2

      Chapter

         誠信透明
                  南科管理局實施機房安全管理認證驗測查核，相關認證應以國際共通認證標準為基準，藉以提升安全認
              證之水平，定期向主管機關提交成果報告。

                  此外，南科管理局為資安責任等級 B 級機關，除遵循行政院及所屬各機關資安管理規範外，亦辦理下
              列工作事項，以防潛在資安威脅，並提升資安防護水準。

                  每年對員工及承攬商做資訊安全宣導及教育訓練，若人員違反機密資訊管理規定，將進行調查並依情節
              輕重給予不同處分，2020 年無資訊洩漏之情事發生。

                     資訊系統分類分級                       業務持續運作演練                          安全性檢測
               檢視資訊系統級別，並作對應之資安防              核心資訊系統持續運作每2年演練１次。 網站安全弱點檢測每年 1 次，系統滲透
               護基準要求。                                                        測試每 2 年１次，資安健診每 2 年１次。



                       ISMS 推動作業                        防護縱深                         資安教育訓練
               維持 ISO 27001 資安認證有效性。          1. 防毒、防火牆、郵件過濾防護               1. 資安人員每年須接受 12 小時以上資
                                              2.IDS/IPS、WAF 防護。                安專業課程訓練或資安職能訓練。
                                                                             2. 一般使用者與主管每年至少須接受 3
                                                                               小時以上資安通識課程訓練。

                         稽核方式                           監控管理                           專業證照

               資安內部稽核作業每年 1 次。                SOC 監控管理。                      1. 維持 2 張以上國際資安專業證照之
                                                                               有效性。
                                                                             2. 維持 2 張以上資安職能訓練證書之
                                                                               有效性。
               名詞解釋：
               IDS/IPS-Instrusion Detection System/Instrusion Prevention System( 入侵偵測 / 防禦系統 )；
               WAF 防護 -Web Application Firewall( 網站應用程式防火牆 )；
               SOC 監控管理 -Security Operation Center( 資安防護 / 監控中心 )。




                             資安通識課程訓練                                 ISO 27001資安認證
































         29