【最新消息|資安專區|個資保護|校園網路|ODF推廣|學習園地】
資通安全專區
- 一階文件
- 二階文件
- 四階文件
- D-001-資通安全組織成員表
- D-002-資訊資產清單
- D-003-資訊資產清單風險評估表
- D-004-風險評鑑彙整表
- D-005-風險改善計畫表
- D-006-人員資通安全守則
- D-007-保密切結書
- D-008-電腦安全自我檢查表
- D-009-機房進出人員管制表
- D-010-人員進出機房登記表
- D-011-巡查紀錄表
- D-012-遠端連線申請表
- D-013-委外廠商查核項目表
- D-014-委外廠商保密切結書
- D-015-稽核項目紀錄表
- D-016-矯正與預防處理單
- D-017-資通安全管理制度內部稽核報告
- D-018-利用或傳遞個人資料申請表
- D-019-電子信箱申請表
- D-020-無線網路申請表
- D-021-帳號清查紀錄表
- D-022-備份狀況紀錄表
- D-023-備份回復測試紀錄表
- 資通安全聯絡窗口
- 圖書館資訊組長彭孟凱、聯絡電話:06-2131928#532
- 廣告信檢舉 (abuse):abuse@tngs.tn.edu.tw
- 資安通報 (security):security@tngs.tn.edu.tw
資安宣導
- 2022/01/18 國教署指示:加強落實資通安全及個人資料保護相關規範
- 依據資通安全管理法之資通安全責任等級分級辦法,應辦理相應之資安應辦事項。
- 配合國教署五大核心資通系統向上集中作業,提升整體資通安全防護能量。
- 學校人員使用雲端資通服務(如Google表單等)蒐集個人資料時,可能因設定不當而增加個資外洩及資安風險。使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者,應注意資通系統或服務蒐集及使用個人資料之注意事項,以「最小化」為原則,並依據公告、資料蒐集審查機制,避免因系統設定錯誤或人為因素,誤將機敏個資、機密檔案公布於網路上。
- 如發生資通安全事件,應依資安法規範辦理資安通報。
- 全體同仁應踴躍參加資安及個資相關教育訓練,加強資安及個資保護意識。
- 2021/11/30 教育部制定「教育體系遠距教學之資訊安全指引」
- 強化各級學校師生遠距教學軟體與設備之資安防護,作為學校實施遠距教學時考量網路安全因素與預防措施之參考原則。
- 2021/09/16 國教署指示:強化個人資料保護,建立網站公告內容審查機制
- 為促進個人資料之合理利用,於網站發布公告內容,應避免存有特定個人之資料(例如:姓名、出生年月日、就學資料、聯絡方式或其他得以直接或間接方式識別該個人之資料);如有者,應儘速下架,並將暫存網頁之資料移除。
- 如發生個人資料外洩時,應依「臺灣學術網路各級學校資通安全通報應變作業程序」規定,於知悉後1小時內,至臺灣學術網路危機處理中心完成資通安全事件通報。
- 為強化對教職員工、學生個人資料之保護,確實檢視每次規劃發布之網站公告是否涉及個人資料,以避免個人資料公開或外洩,本校建立網站公告內容發布之內部審查流程如下:
- 涉及利用個人資料之必要時,公告資料須以遮罩處理,去除個人資料之識別,經單位主管審查通過,始得公告,必要時得請資訊組協助事先檢核。
- 蒐集個人資料時,依個人資料保護法之規定,明確告知當事人蒐集資料之範圍、期限、對象、地區及方式,以「最小化」原則辦理,調查發布前須經測試,檢查適當性及避免錯誤設定,經單位主管審核通過後,始得公告實施。
- 2021/04/19 國教署指示:加強落實資通安全管理法暨個人資料保護法等相關規定
- 時有學校網站遭查獲不當公開個人資料且為任意人可透過網際網路搜尋並下載等違反前開規定之情事,為機先防範類此事件發生,學校應全面檢視下列事項:
- 公告資料已逾公告期限者,應於期限屆至後關閉或下架。
- 上傳或公告於機關網站之資料應具有必要性,如涉及個人資料者,應適當予以去識別化。
- 學校網站張貼連結網址者,應加強審核是否涉及不當公開個人資料情事。
- 如發生資通安全事件,應依資通安全事件通報及應變辦法進行資通安全事件之通報。
- 時有學校網站遭查獲不當公開個人資料且為任意人可透過網際網路搜尋並下載等違反前開規定之情事,為機先防範類此事件發生,學校應全面檢視下列事項:
- 2021/03/02 行政院資通安全處指示:加強遠端存取控制機制相關事宜
- 委外廠商進行遠端維護資通系統,應採「原則禁止、例外允許」方式辦理。
- 開放遠端存取期間原則以短天期為限,並建立異常行為管理機制。
- 於結束遠端存取期間後,應關閉網路連線,並更換遠端存取登入密碼。
- 未依前述規定辦理遠端存取控制措施,致機關發生資安事件,情節重大者,機關應依「公務機關所屬人員資通安全事項獎懲辦法」規定予以懲處。
- 不得任意使用TeamViewer等遠端桌面高風險軟體從校外連線校內電腦。(參考資料)
- 2021/1/14 行政院資通安全處指示:機敏資訊之傳輸、處理及留存時,應恪遵相關保密規定
- 機關處理國家機密文書,應依「國家機密保護法」及其他相關法規辦理;處理一般公務機密文書,除依法規外,應依「文書處理手冊」辦理。
- 資通訊系統經機關評定為「高」等級之系統防護需求者,應依「資通安全責任等級分級辦法」規定,其靜置資訊及相關具保護需求之機密資訊應加密儲存。如發現機敏資訊有遭洩漏外洩情形,應依「資通安全事件通報及應變辦法」進行通報,並依限完成事件損害控制、復原、調查及改善。所保有之個人資料如有被竊取、洩漏、竄改或其他侵害者,應依「個人資料保護法」規定,於查明後以適當方式通知當事人。
- 2019/4/24 行政院頒訂「各機關使用具危害國家資通安全風險之產品原則」
- 公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體。
- 個人資通訊設備不得處理公務事務,亦不得與公務環境介接。
- 各機關應就已使用或採購之大陸廠盤資通訊產品列冊管理,且不得與公務環境介接。
- 2017/1/12 行政院指示:為防止公務資料外洩,同仁應使用機關配發之電子信箱收發公務所需資訊
- 電子信箱已成為網路犯罪者主要攻擊媒介之一,且目前政府機關為利公務所需,均已配發公務用之電子信箱,機關同仁執行公務均應使用前揭信箱收發公務所需資訊,不宜使用非公務信箱收發,以避免肇生公務資訊外洩之情事。
- 為提升政府整體資通安全防護,並避免網路犯罪之侵害,同仁不應逕行轉發公務電子郵件至非公務信箱處理公務;另公務名片之電子信箱聯絡資訊均應使用公務信箱。
- 教育體系電子郵件服務與安全管理指引
教育訓練
- 資通安全教育訓練要求:
- 一般使用者及主管:每年3小時以上之資通安全通識教育訓練
- 資安人員:每年12小時以上資安專業課程訓練或資安職能訓練
- 線上課程:
- 「e等公務園+學習平臺」(https://elearn.hrd.gov.tw),建議有「我的e政府公務帳號」者使用
關鍵字搜尋「資安」,推薦課程:資通安全管理法介紹(1小時)、5G網路、應用與資安議題(1小時)、重大政策議題-資訊科技(1小時)、最佳密碼建議(1小時)、智慧政府發展與資訊安全(3小時) - 「教師e學院」(https://ups.moe.edu.tw),建議有「教育雲帳號」者使用
關鍵字搜尋「資訊安全」,推薦課程:資訊安全的意涵與防範(1小時)、智慧型手機安全管理(1小時)、社群服務使用的個資保護(1小時)、透視網路詐騙與防範(1小時)、網路社群的隱私與保護(1小時)
- 「e等公務園+學習平臺」(https://elearn.hrd.gov.tw),建議有「我的e政府公務帳號」者使用
組態基準
- 作業環境
- 作業系統更新:設定→更新與安全性→Windows Update。
- 安裝防毒軟體,更新病毒碼,設定排程定期掃描。
- 電子郵件附件及下載檔案在使用前需檢查有無惡意軟體。
- 不點選未受信任的網站及連結,不轉發非業務相關郵件。
- 設定螢幕保護:設定→個人化→鎖定畫面→螢幕保護程式設定→10分鐘+登入密碼。
- 重要資料備份:至少每月一次。
- 機敏性資料妥善保存於上鎖置物櫃。
- 非經核准,不可安裝非公務用軟體。
- 密碼安全
- 密碼包含大小寫英文字母、數字和符號,長度8碼(含)以上。
- 資訊系統禁止共用帳號密碼。
- 定期更改密碼(每6個月更新一次),請參考密碼安全設定手冊。