轻松小单元 - 常见问题

假日就是要轻松

这个篇章整理了技服中心里的问答，包括专区的常见问题、开办研讨会的问答等，还有实作时碰到的问题与找到的解答，仅提供参考，不敢保证是否符合一定能稽核标准...

遇到问题时，如果是特定的应办事项问题(GCB、VANS)可以先上技服中心翻阅解答。若是找不到答案，一是直接询问上级机关、辅导/稽核单位，再来就只能上网找解答。

Q: 导入 xxx 时碰到应用系统出错。
A: 特定的应办事项问题(GCB、VANS)可以先上技服中心翻阅解答。如果是商业产品，记得事先签订好事件即时处理的规则。一时无法解决的问题可在记录单中记录原因，并采取其他安全措施。

Q: 能使用第三方的云端服务吗? 例如 Google 表单?
A: 可以，但仍要注意资安法/个资法的相关规定。特别是追踪的部份。
参考: 探讨使用GOOGLE表单蒐集个资之迷思

Q: 单位内已经有导入 xxx 资安管理了,，还需要配合资安法吗?
A: 仍然需要。例如盘点资产与弱点回报系统有做了，还需要细部确认项目是否有做，例如 VANS 明确要求必须转为标准格式 CPE，之後上传到技服中心的 VANS 系统。

Q: 作业系统无法找到相对应的 GCB，还要导入吗?
A: 如果是太新的作业系统，如 Windows Server 2019 尚未推出 GCB ，则不会被要求导入。

Q: 作业系统 Linux/Mac 还需要安装防毒软件吗?
A: 按照资安法，并没有明确指出可排除哪些作业系统，因此还是有采购 Linux/Mac 版本的防毒软件并安装。

Q: 应办事项的要求软件要到哪种的程度，例如端点防护就有 EDR、MDR、XDR ，该购买何种产品?
A: 官方说法是要有效解决单位资安问题，这里一般会被建议先有入门的产品即可，先求有再求好。
参考: 资通安全管理法修法说明会（北区第2 场次）

Q: 推行蒐集类的软件时遇到阻碍，使用者感到隐私受到侵犯。例如端点防护软件 EDR 装在使用者端只有 agent ，使用者不会有任何感觉，却想被知道安装什麽软件。
A: 必须配合法规、政策才有办法强制性安装，前者为相关的资安法规，後者也可以是单位内的资安政策。如果在导入时期，则可以小范围如主机端、行政人员开始做起。一般使用者的话，一种情况是事先告知如果有被举报攻击事件，因单位安全考量强制安装。

参考资源

资通安全管理法常见问题
GCB 常见问题
VANS 常见问题
座谈会