計資中心電子報C&INC E-paper

 作者：吳恭漢 / 臺灣大學計算機及資訊網路中心程式設計組行政專員

---

依資通安全責任等級分級辦法應辦事項規定，B級機關每年應至少檢視一次資通系統分級妥適性。因此為符合法規標準，本校每年須盤點一次全校資通系統。

 

壹. 介面說明

「資通盤點系統」為本校盤點「資通系統」、「資通訊設備」以及「大陸廠牌」相關資料之校務系統，本文主要說明「資通系統盤點」之改版內容。

圖1.「資通盤點系統」之資通盤點分類

 

貳. 基本資料填寫說明

圖2為「資通系統盤點」之介面，於此頁面當中有「新增」及「新增中英文網站平台填報範本」的按鈕，如使用「臺灣大學中英文網站製作平台」製作之網站，請按「新增中英文網站平台填報範本」的按鈕填報；如為非使用「臺灣大學中英文網站製作平台」製作的網站或系統，請按「新增」填報。

圖2.盤點之新增按鈕選項

 

點選「新增中英文網站平台填報範本」的按鈕新增者，當前頁面會出現圖3選項，請依照圖示點選編輯鍵進入編輯頁面；如為點選「新增」按鈕新增者，則會直接進入編輯頁面。

圖3.編輯按鈕

 

進入編輯頁面後，請依照以下欄位說明進行編輯：

1.          填報單位：請填寫資通系統所屬的單位。

2.          系統名稱：如填寫XXX官網、XXX系統。

(1)       機關運用計畫經費所籌獲之資通系統亦應納入盤點。

(2)       若為委外雲端服務，請填寫該雲端系統之名稱。

(3)       有關系統盤點如係不同廠商所建置、維運，應盤出不同系統；另如機關係將各系統以群組命名，則一律納為高防護等級之系統，群組內各系統一律適用。

3.          系統屬性：限填「行政」、「業務」、「兼具行政/業務」。

(1)       行政類：指機關內部輔助單位之業務（如：人事、薪資等），若輔助單位工作與機關職掌相同或兼具業務單位性質，機關得視情形調整其類別。

(2)       業務類：指機關內部業務單位之業務（如：交通監理、便民服務等）。

(3)       範例○○網站：提供機關簡介、政策措施介紹等對外資訊服務，並無涉及機關業務線上申辦等其他服務，屬業務類。

4.          建置方式：限填「本機關委外開發」、「本機關租用服務」、「本機關購置套裝軟體」、「本機關自行開發」、或「其他」。

(1)       建置方式是指在執行項目或計畫時所採用的方法或策略。它涉及到將設計或計畫轉化為實際的操作或系統的過程。如果沒有請廠商開發，請選本機關自行開發。

5.          建置方式補充說明：「系統建置方式」為「其他」者必填。

6.          建置廠商：

(1)       建置廠商（Implementing Vendor）是指在專案或計畫中負責實際執行和實施工作的供應商或承包商。

(2)       系統建置方式為「套裝軟體」者請填「套裝軟體」。

(3)       若為機關自行開發者，請填寫該機關名。

7.          建置廠商之統一編號：

(1)       若廠商無統一編號請填寫「0」。

(2)       系統建置方式為「套裝軟體」者請填「2」。

(3)       若為機關建置，請填寫該機關之OID。

8.          維運廠商：

(1)       維運廠商（Maintenance and Operations Vendor）是指負責維護和運營特定設施、設備或系統的供應商或承包商。他們通常與組織或機構簽訂合約，負責提供持續的維護、保養、修理和操作服務，以確保這些設施或系統的正常運作和功能。

(2)       系統建置方式為「套裝軟體」者請填「套裝軟體」。

(3)       若為機關建置，請填寫該機關名。

9.          維運廠商之統一編號：

(1)       若廠商無統一編號請填寫「0」。

(2)       系統建置方式為「套裝軟體」者請填「2」。

(3)       若為機關建置，請填寫該機關之OID。

圖4第一階段-基本資料1至9欄位

 

10.      系統IP：系統IP（Internet Protocol）指的是在互聯網或局域網中，用於識別和定位計算機或網絡設備的唯一標識符。IP地址由一串數字組成，通常表現為四組由句點分隔的數字（例如：192.168.0.1）。

11.      系統網址：系統網址是指一個網站、應用程式或服務的網絡地址，也稱為網站URL（Uniform Resource Locator）。系統網址通常由幾個部分組成。例如，一個標準的URL可能包含協議（例如http://或https://）、域名（例如www.example.com）和路徑（例如/path/to/page）等元素。這些部分組合在一起提供了一個完整的網址。

12.      主機實體位置：主機實體位置是指計算機系統中主機（通常是伺服器）的物理位置或放置位置。這是指主機所在的地理位置或具體的建築物、機房或機櫃等實體位置。

13.      主機實體位置補充說明：主機非放置校內請填寫補充說明。

14.      主機設置於校內：限填「是」或「否」。

15.      核心系統：

(1)       限填「是」或「否」。

(2)       核心資通系統指支持核心業務持續運作必要之系統，或依資通安全責任等級分級辦法附表九資通系統防護需求分級原則之規定，判定其防護需求等級為高者。

16.      系統管理者：請填寫擁有系統管理權限功能者之所在部門/單位。

17.      系統使用者：

(1)       請填寫主要使用該系統的單位(可為多個單位)，如為機關全單位都有使用，則填寫全機關。

(2)       若系統為跨機關使用，亦請填寫使用該系統之機關，例如：直轄市、縣市政府。

(3)       若該系統亦提供民眾使用，請加註「…處，且供民眾使用」。

18.      機敏資訊：限填「是」、「否」。

19.      加密機敏資訊：限填「是」、「否」、「無機敏資訊」。

20.      民生權益相關：限填「是」、「否」。

21.      機敏資訊類別：

(1)       「無機敏資訊」者免填。

(2)       機敏資訊：例如身分證字號、特種個資、稅務資料等。

22.      個資筆數：單位擁有個資的數量。

23.      系統建置年月：請填系統上線日期，並以數字表示，例如於2023年3月上線之系統，本項應填「2023/3」。

圖5.第一階段-基本資料10至23欄位

 

參. 結語

因篇幅限制，本篇先介紹「資通系統盤點」的填報第一階段，將於下篇中介紹「資通系統盤點」填報的第二階段內容。

資通系統盤點能重新審視與管理本校資通系統，本校將根據盤點結果，進一步依據系統的機密性、完整性與可用性進行分級，確定高風險與關鍵性系統，並要求系統所屬單位規劃相對應的安全措施，為後續的風險評估與管理策略奠定基礎。例如高機密性系統可能需要加強存取控制，而高可用性系統則應建立完善的備援機制。透過這樣的分級與管理，本校將能有效降低資訊安全風險，提升系統穩定性與營運效率。

 

參考文獻

資通安全管理網站：https://my.ntu.edu.tw/cybersecurity