法規資訊

法規資訊
法規名稱: 法務部防範電子郵件社交工程施行計畫
時間: 中華民國108年4月3日

所有條文

一、為提高法務部(以下簡稱本部)及所屬機關人員資安警覺性以降低電
    子郵件社交工程攻擊風險,規範電子郵件社交工程防制年度目標、舉
    辦相關資安教育訓練及宣導、規劃辦理演練作業,以強化人員資安意
    識並檢驗各機關宣導電子郵件社交工程防制成效,特訂定本施行計畫
    。

二、本施行計畫演練時間係採無預警不定期方式,每半年辦理一次電子郵
    件社交工程演練。
〔立法理由〕
依「資通安全事件通報及應變辦法」第八條規定,修正社交工程演練週期
。

三、參與電子郵件社交工程演練之機關為本部及所屬機關,各機關參與演
    練人數為具有公務電子郵件人數之四分之一以上。

四、本施行計畫之教育訓練要點如下:
  (一)依行政院函頒之「資通安全責任等級分級辦法」,各機關應按其
        資安等級,每年定期舉辦資安教育訓練。
  (二)資安教育訓練應納入電子郵件社交工程防制有關之認知宣導,並
        著重攻擊實例說明。
  (三)強制要求本部及所屬機關個人電腦之電子郵件軟體,關閉郵件自
        動預覽功能,並將郵件設定為純文字閱覽模式,可在第一時間讓
        使用者再次確認該封郵件是否為社交工程電子郵件,避免誤點閱
        該郵件。
  (四)每人每年至少接受一小時之「防範電子郵件社交工程」教育訓練
        (含在每人每年三小時資安教育訓練課程內),課程結束後需通
        過測驗方核給時數。
〔立法理由〕
一、配合「資通安全責任等級分級辦法」施行及「政府機關(構)資通安
    全責任等級分級作業規定」停止適用,修正第一款。
二、其餘款次未修正。

五、本施行計畫之演練作業要點如下:
  (一)本部資通安全處理小組在本項演練作業中共分三組分工執行各項
        任務:應用系統組、設備網路組及使用稽核組。各組權責分工及
        組織架構如附圖一。
  (二)演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度等
        ,均需為可控制、有限度之滲透入侵,並由使用稽核組規劃執行
        。
  (三)由行政院國家資通安全會報技術服務中心協助提供電子郵件社交
        工程演練工具及惡意郵件範本(如附件一),郵件主題分為政治
        、公務、健康養生、休閒娛樂、情色等類型,郵件內容包含連結
        惡意網址或惡意附加檔案。
  (四)由本部資通安全處理小組以偽冒公務、個人或公司行號等名義發
        送惡意郵件給演練對象,當收件人開啟郵件或點閱郵件所附連結
        或檔案時,應留下紀錄,俾利後續統計惡意郵件開啟率及點閱率
        。
        1.惡意郵件開啟率:開啟惡意郵件之人數/參演人數。
        2.惡意郵件點閱率:點閱惡意郵件所附連結或檔案之人數/參演
          人數。

六、電子郵件社交工程年度演練基準,依本部資通安全會報會議決議之開
    啟率、點閱率定之。

七、電子郵件社交工程演練結果處理如下:
  (一)本部資訊處於完成演練作業後,應檢討辦理情形及演練結果,並
        將演練情形報告彙整後,於每次演練完成後一個月內送行政院備
        查。
  (二)本部及所屬機關(單位)演練未達基準者,應提出檢討及改善計
        畫(格式如附件二)。前開計畫,本部所屬機關應報部核定;本
        部各單位應簽陳部次長核定,並將計畫影本副知本部資訊處;當
        年度兩次演練皆未達基準之待改善機關(單位),所屬機關取評
        比最末三名,本部各單位取評比最末一名,由機關首長(單位主
        管)至本部資通安全會報提報檢討及改善措施。
  (三)各機關(單位)對演練時開啟或點閱社交工程電子郵件人員,由
        首長(單位主管)予以口頭告誡,並強制要求參加至少一小時之
        補強教育訓練及測驗;演練成績未達基準之機關(單位),首長
        (單位主管)須併同出席補強教育訓練以督促機關(單位)內部
        之改善作為。當年度兩次演練均開啟及點閱演練郵件,且合計達
        三封(含)以上未改善者,得移送考績會議處。
  (四)各機關(單位)演練時開啟或點閱社交工程電子郵件人員如因故
        無法參加補強教育訓練者,應於一週內自行至相關公務人員數位
        學習平台網站完成相關課程,並經測驗合格後方算完成。未完成
        者停止其電子郵件之使用至完成為止。已參加補強教育訓練,但
        測驗仍不合格者比照辦理。
  (五)為鼓勵表現良好之機關,本部得視其歷年表現狀況及下列條件,
        以每一績優機關敘獎人數不超過三人為原則,督導主管及主辦人
        員各記功一次、協辦人員敘嘉獎一至二次予以獎勵:
        1.該年度兩次演練,以有效電子郵件帳號數為基準,計算演練結
          果均合格者,依兩次演練之開啟率平均值由低至高及有效電子
          郵件帳號數由高至低排序,且近三年未曾因此項電子郵件社交
          工程演練績優敘獎者,取前三名為績優,將函請該機關對辦理
          本項演練有功人員予以敘獎鼓勵。
        2.為鼓勵維持防範電子郵件社交工程良好表現,機關連續三年開
          啟率及點閱率皆保持為零,列為績優機關,並予以敘獎鼓勵。
〔立法理由〕
一、依「資通安全事件通報及應變辦法」第八條規定,修正第一款演練情
    形報告之提報機關。
二、配合本部數位學習平台 108年度已終止使用,第四款刪除該系統名稱
    。
三、其餘款次未修正。

八、本施行計畫第七點第二款「待改善機關」評選方式如下:
  (一)符合「待改善條件」者為待改善機關,若無機關符合,則待改善
        機關以從缺計。對於達待改善條件之機關,續按「評選項目」之
        評選順序依次比較,選取待改善機關前三名。
  (二)待改善機關評選流程如附圖二。
  (三)待改善機關評選標準及項目如附表。