國立清華大學 防範惡意電子郵件社交工程演練計畫



中華民國110年10月09日 第9次規劃小組會議提案通過



一、目的
    為提高本校人員資訊安全警覺性,降低社交工程攻擊風險,特訂定本計畫,舉辦相關教育訓練與宣導、
    並配合教育部規劃辦理演練服務作業提供受測人員名單,以強化人員資安意識並檢驗本校宣導社交工程
    防制成效。

二、實施對象
  (一) 本校區網中心人員
  (二) 受測人員包括學校正、副校長,一、二級單位主管及一般行政人員。

三、演練說明
  (一) 由教育部集中辦理演練,於每次演練前,向教育部提交本校所有一、二級主管及行政人員受測人
          員名單,再經由教育部隨機抽出一百名受測人員,每人寄送若干不同演練信件,信件內容包括各
          項題型。詳細之演練方式與抽測比例由教育部每年依當時情境決定。
  (二) 教育訓練
          1. 依105年6月23日行政院頒「國家資通安全通報應變作業綱要」辦理,本校每年將定期舉辦防
             範惡意電子郵件社交工程演練,人員每年至少需接受1小時社交工程防制宣導講習。
          2. 社交工程演練教育課程對象:
            (1)	上半年度演練作業前:實施對象為本校單位所有一、二級主管、行政人員,全面性實施教
                育訓練;前一年度下半年未通過演練者為必要調訓對象。
            (2)	下半年度演練作業前:針對上半年演練時開啟惡意郵件、點閱惡意郵件所附連結或檔案之
                人員,再次進行教育訓練加強宣導,以強化其警覺性。
  (三) 演練時程
          實際時程由教育部訂之,演練時間以教育部公文為準,中心將會依公文之演練計畫時間進行公告。
  (四) 社交工程郵件型態
          1. 由教育部資訊及科技教育司以偽冒公務、個人或公司行號等名義發送惡意郵件給演練對象,郵
             件主題分為政治、公務、健康養生、旅遊等類型,每年依情境不同會有所不同,其郵件內容包
             含連結網址或word附檔。
          2. 當收件人開啟郵件或點閱郵件所附連結或檔案時,即留下紀錄。
  (五) 評量標準
          1. 未通過惡意電子郵件社交工程演練之標準為,開啟惡意郵件及點擊惡意連結(或檔案):
             (1) 開啟惡意郵件:
                 信件透過預覽或點開方式開啟,且信件本文內所含圖片亦完成圖片下載之動作或開啟信件
                 內文中之附檔,始認定為測試成功。
             (2) 點擊惡意連結(或檔案):
                 受測人員點選信件內文中之連結網址或檔案,將被記錄為未通過演練。

四、 演練結果
     (一) 演練結果將於教育部公佈後,通知未通過之人員,並將名單副知各一級單位主管。
     (二) 未通過演練人員列為惡意電子郵件社交工程教育訓練必要調訓對象。