### 112年度數據應用暨資安強化論壇 #### 資訊安全管理下的夥伴關係 #### 衛生福利部資訊處一科 --- - **法規與策略面** - 機房作業 - 其他注意事項 ---- - 衛生福利部資訊服務採購契約書與需求說明書注意事項 - CNS27001 - 陸廠、陸資、陸籍人士、陸牌資通訊產品 - 資安法主管機關稽核或查核 - 如未依契約規定(分包商配合受稽核、履約之資通安全責任)，致機關遭受嚴重損害者，得終止、解除及暫停執行契約 - 資通安全責任等 ---- - 資安署：資訊服務採購案之資安檢核事項。 https://moda.gov.tw/ACS/laws/guide/rules-guidelines/1331 ---- #### 工程會「資訊服務採購作業指引」 [行政院懶人包](https://www.ey.gov.tw/Page/448DE008087A1971/cfbfda39-98aa-4dc4-ac50-3c7b6413b797)、[工程會採購作業指引](https://planpe.pcc.gov.tw/prms/explainLetter/readPrmsExplainLetterContentDetail?pkPrmsRuleContent=75001760&_csrf=41c91031-1b1a-45e1-8814-ff2f59c93227) ----  ----  --- - 法規與策略面 - **機房作業** - 其他注意事項 ---- [ISMS KM連結](https://mohwkm.mohw.gov.tw/esp/listfolders.aspx?uid=1495)  ---- - 機房作業注意事項 - 作業申請 - 上版 - 設備攜入 - 設備攜出 - 遠端管理 - 密碼封存 ---- - 上版還有 **原始碼掃描檢測弱點處理報告單**要附上 - 要記得**原始碼**與**系統文件**要交給承辦人上傳KM  ---- 上版要給機房**原始碼掃描檢測點處理報告單**  ---- 攜入筆電進機房需要掃描與更新  ---- 資料攜出要寫攜出單，不然原則都會格式化  ---- 遠端管理一律到機房console room，並使用Anchor連線(側錄動作)  ---- 密碼封存  --- - 法規與策略面 - 機房作業 - **其他注意事項** ---- - 其他注意事項：機敏資料管理、帳號盤點、校時、防毒、EDR、SOC收容、SOC事件處理、GCB、原始碼註解。 ---- 軟資系統-機敏資料管理 - 資料庫帳號應分為維護用與系統用 - 含機敏資料之資料應加密  ---- GCB套用：務必測試，上規則前先快照、備份 [資安院GCB公告規則](https://www.nics.nat.gov.tw/GCBDownloadDetail-2.htm?lang=zh&seq=1074)、[FAQ](https://download.nics.nat.gov.tw/UploadFile/attachfilegcb/%E6%94%BF%E5%BA%9C%E7%B5%84%E6%85%8B%E5%9F%BA%E6%BA%96(GCB)%E5%B8%B8%E8%A6%8B%E5%95%8F%E9%A1%8Cv1.1_1120626.pdf)  ---- 請均依本部機房作業配合辦理 - 校時設定 - 防毒安裝(Windows與Linux) - EDR安裝(Windows與Linux) - SOC收容（核心系統） - SOC事件處理(oper會通報需回復) ---- 原始碼註解 1. 版控註解：針對每版本變更內容說明 2. 原始碼註解：Javadoc,jsdoc等工具，依工具相關規則撰寫註解，自動產生文件 ---- Javadoc範例  --- # 謝謝聆聽!!