在數位治理日益重視的今日， 資訊安全 早已不再只是資管部門的責任。尤其對於眾多承接政府計畫之網站開發與維運單位而言，網站管理人員的資安基本素養，正是保障網站穩定與合規的第一道防線。根據數位發展部制定的 《資通系統基準檢核表》 ，即使為「普級」類別之政府網站，也須滿足特定的資安稽核要求，包括帳密管理、弱點掃描與定期教育訓練等面向。本文將從教育訓練觀點出發，解析網站管理人員需具備的資訊安全知識與實務作法。

一、從普級要求談起：政府網站的資安底線不能忽視

普級政府網站為何也須重視資訊安全？

作為 政府計畫網站 指定的 網站設計公司 ，根據《政府機關資通安全分類分級管理辦法》，即便為資訊公開類的「普級」網站，仍須進行基本的 資通安全風險盤點 與防護機制設計。這些網站雖未處理高度機敏資料，但因為是民眾與政府互動的起點，其穩定性與安全性直接影響政府公信力。

資通系統基準檢核表中的教育訓練要項

針對普級網站，《資通系統基準檢核表》要求管理單位須定期進行資安教育訓練，並建立操作手冊、密碼政策與帳號管理機制。這些訓練項目不僅著眼於日常操作，更包含資安事件回報程序、防範社交工程與 弱點掃描 後的修補作業。

二、網站管理人員需具備的資安知識與日常操作

帳號權限與密碼管理的正確觀念

普級政府網站仍需落實帳號分權原則。網站管理者應避免使用共用帳號，並依照最小權限原則（Principle of Least Privilege）分配後台權限。密碼方面，應強制設定長度、複雜度與週期更新，並禁用與預設帳密。

弱點掃描與漏洞修補的執行時機

網站交付與重大改版後，應進行一次完整的弱點掃描。網站管理員需具備基本的解讀報告能力，理解高、中、低風險弱點之意涵，並追蹤開發單位於時限內完成修補。此能力關乎網站是否能通過 政府網站稽核標準 與後續稽核追查。

資安事件的識別與回報流程

網站管理人員應瞭解常見資安事件類型（如駭侵、偽裝頁面、惡意跳轉等），並熟悉組織內部SOP，包括通報窗口、應變時限與記錄方式。建立具體且可演練的資安事件通報機制，將大幅降低事後損害風險。

三、建置資安文化：從個人責任到組織制度

導入定期資安訓練制度與知識更新機制

單次訓練難以因應持續變動的資安威脅。建議各機關或代管廠商，將資安訓練納入網站維運契約，並結合實際案例講解與線上課程，提升實務理解。

資安管理文件與SOP制度化

為強化訓練成果的落地實施，應制定「網站操作手冊」、「資安事件處理程序」與「帳號管理辦法」，並進行文件版控與查閱紀錄。這不僅提升管理效率，亦有助於稽核時對應查驗要求。

由管理者帶頭推動資安文化

網站資安不只是技術部門的任務，而是 專業網站設計團隊 公司所有人的重點工作。從高層管理者開始倡議資安思維，將有助於落實制度、提升意識並有效預防資安風險。