建議操作方式：可參考本中心製作之「四階文件常見問題Q&A 」填寫建議。

所謂危害國家資通安全產品，指對國家資通安全具有直接或間接造成危害風險，影響政府運作或社會安定之資 通系統或資通服務。 機關必須採購或使用述所廠商服務或產品時，應具體敘明理由，經機關資通安全長（簡稱資安長）及其上級機關資安長逐級核可，函報主管機關核定後，以專案方式購置，並列冊管理。 建議操作方式：避免使用相關廠牌設備，若需使用應依規定呈報，若非必要之設備應於產品已屆使用年限者，應於停止使用後，即刻辦理財物報廢作業；未達使用年限者，應定明辦理財物報廢作業期程。目前已知（但不限）之大陸品牌羅列如下：

法源依據：https://law.moda.gov.tw/LawContent.aspx?id=FL091047

發現部份單位同仁對於資訊服務採購認知未臻清楚，部份單位自行議價之採購案並未會辦計資中心，進而形成相關資安條款或要求未能符合本校規範。 建議操作方式：各單位對於採購內容重新檢視並修正，並參考下列說明。

1. 資訊服務定義：資訊採購指的是各類與資訊技術（Information Technology, IT）相關的產品、軟硬體、服務與解決方案的購買或租賃，以滿足組織在資訊處理、管理及安全需求方面的要求。
2. 應套用之採購（需求）範疇：
   1. 硬體設備：如：無線基地台、網路印表機、網路儲存伺服器（NAS）、網路攝影機、門禁控制設備、網路交換器、防火牆、個人電腦等。 建議於委外採購契約內附加之條文： （可參考本校NCHU-ISMS-D-078系統建置&維護合約書範本內之條文，摘錄引用）

      ✓	應確保交付時，載體版本為最新版本
      ✓	應確保設備預設帳號與密碼已變更，並啟用強密碼
      ✓	資料傳輸應透由 HTTPS 或 SSH，並關閉不安全的資料傳輸途徑
      ✓	若有日誌紀錄功能應開啟，並至少保留6個月

   2. 軟體系統類：如：資通系統、防毒軟體、資料備份系統、主機與端點防護（EDR/NGAV）等。 建議於委外採購契約內附加之條文： （可參考本校NCHU-ISMS-D-078系統建置&維護合約書範本內之條文，摘錄引用）

      項目	說明
      弱點掃描	若為客製化資通系統，上線前應進行主機和網頁弱點掃描，可透過 Nessus、OpenVAS、QualysGuard、Burp Suite、Acunetix 工具或向本校計資中心提出申請，弱掃結果不得有中高以上之風險，低風險需提出修正規劃。
      TLS 加密	資通系統於上線前應確保所有網頁、服務介面及資料傳輸均採用符合現行安全標準的 TLS（傳輸層安全性協議）憑證進行加密保護，以確保資料傳輸的機密性、完整性與安全性。
      日誌記錄	資通系統應啟用並記錄必要的系統操作與存取日誌（如 logon log、AP log、OS event log、web log），並至少留存 6 個月，以確保系統安全性與可追溯性，並滿足稽核與事件調查需求。
      密碼安全	確保資通系統預設密碼已變更，並啟用強密碼審核機制。
      帳號管理	資通系統交付時，廠商應將非必要之特權帳號或測試帳號予以停用或移除。

3. 服務需求（支援）：包括資安顧問服務、風險評估、滲透測試與事件應變管理等。
4. 無須套用 之資訊服務採購規範者：
   1. 印表機與掃描器等無連網功能設備。
   2. 一般辦公授權之套裝軟體或自由軟體。如文書處理工具。
   3. 傳統儲存裝置與外接硬碟：未內建資料加密或存取控制功能的裝置者。

建議操作方式：各單位應落實執行帳號清查，且避免過度依賴廠商提供之資訊，應建立自我查核機制或了解如何進行帳號清查，以確認每半年一次之帳號清查之有效性。帳號清查應配合填具「NCHU-ISMS-D-055帳號清查結果報告」及「NCHU-ISMS-D-054帳號清查異動紀錄表」或以畫面截取或附件方式提供必要佐證資訊。

註：清查後無異動者亦有相關帳號清冊，同時已停用之特權帳號亦應清查至清冊內，以確保特權帳號無誤用之情事。

建議操作方式：業務單位委託廠商執行系統開發或維護業務，除提出功能性需求，亦應該針對系統安全性有所要求，業務單位可依承攬金額彈性調整或擷取「NCHU-ISMS-D-078系統建置&維護合約書範本」內容，納入委外合約規範，且廠商團隊及其服務本校之成員均應簽署並提交保密切結書。

建議操作方式：

1. 業務單位擇定委外廠商前，可利用「NCHU-ISMS-D-071資通系統或服務委外受託者查檢表」及「NCHU-ISMS-D-069委外廠商資訊安全自評表」針對委外廠商服務及人員安全要求、開發環境等資安管理進行評估，若已為長期合作廠商，應於下次簽約（如維護約）前再次進行評估，以瞭解廠商資安管理措施。
2. 稽核發現少數單位廠商回復之「廠商資安管理作業自我評估表」內容顯示廠商無資安管理措施，業務單位應審慎評估委託該廠商之安全風險或請其提出相關因應作為，以呈現其得以協助本校安全的完成必要服務。
3. 關於廠商所填具之資料，未能有明確證明其符合之“有效性”，建議對於各符合項均應配合提供必要佐證資料備查，而不符合或不適用者應明確述明原因，並取得單位同意後始得執行本專案。

建議操作方式：法遵要求之日誌「作業系統日誌(OS event log)/網站日誌(web log)/應用程式日誌(AP log)/登入日誌(logon log)」，而作業系統日誌（OS even log）及網站日誌(web log)應均為軟體元件可供之作業，建議優先辦理（僅需注意是否啟用及留存時間是否滿足至少6個月），其餘日誌需均依賴系統開發時進行功能撰寫或設置。建議各單位採分年或階段方式進行完備，如登入日誌(logon log)，其非困難之功能，僅為行為紀錄，應考量辦理。而應用程式日誌(AP log)因有程式功能及作業之關聯，可於評估系統所涉及之資料後再行規劃，惟若有使用資料 庫工具，則建議應開啟資料庫稽核功能，以紀錄資料存取行為。

建議操作方式：各單位應落實盤點單位內系統（含網站），系所官網、研究計畫及研究中心依需求所立之網站與資訊系統，均需配合盤點並納入資通系統清冊。若網站委由學生開發、公開使用亦歸屬於本校自行開發之網站，需配合資通系統分級作業要求事項辦理。（學生因修課而練習建置之網站不在此限，惟請注意勿涉及個資蒐集並留心系統相關安全設置，勿被不當使用）

稽核發現不符合設備多為印表機及攝影機，常見情形為單位印表機已經設定需使用密碼登入，惟未限制僅校內IP或單位IP可連線，另設備後臺畫面無須登入即可查看工作紀錄(工作檔案名稱：可能包含學生姓名及申請文件名稱)、掃描影像檔案(可能包含個資)、使用者IP等資訊。攝影機因使用預設密碼或毋須密碼，且未限制可連線IP，致使攝影結果能非經授權而存取。 建議操作方式：

1. 建議各單位可透過校內WIFI或手機行動網路校外IP測試，在瀏覽器輸入物聯網設備IP連線至設備後台，自行檢查在設備未登入畫面是否揭露過多資訊。
2. 若受限於設備型號，無法更改未登入時的顯示畫面，則應限縮可連線的IP範圍，例如：僅辦公室電腦IP的網段可連線，避免不法人士透過校內WIFI網路或校內已中毒的電腦連線。
3. 網路攝影機除需認非大陸品牌設備外，應進行密碼變更作業，若非公共環境需求，應限單位IP網段方可連線。

建議操作方式：依法規定機關內所有同仁（含主管）每年皆應完成3小時以上的資安通識教育訓練，故請同仁可多利用線上免費課程資源或隨時查看本校活動報名平台，檢視計資中心辦理之線上及實體課程，多多參與。 可善加利用E等公務園學習平台（一般民眾亦可註冊使用，不限公務員身分）https://elearn.hrd.gov.tw/

建議操作方式：公務電腦不使用時，應設置螢幕保護程式（應確實勾選「顯示登入畫面」），並以密碼保護、鎖定或登出離線等安全控制措施。（等候時間設定不得大於15分鐘）

建議操作方式：請單位針對自行管理之資通系統進行通行碼規則檢視，並提供基本條件設置（密碼變更時進行長度與強度檢查），以符合法規作業要求。

建議操作方式：可申請本校提供之弱點掃描服務（請與本校資安人員聯繫） 或至本中心官網>表格下載>研究發展組>弱點掃描申請

建議操作方式：應針對弱掃報告中「critical」、「high」風險項目進行改善，若無法短期內完成修補，應有改善或規劃修補紀錄，並經單位主管核准，惟不宜放置一兩年均未改善，因時間愈久其安全漏洞會愈多愈不安全。

建議操作方式：此問題涉及單位系統架構及經費，無法於短時間內完成升級，建議內部先盤點資通系統有此問題者，並自行列管，由單位評估風險、規劃經費及相關資源後，提出預計完成改版或升級之期限（建議不宜超過兩年，因主管機關每兩年至少進行實地稽核訪視一次，除會重覆列計缺失外，時間愈久其安全漏洞會愈多，單位所面對之資安風險亦會愈高）。

發現部分電腦因作業系統未升級至最新版本，導致防毒軟體無法自動更新維持最新授權。 建議操作方式：公務電腦應維持作業系統及防毒軟體為最新版本，可多善用學校提供之校園授權軟體，因學校授權會有主動派送更新之作業。

建議操作方式：可隨時於網站上查詢或至該產品原廠網站檢視相關支援之公告。常用工具有：

1. 作業系統(OS)：Windows server、Linux (Ubuntu/Fedora/Debian/CentOS/Mint/Arch Linux/Manjaro)…
2. 資料庫軟體(Data base)：MS SQL Server、IBM DB2/Informix、 MySQL、PostgreSQL、Oracle ...
3. 網頁伺服器(Web services)：Windows Server(IIS)、Apache HTTP Server、Apache Tomcat、Nginx、IBM HTTP Server、Lighttpd、Oracle HTTP Server…
4. 應用元件/工具(網頁開發語言)：PHP、Python、JavaScript(Node.js)、Java、Ruby(Ruby on Rails)、C#(ASP.NET)…

建議操作方式：應依國家發展委員會103年12月31日發資字第103151471號函、教育部104年1月9日臺教資(四)字第1030195617號函及教育部110年9月15日臺教資(四)字第1100125917號函規定辦理。 如有涉及國民身分證統一編號之登載者統一隱碼欄位為身分證編號後4碼，如另有特殊用途則依相關規定辦理。敬請單位於文件或網站對於國民身分證統一編號之蒐集或登載，務必依要求隱碼欄位為後4碼，過往蒐集後4碼之文件，請單位依內部程序進行修正。

建議操作方式：請於知悉事件當下請先行中斷該主機之網路連線（拔除網路線或關閉網路服務），並立即與本校計資中心人員聯繫（04-22840306），並協助初步提供事件資訊，供本校依規定呈報事件平台。後續處理再由相關同仁會同辦理，依法本校須於知悉事件1小時內進行通報並判斷事件等級，故請單位知悉後立即與計資中心聯繫，後續處理再行討論、規劃。