三、參與電子郵件社交工程演練之機關為本部及所屬機關,各機關參與演 練人數為具有公務電子郵件人數之四分之一以上。
參、計畫作為 一、演練時間 採無預警不定期方式,每年至少辦理兩次演練。 二、參與機關(單位) 參與演練之機關為本部及所屬機關,各機關參與演練人數為具有公務 電子郵件人數之四分之一以上。 三、教育訓練要點 (一)依行政院國家資通安全會報九十四年九月二十八日資安發字第九四 一○○八○二號「政府機關(構)資訊安全責任等級分級作業施行 計畫」,應按其資安等級,每年定期舉辦資安教育訓練。 (二)資安教育訓練應納入電子郵件社交工程防制有關之認知宣導,並著 重攻擊實例說明。 (三)強制要求本部及所屬機關個人電腦之 Outlook 及 Outlook Expr- ess 電子郵件功能設定為純文字模式,可在第一時間讓使用者再次 確認該封信是否為社交工程電子郵件,避免誤點閱該郵件。 (四)每人每年至少接受一小時之「防範電子郵件社交工程」教育訓練( 含在每人每年四小時資安教育訓練課程內),課程結束後需通過測 驗方核給時數。 四、演練作業要點 (一)本部資通安全處理小組在本項演練作業中,分三組分工執行各項任 務:應用系統組、設備網路組及使用稽核組。組織架構如附圖一。 (二)演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度等, 均需為可控制、有限度之滲透入侵,並由設備網路組規劃執行。 (三)由行政院國家資通安全會報技術服務中心協助提供電子郵件社交工 程演練工具及惡意郵件範本(如附件一),郵件主題分為政治、公 務、健康養生、休閒娛樂、情色等類型,郵件內容包含連結惡意網 址或惡意附加檔案。 (四)由本部資通安全處理小組以偽冒公務、個人或公司行號等名義發送 惡意郵件給演練對象,當收件人開啟郵件或點閱郵件所附連結或檔 案時,應留下記錄,俾利後續統計惡意郵件開啟率及點閱率。 (1)惡意郵件開啟率:開啟惡意郵件之人數/參演人數。 (2)惡意郵件點閱率:點閱惡意郵件所附連結或檔案之人數/參演人 數。 五、演練結果處理 (一)本部資訊處於完成演練作業後,應檢討辦理情形及演練結果,並將 演練情形報告(格式如附件二)併「資通安全處理小組演練成果」 報告於每年十月底前送行政院國家資通安全會報彙整。 (二)以六之年度目標為演練標準,演練未達標準之機關應提出檢討及改 善計畫報部核備,本部未達標準單位應簽陳部次長核定;連續 2 次未達標準之待改善機關(取較差之前 3 名,如肆、「待改善機 關」評選方式)應到本部資通安全會報提報檢討及改善措施。 (三)各機關對演練時開啟或點閱社交工程電子郵件人員,由單位主管予 以口頭告誡,並強制要求參加至少一小時之補強教育訓練及測驗; 演練成績未達標準之單位,單位主管須併同出席以督促單位內部之 改善作為。連續二次演練均開啟及點閱演練郵件,且合計達三封( 含)以上未改善者,得移人審會議處。 (四)各機關演練時開啟或點閱社交工程電子郵件人員如因故無法參加補 強教育訓練者,應於一週內自行至本部數位學習平台或「網路文官 學院」完成相關課程,並經測驗合格後方算完成。未完成者停止其 電子郵件之使用至完成為止。已參加補強教育訓練但測驗不合格者 比照辦理。 六、年度目標 以前一年行政院對中央機關進行演練之平均值(開啟率、點閱率)為 演練目標。
參、計畫作為 一、演練時間 採無預警不定期方式,每年至少辦理兩次演練。 二、參與機關(單位) 參與演練之機關為本部及所屬機關具公務電子郵件之 1/4 (含)以 上人員參與演練。 三、教育訓練要點 (一)依行政院國家資通安全會報 94 年 9 月 28 日資安發字第 94100 802 號「政府機關(構)資訊安全責任等級分級作業施行計畫」, 應按其資安等級,每年定期舉辦資安教育訓練。 (二)資安教育訓練應納入電子郵件社交工程防制有關之認知宣導,並著 重攻擊實例說明。 (三)強制要求本部及所屬機關個人電腦之 Outlook 及 Outlook Expr- ess 電子郵件功能設定為純文字模式,可在第 1 時間讓使用者再 次確認該封信是否為社交工程電子郵件,避免誤點閱該郵件。 (四)每人每年至少接受 2 小時之「防範電子郵件社交工程」教育訓練 (含在每人每年 4 小時資安教育訓練課程內),課程結束後需通 過測驗方核給時數。 四、演練作業要點 (一)本部資通安全處理小組在本項演練作業中,分 3 組分工執行各項 任務:應用系統組、設備網路組及使用稽核組,組織架構如下: A.提供電子郵件名單。 B.規劃執行演練攻擊作業(準備軟硬體)。 1.執行演練攻擊作業。 2.辦理補強資安教育訓練。 3.彙整演練成果報告轉知所屬機關及報院備查。 法務部資通安全處理小組 (法務部資訊處處長擔任召集人) 應用系統組 (資訊處一科及三科) 設備網路組 (資訊處二科) (資訊處一科) A.負責擬定演練計畫。 B.召開啟動會議。 C.遴選演練機關,及產生參演機關與演練劇本對照表。 (資訊處三科) A.規劃演練劇本。 B.保管參演機關與演練劇本對照表。 C.照相。 1.照相。 使用稽核組 (資訊處稽核管制組) A.負責監控各項執行事宜。 (二)演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度等, 均需為可控制、有限度之滲透入侵,並由設備網路組規劃執行。 (三)由行政院國家資通安全會報技術服務中心協助提供電子郵件社交工 程演練工具及惡意郵件範本(如附件一),郵件主題分為政治、公 務、健康養生、休閒娛樂、情色等類型,郵件內容包含連結惡意網 址或惡意附加檔案。 (四)由本部資通安全處理小組以偽冒公務、個人或公司行號等名義發送 惡意郵件給演練對象,當收件人開啟郵件或點閱郵件所附連結或檔 案時,應留下記錄,俾利後續統計惡意郵件開啟率及點閱率。 (1)惡意郵件開啟率:開啟惡意郵件之人數/參演人數。 (2)惡意郵件點閱率:點閱惡意郵件所附連結或檔案之人數/參演人 數。 五、演練結果 (一)本部資訊處於完成演練作業後,應檢討辦理情形及演練結果,並將 演練情形報告(格式如附件二)併「資通安全處理小組演練成果」 報告於每年 10 月底前送行政院國家資通安全會報彙整。 (二)以六、年度目標為演練標準,第 1 次演練未達標準之機關應提出 檢討及改善計畫報部核備,本部未達標準單位應簽陳部次長核備; 連續 2 次未達標準之待改善機關(取較差之前 3 名,如肆、評 審辦法)應到本部部務會報提報檢討改善計畫。 (三)各機關對演練時開啟或點閱社交工程電子郵件人員,由單位主管予 以口頭告誡,並強制要求參加至少 1 小時之補強教育訓練及測驗 ;單位平均演練成績未達標準之單位,單位主管須併同出席以督促 單位內部之改善作為。連續 2 次演練開啟及點閱演練郵件合計達 3 次(含)以上未改善者,得移人審會議處。 (四)各機關演練時開啟或點閱社交工程電子郵件人員如確實因故無法參 加補強教育訓練者,應於一週內自行至「網路文官學院」完成相關 課程後,向資訊主兼辦單位報名參加測驗,測驗合格方算完成。未 完成者得停止其電子郵件之使用至完成為止。已參加補強教育訓練 但測驗不合格者得比照辦理。 六、年度目標 以 96 年底行政院對中央機關進行演練之平均值(開啟率 9 %以下 、點閱率 5.5 %以下)為演練目標。