法規資訊

法規資訊
法規名稱: 法務部防範電子郵件社交工程施行計畫
時間: 中華民國108年4月3日
立法沿革: 中華民國108年4月3日法務部法資字第 10811504280號函修正發布第2點、 第4點、第7點,並自108年4月10日生效
法規體系: / 行政 / 法務 / 處務

歷史沿革

1. 中華民國97年 3月20日法務部資訊處法資字第0971600642號函訂定發布全 文4點
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
2. 中華民國98年 5月18日法務部資訊處法資字第0981601127號函修正發布名 稱及全文4點;並自98年5月20日生效(原名稱:法務部97年度防範電子郵 件社交工程施行計畫)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
3. 中華民國101年4月5日法務部法資字第 10111104030號函修正發布全文8點 ;並自101年4月12日生效
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
4. 中華民國103年3月6日法務部法資字第 10311502260號函修正發布第7點, 並自103年3月12日生效
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
5. 中華民國104年4月30日法務部法資字第10411504350號函修正發布第7點, 並自104年4月30日生效
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
6. 中華民國104年10月27日法務部法資決字第 10411512410號函修正發布第4 點,並自104年11月2日生效
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
7. 中華民國104年12月3日法務部法資字第10411514600號函修正發布第7點, 並自104年12月11日生效
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
8. 中華民國105年3月11日法務部法資字第10511502530號函修正發布第5點, 並自105年3月16日生效
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
9. 中華民國105年11月4日法務部法資字第10511512990號函修正發布第5點, 並自105年11月15日生效
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
10. 中華民國108年4月3日法務部法資字第 10811504280號函修正發布第2點、 第4點、第7點,並自108年4月10日生效

立法總說明

「法務部防範電子郵件社交工程施行計畫」(下稱本計畫)於九十七年三
月二十日訂定函頒,並歷經八次修正。
因應行政院「資通安全管理法」之子法「資通安全事件通報及應變辦法」
及「資通安全責任等級分級辦法」施行,另配合本部數位學習平台終止使
用,爰擬具本計畫第二點、第四點、第七點修正案,修正要點如下:
一、依「資通安全事件通報及應變辦法」第八條規定,修正社交工程演練
    週期為每半年辦理一次。(修正規定第二點)
二、配合「資通安全責任等級分級辦法」施行及「政府機關(構)資通安
    全責任等級分級作業規定」停止適用,修正資安教育訓練之法源依據
    為「資通安全責任等級分級辦法」。(修正規定第四點)
三、依「資通安全事件通報及應變辦法」第八條第一項規定,修正演練情
    形報告之提報機關為行政院。(修正規定第七點第一款)
四、配合本部數位學習平台自一百零八年度起終止使用,修正補強教育訓
    練自行補訓之系統平台名稱,刪除本部數位學習平台。(修正規定第
    七點第四款)

法規異動

修正

二、本施行計畫演練時間係採無預警不定期方式,每半年辦理一次電子郵
    件社交工程演練。
〔立法理由〕
依「資通安全事件通報及應變辦法」第八條規定,修正社交工程演練週期
。

四、本施行計畫之教育訓練要點如下:
  (一)依行政院函頒之「資通安全責任等級分級辦法」,各機關應按其
        資安等級,每年定期舉辦資安教育訓練。
  (二)資安教育訓練應納入電子郵件社交工程防制有關之認知宣導,並
        著重攻擊實例說明。
  (三)強制要求本部及所屬機關個人電腦之電子郵件軟體,關閉郵件自
        動預覽功能,並將郵件設定為純文字閱覽模式,可在第一時間讓
        使用者再次確認該封郵件是否為社交工程電子郵件,避免誤點閱
        該郵件。
  (四)每人每年至少接受一小時之「防範電子郵件社交工程」教育訓練
        (含在每人每年三小時資安教育訓練課程內),課程結束後需通
        過測驗方核給時數。
〔立法理由〕
一、配合「資通安全責任等級分級辦法」施行及「政府機關(構)資通安
    全責任等級分級作業規定」停止適用,修正第一款。
二、其餘款次未修正。

七、電子郵件社交工程演練結果處理如下:
  (一)本部資訊處於完成演練作業後,應檢討辦理情形及演練結果,並
        將演練情形報告彙整後,於每次演練完成後一個月內送行政院備
        查。
  (二)本部及所屬機關(單位)演練未達基準者,應提出檢討及改善計
        畫(格式如附件二)。前開計畫,本部所屬機關應報部核定;本
        部各單位應簽陳部次長核定,並將計畫影本副知本部資訊處;當
        年度兩次演練皆未達基準之待改善機關(單位),所屬機關取評
        比最末三名,本部各單位取評比最末一名,由機關首長(單位主
        管)至本部資通安全會報提報檢討及改善措施。
  (三)各機關(單位)對演練時開啟或點閱社交工程電子郵件人員,由
        首長(單位主管)予以口頭告誡,並強制要求參加至少一小時之
        補強教育訓練及測驗;演練成績未達基準之機關(單位),首長
        (單位主管)須併同出席補強教育訓練以督促機關(單位)內部
        之改善作為。當年度兩次演練均開啟及點閱演練郵件,且合計達
        三封(含)以上未改善者,得移送考績會議處。
  (四)各機關(單位)演練時開啟或點閱社交工程電子郵件人員如因故
        無法參加補強教育訓練者,應於一週內自行至相關公務人員數位
        學習平台網站完成相關課程,並經測驗合格後方算完成。未完成
        者停止其電子郵件之使用至完成為止。已參加補強教育訓練,但
        測驗仍不合格者比照辦理。
  (五)為鼓勵表現良好之機關,本部得視其歷年表現狀況及下列條件,
        以每一績優機關敘獎人數不超過三人為原則,督導主管及主辦人
        員各記功一次、協辦人員敘嘉獎一至二次予以獎勵:
        1.該年度兩次演練,以有效電子郵件帳號數為基準,計算演練結
          果均合格者,依兩次演練之開啟率平均值由低至高及有效電子
          郵件帳號數由高至低排序,且近三年未曾因此項電子郵件社交
          工程演練績優敘獎者,取前三名為績優,將函請該機關對辦理
          本項演練有功人員予以敘獎鼓勵。
        2.為鼓勵維持防範電子郵件社交工程良好表現,機關連續三年開
          啟率及點閱率皆保持為零,列為績優機關,並予以敘獎鼓勵。
〔立法理由〕
一、依「資通安全事件通報及應變辦法」第八條規定,修正第一款演練情
    形報告之提報機關。
二、配合本部數位學習平台 108年度已終止使用,第四款刪除該系統名稱
    。
三、其餘款次未修正。