一、依據新竹縣政府政風處114年10月17日政行字第1144753921號書函轉法務部廉政署114年10月14日廉政字第11407021700號函辦理。

二、鑑於近期發生國家關鍵基礎設施網站遭駭入侵並遭惡意置換網頁情事，經司法機關調查，疑為內部人員濫用職務權限所為。另駭客入侵常見透過系統弱點攻擊與植入惡意程式滲透，企圖竊取或破壞機關內部系統資料。此類事件除嚴重影響機關正常運作外，亦可能導致機敏資訊外洩，對資訊安全威脅甚鉅；若涉及國家關鍵基礎設施，更將危及國家安全及利益。

三、為強化資訊安全防護，請協助落實推動下列重點事項：

(一)強化機關整體資訊安全防護：

１、定期檢測網頁與伺服器安全設定，強化防火牆、入侵偵測、防毒與備份機制，並持續監控異常登入、異常流量或可疑網域連線紀錄。

２、涉及關鍵基礎設施業務相關系統或機關重要資料庫，應設置專責人員監控異常狀況，以防範惡意入侵與資料竄改。

３、如發生資通安全事件，應依「資通安全管理法」及「資通安全事件通報及應變辦法」規定，即時通報並採取應變處置措施。

(二)落實資訊使用管理稽核：

１、針對系統存取政策、授權規範及異常使用行為實施抽查，確保各項權限配置合理。

２、定期檢視具特殊權限人員、委外維運人員帳號管理情形，防範越權查詢、權限濫用或外部滲透。

３、稽核過程如發現異常情形，應即通報主管機關，並督促追蹤改善。

(三)加強委外及廠商資安管理：

１、依行政院公共工程委員會與數位發展部研訂之「各類資訊（服務）採購之共通性資通安全基本要求參考一覽表」及「資訊服務採購作業指引」，於資訊委外採購或維護契約中，明確納入資通安全管理及責任條款，並保留稽核及檢測權限。

２、定期檢視廠商系統維運作業、權限管理與資安稽核結果，防止外包人員或系統弱點成為駭侵管道。

(四)提升人員資安防護意識：定期辦理社交工程演練、資安教育訓練與宣導活動，持續強化同仁資安防護意識。