二、本施行計畫演練時間係採無預警不定期方式,每半年辦理一次電子郵
件社交工程演練。
〔立法理由〕 依「資通安全事件通報及應變辦法」第八條規定,修正社交工程演練週期
。
|
四、本施行計畫之教育訓練要點如下:
(一)依行政院函頒之「資通安全責任等級分級辦法」,各機關應按其
資安等級,每年定期舉辦資安教育訓練。
(二)資安教育訓練應納入電子郵件社交工程防制有關之認知宣導,並
著重攻擊實例說明。
(三)強制要求本部及所屬機關個人電腦之電子郵件軟體,關閉郵件自
動預覽功能,並將郵件設定為純文字閱覽模式,可在第一時間讓
使用者再次確認該封郵件是否為社交工程電子郵件,避免誤點閱
該郵件。
(四)每人每年至少接受一小時之「防範電子郵件社交工程」教育訓練
(含在每人每年三小時資安教育訓練課程內),課程結束後需通
過測驗方核給時數。
〔立法理由〕 一、配合「資通安全責任等級分級辦法」施行及「政府機關(構)資通安
全責任等級分級作業規定」停止適用,修正第一款。
二、其餘款次未修正。
|
七、電子郵件社交工程演練結果處理如下:
(一)本部資訊處於完成演練作業後,應檢討辦理情形及演練結果,並
將演練情形報告彙整後,於每次演練完成後一個月內送行政院備
查。
(二)本部及所屬機關(單位)演練未達基準者,應提出檢討及改善計
畫(格式如附件二)。前開計畫,本部所屬機關應報部核定;本
部各單位應簽陳部次長核定,並將計畫影本副知本部資訊處;當
年度兩次演練皆未達基準之待改善機關(單位),所屬機關取評
比最末三名,本部各單位取評比最末一名,由機關首長(單位主
管)至本部資通安全會報提報檢討及改善措施。
(三)各機關(單位)對演練時開啟或點閱社交工程電子郵件人員,由
首長(單位主管)予以口頭告誡,並強制要求參加至少一小時之
補強教育訓練及測驗;演練成績未達基準之機關(單位),首長
(單位主管)須併同出席補強教育訓練以督促機關(單位)內部
之改善作為。當年度兩次演練均開啟及點閱演練郵件,且合計達
三封(含)以上未改善者,得移送考績會議處。
(四)各機關(單位)演練時開啟或點閱社交工程電子郵件人員如因故
無法參加補強教育訓練者,應於一週內自行至相關公務人員數位
學習平台網站完成相關課程,並經測驗合格後方算完成。未完成
者停止其電子郵件之使用至完成為止。已參加補強教育訓練,但
測驗仍不合格者比照辦理。
(五)為鼓勵表現良好之機關,本部得視其歷年表現狀況及下列條件,
以每一績優機關敘獎人數不超過三人為原則,督導主管及主辦人
員各記功一次、協辦人員敘嘉獎一至二次予以獎勵:
1.該年度兩次演練,以有效電子郵件帳號數為基準,計算演練結
果均合格者,依兩次演練之開啟率平均值由低至高及有效電子
郵件帳號數由高至低排序,且近三年未曾因此項電子郵件社交
工程演練績優敘獎者,取前三名為績優,將函請該機關對辦理
本項演練有功人員予以敘獎鼓勵。
2.為鼓勵維持防範電子郵件社交工程良好表現,機關連續三年開
啟率及點閱率皆保持為零,列為績優機關,並予以敘獎鼓勵。
〔立法理由〕 一、依「資通安全事件通報及應變辦法」第八條規定,修正第一款演練情
形報告之提報機關。
二、配合本部數位學習平台 108年度已終止使用,第四款刪除該系統名稱
。
三、其餘款次未修正。
|