離開
進入多個公機關電郵遭駭 政院要求系統採購資安納評選
多個政府機關電子郵件帳號遭駭,行政院已要求機關因委外或自行開發資通系統需要採購資通系統時,應將資安作業納入評選項目。(資料照)
〔記者李欣芳/台北報導〕行政院根據近期資安聯防情資發現,最近多個政府機關電子郵件帳號遭駭,被寄送大量社交工程釣魚郵件與惡意程式垃圾郵件,經深入分析發現,駭客使用駭侵工具暴力破解多組機關人員郵件帳密,並透過受駭電子郵件帳號將取得的帳密回傳至駭客信箱,所幸事件並沒有進一步擴大,技服中心並提供相關防護建議給各機關參考。
為避免公務機關資料外洩,確保資通系統整體安全性,行政院已要求機關因委外或自行開發資通系統時需要採購資通系統時,除了依現行相關規定之外,也要求各公務機關在採購階段應應經風險評估以鑑識資安防護等級,並須經機關資安長確認,以配置合理的資安經費,且重要的資通系統應為高資安防護等級。政院並要求應將資安作業納入評選項目,應採用不訂底價的最有利標決選原則,將資安作業納入評選,並於評選時要求說明履約的資安作為及資安經費的配置。
政院官員今天受訪表示,當政府機關因委外或自行開發資通系統需要對外採購時,將要求投標的廠商說明如何做好系統的資安防護,盼各機關能強化落實相關規定。
至於近期發現多個政府機關電子郵件帳號遭駭,政院官員說,經了解主要是因電郵帳號的密碼設得太簡單,以致於遭到駭客入侵,所幸事件並沒有進一步擴大。
在採購後的建置階段時,行政院建議應由機關的資安或資訊人員共同參與,協助落實安全軟體開發生命週期,對於資安防護等級高的系統,政院認為應評估導入獨立驗證與認證機制,協助機關於開發過程中進行功能與安全驗證,確保軟體品質,評估結果應經上級機關確認。
在進入維運階段後,政院要求機關應配置資安專職人員,檢視並確認重要資通系統的維運作業確實依照機關資安管理措施落實辦理,例如登入維護、效能調校、資料備份、主機環境及系統版本更新、異常檢視、應變處理及個人資料保護等。廠商也應配置資安專職人員,確認各項作業符合雙方的資安管理規範。
