109年臺灣學術網路防範惡意電子郵件社交工程演練計畫

109年5月

壹、 目的

為提高教育體系各學校人員警覺性以降低社交工程攻擊風險，特訂定本計畫，舉辦相關資安教育訓練與宣導、規劃辦理演練服務作業，以強化人員資安意識並檢驗機關宣導社交工程防制成效。

貳、 對象

依「資通安全事件通報及應變辦法」第8條略以，每半年辦理一次社交工程演練。辦理如下：

1、 演練對象：部屬機關（構）、各大專校院、臺灣學術網路區域網路中心及各直轄市及縣市教育網路中心等。

2、 受測人員包括機關正、副首長、各級主管及一般行政人員；範圍涵蓋上述機關之全體人員，其全體人員定義為「具備機關郵件帳號之相關人員」即須納入受測人員名單，身分不侷限於正式公務人員。

參、 演練說明

1、 演練方式

1. 統一由本部集中辦理演練，隨機選取受測對象100名，其中主管(科組長以上)占40%、一般行政人員占60%，每人每次演練寄送10封郵件。

2. 演練時程：自本（109）年6月至11月止，期間進行2次演練。

肆、 社交工程郵件型態

1. 由本部資訊及科技教育司以偽冒公務、個人或公司行號等名義發送惡意郵件給演練對象，郵件主題分為政治、公務、健康養生、旅遊等類型，郵件內容包含連結網址或word附檔。

2 當各單位收件人開啟郵件或點閱郵件所附連結或檔案時，即留下紀錄，俾利進行後續各單位惡意郵件開啟率及惡意連結(或檔案)點擊率之統計。

伍、 評量標準

1. 各單位之惡意郵件開啟率及惡意連結(或檔案)點擊率計算方式如下：

(1) 惡意郵件開啟率（開啟惡意郵件之人數 / 機關受測人數）：

信件透過預覽或點開方式開啟，且信件本文內所含圖片亦完成圖片下載之動作，始認定為測試成功。

(2) 惡意連結點擊或附件下載率（點閱惡意郵件所附連結或開啟附件之人數 / 機關受測人數）：

受測人員點選信件內文中之連結網址或開啟郵件附件，將被記錄為測試成功。

3. 各單位之惡意郵件開啟率應低於10%以下；惡意連結點擊或附件下載率應低於6%以下。

4. 附錄「受測人員電子郵件帳號列表」之填報正確率：因填寫錯誤導致演練期間發送錯誤，將納入機關扣分。

陸、 演練結果

1、 由本部資訊及科技教育司彙整演練報告，陳報行政院資通安全處，並選取成績優良單位及待改善單位。

2、 演練成績優良單位，將依權責辦理相關人員敘獎事宜。

3、 演練成績不良單位，提報後續改善作為，於收到成績後2周內，提交初步改善計畫，並將持續關注下次演練績效改善。