壹、近期有駭客透過資安防護能量不足之委外供應商，對外部某機關進行資安攻擊，為避免國防部所屬單位產生類案，請各單位對於委外廠商進行下列要求管理，並落實執行：

　一、依據專案類型，要求履約廠商的資安能力條件，履約與駐點相關人員應熟知國防部資安規定，並納入資安人力的要求。

　二、各單位及委外廠商進行遠端維護資通系統，除應採「原則禁止、例外允許」，若單位因地理限制、處理時效及專案特性等因素，須開放前揭人員自遠端存取資通系統時，應至少辦理下列防護措施，降低重要主機可能攻擊範圍：

　（一）依國軍資通安全責任等級分級作業指導中，有關遠端存取相關規定辦理，並建立及落實管理機制，說明如後：

　1.對於每一種允許之遠端存取類型，均應先取得授權，建立使用限制、組態需求、連線需求及文件化。

　2.使用者之權限檢查作業應於伺服器端完成。

　3.應監控遠端存取單位內部網段或資通系統後臺之連線。

　4.應採用加密機制。

　（二）遠端存取須有時效限制，並建立異常行為管理機制。

　（三）結束遠端存取期間後，應確實關閉網路連線，並更換遠端存取通道（如VPN）登入密碼。

　三、廠商帳號密碼應定期盤點，並以最小權限與最低開放時間為原則，如已無使用需求或人員異動，均應刪除。

　四、廠商連線與登入之相關紀錄應納入監控，有異常行為應停用帳號並進行調查。

　五、如有廠商代管伺服器或廠商建有專案相關主機應訂定各項資安需求，要求廠商遵守。

　六、應依「國軍委外辦理資通系統服務資安管控指導要點」之委外廠商稽核表進行廠商外部稽核，確認廠商相關資安工作，如有缺失應追蹤管考。

　七、廠商如有內部受駭事件，影響機關者，應要求廠商主動通知機關進行損害控制或預防措施，避免受到波及。

　八、廠商所提供之軟硬體及應用系統，包含廠商內部與建置於機關機房者，均應規範資安需求與資安檢測基準，應持續進行弱掃與修補，並納入驗收與定期維運之必要條件。

　貳、請各單位權責部門確按前揭事項辦理資安工作，俾維國軍資訊安全，各級主官及資安長應負起督導之責，國防部將利用各項督（突）檢時機，驗證各單位執行情形。

　參、針對通報內容如有任何問題，請洽國防部通次室（軍線：635929、636030）聯繫，由專人協助處置。（通次室提供）