🔒 SECURITY AUDIT PROJECT PLAN
高雄專案 PMIS 系統
安全性檢查
工作分解結構 (WBS) · 專案時程管理 · 稽核規劃
4
執行階段
14
工作任務
43
安全檢查項目
7
執行週數
計畫目標與說明
本計畫針對高雄大型專案之 PMIS 系統(STE 建制)進行全面性資訊安全檢查, 確保系統服務連續性,並有效應對各類資安風險。
計畫分為四大階段推進:由內部會議建立共識出發,經由線上稽查執行、弱點評估與費用決策, 最終出具正式稽核報告並制定未來採購資安標準,同步規劃推廣至台中、桃園等其他地區大型專案。
安全性查核涵蓋帳密與存取控制、網路防火牆設定、系統 Patch 更新狀況、 備份與離線備援機制等共計 43 條項目,由 ITD、ERD、QAD 及外部廠商共同執行。
📌 查核完成後,將依結果建立適合的資安規範標準,納入未來 STE 建制系統合約需求, 並將高雄建立的模式推廣至台中、桃園等其他地區大型專案,形成標準化作業流程。
PHASE 1.0
專案啟動與準備
📅 2026/03/30 – 2026/04/10
▼
1.1 召開第一次會議(內部)
2026/03/30 先行內部開會,確立檢查目標為確保 PMIS 系統服務連續性及應對資安風險,與各參與單位取得共識,確認分工與後續時程。
1.2 召開第二次會議(外部)
2026/04 上旬邀集外部廠商,共同審視安全性檢查清單(Check List),確認各方責任與作業流程。
1.3 檢查範圍與標準確認
確認第一階段以高雄大型專案之 PMIS 系統 ( STE 建制)為主,並逐一檢視包含 43 條項目的安全性檢查清單,確保範圍完整無遺漏。
PHASE 2.0
安全性檢查執行
📅 2026/04/06 – 2026/04/30(一個月內完成)
▼
2.1 線上稽查作業
透過 Teams 進行線上查核,由廠商逐條操作 Check List,ITD 與 QAD 進行截圖作為正式證據附件留存。
2.2 帳密與存取安全檢查
驗證登入是否符合雙重驗證(2FA)、密碼長度與複雜性(至少 12 個字元)、定期變更及錯誤鎖定機制是否正確啟用。
2.3 網路與防火牆安全檢查
檢查 Firewall Policy、ITS 與 DDoS 阻擋功能是否開啟,並確認外部 VPN 連線與 Admin 帳號的安全設定是否符合規範。
2.4 系統與應用程式檢查
盤點作業系統、Web Server 與資料庫的 Patch 更新狀況,並查核上傳檔案功能是否具備 MIME Type 判斷機制以防範惡意上傳。
2.5 備份與備援機制查核
檢查異地備援與 VM 快照備份機制,確保防範勒索軟體風險的離線備份要求已落實到位。
PHASE 3.0
評估分析與費用決策
📅 2026/04/20 – 2026/05/05
▼
3.1 弱點評估與滲透測試規劃
評估是否需委請協力廠商進行每年一次的源碼掃描、網站弱掃與滲透測試,並提出建議方案供決策參考。
3.2 廠商調整成本彙整
針對檢查發現需調整的項目(如:加購 VPN 授權、整合 Email OTP 費用、增加 MIME Type 判斷邏輯等)進行成本估算與彙整。
3.3 呈報與決策核准
將改善建議與額外費用彙整後,呈報楊總進行最終決策核准,確認後續執行方向。
PHASE 4.0
稽核報告出具與後續規劃
📅 2026/05/04 – 2026/05/15(5月上旬完成)
▼
4.1 出具內部稽核報告
彙整線上查核的截圖證據與數據,產出正式的資安檢查與評估分析報告,提供給相關單位存查與決策依據。
4.2 檢查結果會診會議
分析第一次安全性檢查的結果,召開後續檢討會議,確認改善事項的優先順序與責任分工。
4.3 制定未來採購資安標準
依據本次檢查結果,提供適合的資安規範標準,納入未來 STE 建制系統的合約需求,確保新系統符合安全基準。
4.4 規劃其他地區大型專案模式
將高雄建立的安全性檢查模式與標準,系統化規劃推廣至台中、桃園等其他地區大型專案,形成可複製的標準化作業流程。
📅 專案時程甘特圖(Gantt Chart)
| 任務項目 (WBS) | 負責人 / 參與者 | W1 3/30-4/05 |
W2 4/06-4/12 |
W3 4/13-4/19 |
W4 4/20-4/26 |
W5 4/27-5/03 |
W6 5/04-5/10 |
W7 5/11-5/15 |
|---|---|---|---|---|---|---|---|---|
| 1.0 專案啟動與準備 | ||||||||
| 1.1 召開第一次會議(內部) | ITD、ERD、QAD | 🔴 | ||||||
| 1.2 召開第二次會議(外部) | ITD、ERD、QAD、廠商 | 🔴 | ||||||
| 1.3 檢查範圍與標準確認 | ITD、ERD、QAD、廠商 | 🟢 | ||||||
| 2.0 安全性檢查執行 | ||||||||
| 2.1 線上稽查與截圖 | ITD、ERD、QAD、廠商 | 🔵 | 🔵 | 🔵 | ||||
| 2.2 帳密與存取檢查 | ITD、ERD、QAD、廠商 | 🔵 | 🔵 | |||||
| 2.3 防火牆與網路檢查 | ITD、ERD、QAD、廠商 | 🔵 | 🔵 | |||||
| 2.4 系統 Patch 與檔案檢查 | ITD、ERD、QAD、廠商 | 🔵 | 🔵 | |||||
| 2.5 備份與離線機制查核 | ITD、ERD、QAD、廠商 | 🔵 | ||||||
| 3.0 評估分析與費用決策 | ||||||||
| 3.1 滲透 / 弱掃需求評估 | ITD、ERD、QAD、廠商 | 🟡 | 🟡 | |||||
| 3.2 調整成本彙整 | ITD、ERD、QAD | 🟡 | 🟡 | |||||
| 3.3 呈報決策 | ITD、ERD、QAD、楊總 | 🟡 | 🟡 | |||||
| 4.0 稽核報告出具與後續規劃 | ||||||||
| 4.1 產出稽核報告與分析 | ITD、QAD | 🟠 | ||||||
| 4.2 檢查結果檢討會議 | ITD、ERD、QAD、廠商 | 🟠 | ||||||
| 4.3 制定未來採購資安標準 | ITD、ERD、PUR | 🟠 | 🟠 | |||||
| 4.4 規劃台中推廣模式 | ITD、ERD、QAD | 🟠 | ||||||
🔴 專案啟動 / 會議節點
🟢 準備階段
🔵 執行階段
🟡 評估與決策
🟠 報告與收尾
✅ 安全性查核清單(範例)
完成度:0 / 14 項
🔐 帳密與存取安全
🛡️ 網路與防火牆
🖥️ 系統與應用程式
💾 備份與備援
※ 本清單為互動示範版(14 大項),完整版共含 43 條查核項目。