假日就是要輕鬆

這個篇章整理了技服中心裡的問答，包括專區的常見問題、開辦研討會的問答等，還有實作時碰到的問題與找到的解答，僅提供參考，不敢保證是否符合一定能稽核標準...

遇到問題時，如果是特定的應辦事項問題(GCB、VANS)可以先上技服中心翻閱解答。若是找不到答案，一是直接詢問上級機關、輔導/稽核單位，再來就只能上網找解答。

Q: 導入 xxx 時碰到應用系統出錯。
A: 特定的應辦事項問題(GCB、VANS)可以先上技服中心翻閱解答。如果是商業產品，記得事先簽訂好事件即時處理的規則。一時無法解決的問題可在記錄單中記錄原因，並採取其他安全措施。

Q: 能使用第三方的雲端服務嗎? 例如 Google 表單?
A: 可以，但仍要注意資安法/個資法的相關規定。特別是追蹤的部份。
參考: 探討使用GOOGLE表單蒐集個資之迷思

Q: 單位內已經有導入 xxx 資安管理了,，還需要配合資安法嗎?
A: 仍然需要。例如盤點資產與弱點回報系統有做了，還需要細部確認項目是否有做，例如 VANS 明確要求必須轉為標準格式 CPE，之後上傳到技服中心的 VANS 系統。

Q: 作業系統無法找到相對應的 GCB，還要導入嗎?
A: 如果是太新的作業系統，如 Windows Server 2019 尚未推出 GCB ，則不會被要求導入。

Q: 作業系統 Linux/Mac 還需要安裝防毒軟體嗎?
A: 按照資安法，並沒有明確指出可排除哪些作業系統，因此還是有採購 Linux/Mac 版本的防毒軟體並安裝。

Q: 應辦事項的要求軟體要到哪種的程度，例如端點防護就有 EDR、MDR、XDR ，該購買何種產品?
A: 官方說法是要有效解決單位資安問題，這裡一般會被建議先有入門的產品即可，先求有再求好。
參考: 資通安全管理法修法說明會（北區第2 場次）

Q: 推行蒐集類的軟體時遇到阻礙，使用者感到隱私受到侵犯。例如端點防護軟體 EDR 裝在使用者端只有 agent ，使用者不會有任何感覺，卻想被知道安裝什麼軟體。
A: 必須配合法規、政策才有辦法強制性安裝，前者為相關的資安法規，後者也可以是單位內的資安政策。如果在導入時期，則可以小範圍如主機端、行政人員開始做起。一般使用者的話，一種情況是事先告知如果有被舉報攻擊事件，因單位安全考量強制安裝。

參考資源

資通安全管理法常見問題
GCB 常見問題
VANS 常見問題
座談會