您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

歷史法條

現行條文: 法務部防範電子郵件社交工程施行計畫 6
六、電子郵件社交工程年度演練基準,依本部資通安全會報會議決議之開
    啟率、點閱率定之。
民國 101 年 04 月 05 日修正
6
六、電子郵件社交工程年度演練基準,依本部資通安全會報會議決議之開
    啟率、點閱率定之。
民國 98 年 05 月 18 日修正
3
參、計畫作為
一、演練時間
    採無預警不定期方式,每年至少辦理兩次演練。
二、參與機關(單位)
    參與演練之機關為本部及所屬機關,各機關參與演練人數為具有公務
    電子郵件人數之四分之一以上。
三、教育訓練要點
(一)依行政院國家資通安全會報九十四年九月二十八日資安發字第九四
      一○○八○二號「政府機關(構)資訊安全責任等級分級作業施行
      計畫」,應按其資安等級,每年定期舉辦資安教育訓練。
(二)資安教育訓練應納入電子郵件社交工程防制有關之認知宣導,並著
      重攻擊實例說明。
(三)強制要求本部及所屬機關個人電腦之 Outlook  及 Outlook Expr-
      ess 電子郵件功能設定為純文字模式,可在第一時間讓使用者再次
      確認該封信是否為社交工程電子郵件,避免誤點閱該郵件。
(四)每人每年至少接受一小時之「防範電子郵件社交工程」教育訓練(
      含在每人每年四小時資安教育訓練課程內),課程結束後需通過測
      驗方核給時數。
四、演練作業要點
(一)本部資通安全處理小組在本項演練作業中,分三組分工執行各項任
      務:應用系統組、設備網路組及使用稽核組。組織架構如附圖一。
(二)演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度等,
      均需為可控制、有限度之滲透入侵,並由設備網路組規劃執行。
(三)由行政院國家資通安全會報技術服務中心協助提供電子郵件社交工
      程演練工具及惡意郵件範本(如附件一),郵件主題分為政治、公
      務、健康養生、休閒娛樂、情色等類型,郵件內容包含連結惡意網
      址或惡意附加檔案。
(四)由本部資通安全處理小組以偽冒公務、個人或公司行號等名義發送
      惡意郵件給演練對象,當收件人開啟郵件或點閱郵件所附連結或檔
      案時,應留下記錄,俾利後續統計惡意郵件開啟率及點閱率。
   (1)惡意郵件開啟率:開啟惡意郵件之人數/參演人數。
   (2)惡意郵件點閱率:點閱惡意郵件所附連結或檔案之人數/參演人
        數。
五、演練結果處理
(一)本部資訊處於完成演練作業後,應檢討辦理情形及演練結果,並將
      演練情形報告(格式如附件二)併「資通安全處理小組演練成果」
      報告於每年十月底前送行政院國家資通安全會報彙整。
(二)以六之年度目標為演練標準,演練未達標準之機關應提出檢討及改
      善計畫報部核備,本部未達標準單位應簽陳部次長核定;連續 2  
      次未達標準之待改善機關(取較差之前 3  名,如肆、「待改善機
      關」評選方式)應到本部資通安全會報提報檢討及改善措施。
(三)各機關對演練時開啟或點閱社交工程電子郵件人員,由單位主管予
      以口頭告誡,並強制要求參加至少一小時之補強教育訓練及測驗;
      演練成績未達標準之單位,單位主管須併同出席以督促單位內部之
      改善作為。連續二次演練均開啟及點閱演練郵件,且合計達三封(
      含)以上未改善者,得移人審會議處。
(四)各機關演練時開啟或點閱社交工程電子郵件人員如因故無法參加補
      強教育訓練者,應於一週內自行至本部數位學習平台或「網路文官
      學院」完成相關課程,並經測驗合格後方算完成。未完成者停止其
      電子郵件之使用至完成為止。已參加補強教育訓練但測驗不合格者
      比照辦理。
六、年度目標
    以前一年行政院對中央機關進行演練之平均值(開啟率、點閱率)為
    演練目標。
民國 97 年 03 月 20 日訂定
3
參、計畫作為
一、演練時間
    採無預警不定期方式,每年至少辦理兩次演練。
二、參與機關(單位)
    參與演練之機關為本部及所屬機關具公務電子郵件之 1/4  (含)以
    上人員參與演練。
三、教育訓練要點
(一)依行政院國家資通安全會報 94 年 9  月 28 日資安發字第 94100
      802 號「政府機關(構)資訊安全責任等級分級作業施行計畫」,
      應按其資安等級,每年定期舉辦資安教育訓練。
(二)資安教育訓練應納入電子郵件社交工程防制有關之認知宣導,並著
      重攻擊實例說明。
(三)強制要求本部及所屬機關個人電腦之 Outlook  及 Outlook Expr-
      ess 電子郵件功能設定為純文字模式,可在第 1  時間讓使用者再
      次確認該封信是否為社交工程電子郵件,避免誤點閱該郵件。
(四)每人每年至少接受 2  小時之「防範電子郵件社交工程」教育訓練
      (含在每人每年 4  小時資安教育訓練課程內),課程結束後需通
      過測驗方核給時數。
四、演練作業要點
(一)本部資通安全處理小組在本項演練作業中,分 3  組分工執行各項
      任務:應用系統組、設備網路組及使用稽核組,組織架構如下:

      A.提供電子郵件名單。
      B.規劃執行演練攻擊作業(準備軟硬體)。
        1.執行演練攻擊作業。
        2.辦理補強資安教育訓練。
        3.彙整演練成果報告轉知所屬機關及報院備查。
 
                    法務部資通安全處理小組

                (法務部資訊處處長擔任召集人)
 
                          應用系統組

                      (資訊處一科及三科)
 
                          設備網路組

                        (資訊處二科)
 
      (資訊處一科)
      A.負責擬定演練計畫。
      B.召開啟動會議。
      C.遴選演練機關,及產生參演機關與演練劇本對照表。

      (資訊處三科)
      A.規劃演練劇本。
      B.保管參演機關與演練劇本對照表。
      C.照相。 
      1.照相。
 
      使用稽核組
      (資訊處稽核管制組)
      A.負責監控各項執行事宜。
                   
(二)演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度等,
      均需為可控制、有限度之滲透入侵,並由設備網路組規劃執行。
(三)由行政院國家資通安全會報技術服務中心協助提供電子郵件社交工
      程演練工具及惡意郵件範本(如附件一),郵件主題分為政治、公
      務、健康養生、休閒娛樂、情色等類型,郵件內容包含連結惡意網
      址或惡意附加檔案。
(四)由本部資通安全處理小組以偽冒公務、個人或公司行號等名義發送
      惡意郵件給演練對象,當收件人開啟郵件或點閱郵件所附連結或檔
      案時,應留下記錄,俾利後續統計惡意郵件開啟率及點閱率。
   (1)惡意郵件開啟率:開啟惡意郵件之人數/參演人數。
   (2)惡意郵件點閱率:點閱惡意郵件所附連結或檔案之人數/參演人
        數。
五、演練結果
(一)本部資訊處於完成演練作業後,應檢討辦理情形及演練結果,並將
      演練情形報告(格式如附件二)併「資通安全處理小組演練成果」
      報告於每年 10 月底前送行政院國家資通安全會報彙整。
(二)以六、年度目標為演練標準,第 1  次演練未達標準之機關應提出
      檢討及改善計畫報部核備,本部未達標準單位應簽陳部次長核備;
      連續 2  次未達標準之待改善機關(取較差之前 3  名,如肆、評
      審辦法)應到本部部務會報提報檢討改善計畫。
(三)各機關對演練時開啟或點閱社交工程電子郵件人員,由單位主管予
      以口頭告誡,並強制要求參加至少 1  小時之補強教育訓練及測驗
      ;單位平均演練成績未達標準之單位,單位主管須併同出席以督促
      單位內部之改善作為。連續 2  次演練開啟及點閱演練郵件合計達
      3 次(含)以上未改善者,得移人審會議處。
(四)各機關演練時開啟或點閱社交工程電子郵件人員如確實因故無法參
      加補強教育訓練者,應於一週內自行至「網路文官學院」完成相關
      課程後,向資訊主兼辦單位報名參加測驗,測驗合格方算完成。未
      完成者得停止其電子郵件之使用至完成為止。已參加補強教育訓練
      但測驗不合格者得比照辦理。
六、年度目標
    以 96 年底行政院對中央機關進行演練之平均值(開啟率 9  %以下
    、點閱率 5.5  %以下)為演練目標。