Page 112 - 南科(封面封底)_220718-製作
P. 112
2021 年 科技部南部科學園區管理局 永續報告書
資通系統分級及防護基準 ISMS 導入及驗證 稽核方式
檢視資通系統分級妥適性,
維持 ISO 27001 資安驗證有效性。 資安內部稽核作業每年 1 次。
並作對應之安全控制措施。
業務持續運作演練 防護縱深 監控管理
核心資通系統持續運作 1 防毒、防火牆、郵件過濾防護。
SOC 監控管理。
每 2 年演練1次。 2 IDS/IPS、WAF 防護。
安全性檢測 資安教育訓練 專業證照
1 資安專職人員每年須接受 12 小時
以上資安專業課程訓練或資安職能
訓練。
1 資安專職人員各自持有 1 張以上
網站安全弱點掃描每年 1 次, 2 資安專職人員以外資訊人員每 2 年
國際資安專業證照並維持有效性。
系統滲透測試每 2 年1次, 須接受 3 小時以上資安專業課程訓
2 資安專職人員各自持有 1 張以上
資安健診每 2 年1次。 練或資安職能訓練,且每年須接受
資安職能訓練證書並維持有效性。
3 小時以上資安通識課程訓練。
3 一般使用者與主管每年須接受 3 小
時以上資安通識課程訓練。
名詞解釋:IDS/IPS-Instrusion Detection System/Instrusion Prevention System(入侵偵測/防禦系統);WAF防護-Web
Application Firewall( 網站應用程式防火牆 );SOC 監控管理 -Security Operation Center( 資安防護 / 監控中心 )。
▚ 保全及安全控管
南科保警隊與消防分隊設置於園區內,能即時因應危險或危害的緊急事件;本局亦有配置保
全人員,並依規定接受每月定期實施基本與專業教育訓練課程,確保能應付任何突發情況,以確
實維護園區安全(臺南園區及高雄園區各3名),並依規定每月定期辦理教育訓練,例如AED、消防、
停電應變等訓練課程,確保有突發狀況時,都能及時因應。
▴ 保全人員專業教育訓練
5.5 採購與供應管理
南科管理局的採購分為工程、財物及勞務三項,供應商、承包商與商業夥伴選擇,均依據「政
府採購法」相關規定公開招標,投標案全部皆要進行資格篩選,若有任何公告違反情事發生,則
不予採用;除共同供應契約允許採用地緣較近之廠商外,不會限制或特別遴選當地廠商,環工中心、
再生中心及高雄污水廠自行委託民營之部份則依公司營運模式辦理。
110
