您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

歷史法規

法規名稱: 經濟部計畫網站資通安全管理要點
民國 105 年 05 月 13 日
法規內容:
一、目的
    經濟部(以下簡稱本部)為強化計畫網站之資通安全管理,建立安全
    與可信賴之資訊系統,提升計畫網站之資料及系統安全,特訂定本要
    點。


二、範圍
(一)本要點適用對象為本部幕僚單位、所屬行政機關及事業機構之計畫
      網站。
(二)本要點所稱計畫網站,指各單位因應業務或委辦計畫需求所建置或
      維護,且未納入機關(構)統籌資通安全防護之網站。


三、計畫網站資通安全管理要求
(一)資訊業務承辦單位(以下簡稱資訊單位)應依行政院相關規定與本
      要點要求,規劃及擬定符合機關(構)需要之計畫網站資通安全管
      理計畫,陳報資訊安全長核定,並督導計畫網站資通安全管理作業
      之實施。
(二)計畫網站資通安全管理計畫應涵蓋以下作業要項:
      1.計畫網站之系統分級與評估準則、方法及步驟。
      2.計畫網站資通安全管理責任。
      3.計畫網站建置及維運廠商之責任。
      4.計畫網站之軟體安全需求。
      5.計畫網站實體與系統環境資通安全保護措施。
      6.計畫網站管理方法及程序。
      7.計畫網站資通安全稽核頻率、方法及準則。


四、計畫網站資通安全管理施行
(一)建置或維護計畫網站之承辦業務單位(以下簡稱業務單位)應負責
      計畫網站資通安全管理工作事項。
(二)業務單位應定期(至少一年一次)執行計畫網站盤點與分級評估,
      製作計畫網站盤點及分級評估報告。
(三)業務單位應依計畫網站盤點及分級評估結果,採行必要之控制措施
      ,以確保網站之安全防護水準。
(四)業務單位應於委託時,提出計畫網站資通安全管理需求,課以受委
      託廠商資通安全責任。廠商責任涵蓋廠商參與計畫網站開發或維護
      相關作業之員工、雇員、分包商及臨時人員。
(五)計畫網站至少應包括跨網站腳本攻擊(XSS) 及資料庫注入式攻擊
      (SQL-injection) 等,開放網路軟體安全計畫(OWASP) 所列十
      大常見網站攻擊模式之測試及防護措施。
(六)業務單位應確保計畫網站上線前執行網站弱點掃描,並完成弱點修
      補。運行中之計畫網站,應依政府機關(構)資通安全責任等級分
      級作業規定,定期執行網站弱點掃描,並完成弱點修補。
(七)計畫網站應設置於具有保護措施之環境,保護措施應至少包括防火
      牆及防毒機制。
(八)計畫網站應建置於機關(構)專用之主機和資料庫,不得與他機關
      或機構共用。
(九)計畫網站之建置,應以政府共同供應契約提供之雲端服務為原則。
(十)計畫網站系統主機應設定防毒機制,並適時修補系統安全弱點。
(十一)計畫網站之正式運行環境,不得同時作為測試及開發環境使用。
(十二)計畫網站運行期間,業務單位應保存網站建置、維護及更新紀錄
        。
(十三)存放機敏性資料之計畫網站應啟用系統存取稽核軌跡記錄功能,
        且設有存取監控、系統可用性監控及異常警示通報機制。


五、計畫網站資通安全管理評估
(一)業務單位應定期(至少半年一次)與受委託廠商召開計畫網站建置
      、維護或更新作業之資通安全管理會議,並就會議結論採取適切之
      改善措施。
(二)業務單位應依據計畫網站盤點及分級評估結果,執行計畫網站稽核
      ,每年稽核數量,不得低於計畫網站盤點總數百分之三十,機關(
      構)每三年應對所屬所有計畫網站完成稽核作業。
(三)存放機敏性資料之計畫網站,應每年對計畫網站資通安全管理作業
      實施至少一次資通安全稽核,且宜委由第三方獨立稽核機構為之。


六、計畫網站資通安全管理改善
(一)資訊單位應定期(至少一年一次)彙整業務單位提供之計畫網站資
      通安全管理計畫實施報告,陳報機關(構)資訊安全長核定後,於
      每年三月底前函報本部備查。
(二)計畫網站資通安全管理計畫實施報告,至少應包含:
      1.計畫網站資通安全管理要求實施結果。
      2.計畫網站資通安全管理年度稽核結果。
      3.資通安全控制措施改善方案。
      4.計畫網站資通安全管理計畫之最新修訂版本。
(三)業務單位應採取改善措施,避免不符合事項再次發生。
(四)資訊單位應每年定期追蹤改善方案實施成效,於次年計畫網站資通
      安全管理計畫實施報告中提出報告,並陳報機關(構)資訊安全長
      。
(五)資訊單位應定期(至少一年一次)評估計畫網站資通安全管理計畫
      之適切性,為必要之修訂,並陳報機關(構)資訊安全長核定。