一次 | ISMS顧問導入服務 |
資訊安全管理系統之導入及通過公正第三方之驗證 | 通過第三驗證 | 通過第三驗證 | ISMS顧問導入服務 | |
資通安全專責人員 | 四名 | 四名 | 由各機關指派 | |
內部資通安全稽核 | 每年至少兩次 | 每年至少兩次 | ISMS顧問導入服務 | |
業務持續運作演練 | 每年至少一次 | 每年至少一次 | ISMS顧問導入服務 | |
資安治理成熟度評估 | 每年至少一次 | 無要求 | ISMS顧問導入服務 | |
技術面 | 弱點掃描(VA+WebVA) | 每年至少兩次 | 每年至少兩次 | 檢測服務團隊(VA+WebVA) |
滲透測試(PT) | 每年至少一次 | 每年至少一次 | 檢測服務團隊(PT) | |
資通安全健診(SHC) | 每年至少一次 | 每年至少一次 | 檢測服務團隊(SHC) | |
資通安全威脅偵測管理機制(SOC) | 須導入並落實 | 須導入並落實 | SOC監控團隊 | |
政府組態基準(GCB) | 須導入並落實 | 無要求 | 檢測服務團隊(SHC) | |
資通安全弱點通報機制(VANS) | 須導入並落實 | 須導入並落實 | 檢測服務團隊(VANS) | |
端點偵測及應變機制(xDR) | 須導入並落實 | 無要求 | 技術服務團隊(MDR) | |
防毒軟體(AV) | 須導入並落實 | 須導入並落實 | 合作夥伴 | |
網路防火牆(FW) | 須導入並落實 | 須導入並落實 | 合作夥伴及技術服務團隊 | |
具有郵件伺服器者,應備電子郵件過濾機制(SPAM) | 須導入並落實 | 須導入並落實 | 合作夥伴及技術服務團隊 | |
入侵偵測及防禦機制(IPS) | 須導入並落實 | 須導入並落實 | 合作夥伴及技術服務團隊 | |
具有對外服務核心資通系統者,應備應用程式防火牆(WAF) | 須導入並落實 | 須導入並落實 | 合作夥伴及技術服務團隊 | |
進階持續性威脅攻擊防禦措施(APT) | 須導入並落實 | 須導入並落實 | 合作夥伴及技術服務團隊 | |
認知與訓練 | 資通安全教育訓練 |
|
ISMS顧問導入服務、 資安課程點數 |
|
資通安全專業證照及職能訓練證書 | 專責人員取得證書並持續有效 | 資安課程點數 |
公務機關 | 特定非公務機關 | 解決方案 | ||
---|---|---|---|---|
管理面 | 資通系統分級及防護基準 | 每年至少一次 | 每年至少一次 | ISMS顧問導入服務 |
資訊安全管理系統之導入及通過公正第三方之驗證 | 通過第三驗證 | 通過第三驗證 | ISMS顧問導入服務 | |
資通安全專責人員 | 二名 | 二名 | 由各機關指派 | |
內部資通安全稽核 | 每年至少一次 | 每年至少一次 | ISMS顧問導入服務 | |
業務持續運作演練 | 每兩年一次 | 每兩年一次 | ISMS顧問導入服務 | |
資安治理成熟度評估 | 每年至少一次 | 無要求 | ISMS顧問導入服務 | |
技術面 | 弱點掃描(VA+WebVA) | 每年至少一次 | 每年至少一次 | 檢測服務團隊(VA+WebVA) |
滲透測試(PT) | 每兩年一次 | 每兩年一次 | 檢測服務團隊(PT) | |
資通安全健診(SHC) | 每兩年一次 | 每兩年一次 | 檢測服務團隊(SHC) | |
資通安全威脅偵測管理機制(SOC) | 須導入並落實 | 須導入並落實 | SOC監控團隊 | |
政府組態基準(GCB) | 須導入並落實 | 無要求 | 檢測服務團隊(SHC) | |
資通安全弱點通報機制(VANS) | 須導入並落實 | 須導入並落實 | 檢測服務團隊(VANS) | |
端點偵測及應變機制(xDR) | 須導入並落實 | 無要求 | 技術服務團隊(MDR) | |
防毒軟體(AV) | 須導入並落實 | 須導入並落實 | 合作夥伴 | |
網路防火牆(FW) | 須導入並落實 | 須導入並落實 | 合作夥伴及技術服務團隊 | |
具有郵件伺服器者,應備電子郵件過濾機制(SPAM) | 須導入並落實 | 須導入並落實 | 合作夥伴及技術服務團隊 | |
入侵偵測及防禦機制(IPS) | 須導入並落實 | 須導入並落實 | 合作夥伴及技術服務團隊 | |
具有對外服務核心資通系統者,應備應用程式防火牆(WAF) | 須導入並落實 | 須導入並落實 | 合作夥伴及技術服務團隊 | |
進階持續性威脅攻擊防禦措施(APT) | 無要求 | 無要求 | 合作夥伴及技術服務團隊 | |
認知與訓練 | 資通安全教育訓練 |
|
ISMS顧問導入服務、 資安課程點數 |
|
資通安全專業證照及職能訓練證書 | 專責人員取得證書並持續有效 | 資安課程點數 |
公務機關 | 特定非公務機關 | 解決方案 | ||
---|---|---|---|---|
管理面 | 資通系統分級及防護基準 | 每年至少一次 | 每年至少一次 | ISMS顧問導入服務 |
資訊安全管理系統之導入及通過公正第三方之驗證 | 僅導入不驗證 | 僅導入不驗證 | ISMS顧問導入服務 | |
資通安全專責人員 | 一名 | 一名 | 由各機關指派 | |
內部資通安全稽核 | 每兩年一次 | 每兩年一次 | ISMS顧問導入服務 | |
業務持續運作演練 | 每兩年一次 | 每兩年一次 | ISMS顧問導入服務 | |
資安治理成熟度評估 | 無要求 | 無要求 | ISMS顧問導入服務 | |
技術面 | 弱點掃描(VA+WebVA) | 每兩年一次 | 每兩年一次 | 檢測服務團隊(VA+WebVA) |
滲透測試(PT) | 每兩年一次 | 每兩年一次 | 檢測服務團隊(PT) | |
資通安全健診(SHC) | 每兩年一次 | 每兩年一次 | 檢測服務團隊(SHC) | |
資通安全威脅偵測管理機制(SOC) | 無要求 | 無要求 | SOC監控團隊 | |
政府組態基準(GCB) | 須導入並落實 | 無要求 | 檢測服務團隊(SHC) | |
資通安全弱點通報機制(VANS) | 須導入並落實 | 須導入並落實 | 檢測服務團隊(VANS) | |
端點偵測及應變機制(xDR) | 須導入並落實 | 須導入並落實 | 技術服務團隊(MDR) | |
防毒軟體(AV) | 須導入並落實 | 須導入並落實 | 合作夥伴 | |
網路防火牆(FW) | 須導入並落實 | 須導入並落實 | 合作夥伴及技術服務團隊 | |
具有郵件伺服器者,應備電子郵件過濾機制(SPAM) | 須導入並落實 | 須導入並落實 | 合作夥伴及技術服務團隊 | |
入侵偵測及防禦機制(IPS) | 無要求 | 無要求 | 合作夥伴及技術服務團隊 | |
具有對外服務核心資通系統者,應備應用程式防火牆(WAF) | 無要求 | 無要求 | 合作夥伴及技術服務團隊 | |
進階持續性威脅攻擊防禦措施(APT) | 無要求 | 無要求 | 合作夥伴及技術服務團隊 | |
認知與訓練 | 資通安全教育訓練 |
|
ISMS顧問導入服務、 資安課程點數 |
|
資通安全專業證照及職能訓練證書 | 專責人員取得證書並持續有效 | 資安課程點數 |
D級 | E級 | 解決方案 | ||
---|---|---|---|---|
管理面 | 資通系統分級及防護基準 | 無要求 | 無要求 | ISMS顧問導入服務 |
資訊安全管理系統之導入及通過公正第三方之驗證 | 無要求 | 無要求 | ISMS顧問導入服務 | |
資通安全專責人員 | 無要求 | 無要求 | 由各機關指派 | |
內部資通安全稽核 | 無要求 | 無要求 | ISMS顧問導入服務 | |
業務持續運作演練 | 無要求 | 無要求 | ISMS顧問導入服務 | |
資安治理成熟度評估 | 無要求 | 無要求 | ISMS顧問導入服務 | |
技術面 | 弱點掃描(VA+WebVA) | 無要求 | 無要求 | 檢測服務團隊(VA+WebVA) |
滲透測試(PT) | 無要求 | 無要求 | 檢測服務團隊(PT) | |
資通安全健診(SHC) | 無要求 | 無要求 | 檢測服務團隊(SHC) | |
資通安全威脅偵測管理機制(SOC) | 無要求 | 無要求 | SOC監控團隊 | |
政府組態基準(GCB) | 無要求 | 無要求 | 檢測服務團隊(SHC) | |
資通安全弱點通報機制(VANS) | 無要求 | 無要求 | 檢測服務團隊(VANS) | |
端點偵測及應變機制(xDR) | 無要求 | 無要求 | 技術服務團隊(MDR) | |
防毒軟體(AV) | 須導入並落實 | 無要求 | 合作夥伴 | |
網路防火牆(FW) | 須導入並落實 | 無要求 | 合作夥伴及技術服務團隊 | |
具有郵件伺服器者,應備電子郵件過濾機制(SPAM) | 無要求 | 無要求 | 合作夥伴及技術服務團隊 | |
入侵偵測及防禦機制(IPS) | 無要求 | 無要求 | 合作夥伴及技術服務團隊 | |
具有對外服務核心資通系統者,應備應用程式防火牆(WAF) | 無要求 | 無要求 | 合作夥伴及技術服務團隊 | |
進階持續性威脅攻擊防禦措施(APT) | 無要求 | 無要求 | 合作夥伴及技術服務團隊 | |
認知與訓練 | 資通安全教育訓練 | 一般使用者及主管,每年接受三小時上之資通安全通識課程 | ISMS顧問導入服務、 資安課程點數 |
|
資通安全專業證照及職能訓練證書 | 無要求 | 資安課程點數 |