【最新消息|資安專區|個資保護|校園網路|ODF推廣|學習園地】
資通安全專區
- 一階文件
- 二階文件
- 四階文件
- D-001-資通安全組織成員表
- D-002-資訊資產清單
- D-003-資訊資產清單風險評估表
- D-004-風險評鑑彙整表
- D-005-風險改善計畫表
- D-006-人員資通安全守則
- D-007-保密切結書
- D-008-電腦安全自我檢查表
- D-009-機房進出人員管制表
- D-010-人員進出機房登記表
- D-011-巡查紀錄表
- D-012-遠端連線申請表
- D-013-委外廠商查核項目表
- D-014-委外廠商保密切結書
- D-015-稽核項目紀錄表
- D-016-矯正與預防處理單
- D-017-資通安全管理制度內部稽核報告
- D-018-利用或傳遞個人資料申請表
- D-019-電子信箱申請表
- D-020-無線網路申請表
- D-021-帳號清查紀錄表
- D-022-備份狀況紀錄表
- D-023-備份回復測試紀錄表
- D-024-消防檢查紀錄表
- 法規
- 資通安全聯絡窗口
- 圖書館資訊組長彭孟凱、聯絡電話:06-2131928#532
- 廣告信檢舉 (abuse):abuse@tngs.tn.edu.tw
- 資安通報 (security):security@tngs.tn.edu.tw
資安宣導
- 2024/4/3 國教署指示:重申應落實個人資料保護、資通安全管理
- 依個人資料保護法及資通安全管理法相關規定辦理。
- 個人資料保護部分:
- 依個人資料保護法第50條規定,請學校校長、個資長應善盡個資管理義務。
- 各機關行文及網站資料涉及國民身分證統一編號者之登載者,統一隱碼欄位為身分證號後4碼(即第7碼至第10碼)。
- 請學校使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者,應注意「學校使用資通系統或服務蒐集及使用個人資料注意事項」、Google表單蒐集個人資料使用原則(https://sites.google.com/email.nchu.edu.tw/g-form),以「最小化」為原則,並請學校建置公告、資料收集審查機制,避免因系統設定錯誤或人為因素,誤將機敏個資、機密檔案公布於網路上。
- 資通安全管理部分:
- 即時通訊軟體(如Line等)使用應注意不得傳送公務敏感資料為原則。
- 各公務機關使用資通訊產品原則:公務用資通訊產品(含軟體、硬體及服務)不得使用大陸廠牌,機關若因業務需求且無其他替代方案,仍需使用危害國家資通安全產品時,應具體敘明理由,並經機關資通安全長及其上級機關資通安全長逐級核可,函報資通安全管理法主管機關(數位發展部)核定。
- 知悉資通安全事件後,學校應於一小時內進行資通安全事件之通報;另資通安全事件有一般公務機密、敏感資訊(個人資料等)遭輕微洩漏或竄改,為第三級資通安全事件。
- 機關應落實帳號權限與密碼管理原則,以避免資安事件發生。
- 檢送本署「113年資通安全業務宣導」。
- 2024/4/2 國教署指示:加強落實資通系統及資料庫主機資通安全及資料備份作業
- 依教育部112年2月2日臺教授國字第1110183439號函續辦。
- 考量學校資通系統及資料庫主機因蒐集多項師生個人資料,且多涉及學生權益(如:校務行政系統、學習歷程檔案),學校應落實資通安全防護措施,並應定期備份資料,以確保學生在學期間所上傳、認證之相關檔案。
- 請學校務必落實辦理,加強資通安全管理及防護,防止個人資料檔案遺失、遭竊或外洩,以保障教職員工與學生權益。
- 檢送「教育部國民及學前教育署所轄高級中等以下學校資通系統及資料庫主機資通安全及資料備份提醒事項」1份。
- 2024/3/28 教育部指示:宣導有關公務機關資通安全事件之通報及應變事宜
- 依「資通安全管理法」、「資通安全事件通報及應變辦法」辦理。
- 有關「資通安全管理法」第14條(略以),公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關。
- 有關「資通安全事件通報及應變辦法」第4條略以,公務機關知悉資通安全事件後,應於一小時內依主管機關指定之方式及對象,進行資通安全事件之通報。第6條略以,公務機關知悉資通安全事件後,應依規定時間完成損害控制或復原作業,並依主管機關指定之方式及對象辦理通知事宜,第一級或第二級資通安全事件,於知悉該事件後七十二小時內,第三級或第四級資通安全事件,於知悉該事件後三十六小時內。並於一個月內依主管機關指定之方式,送交調查、處理及改善報告。
- 請學校依法於時限內辦理通報等相關作業,另持續宣導落實相關法遵辦理事項,倘若發生逾時情形需積極進行檢討改善並副知本部。
- 2024/3/15 國教署指示:重申機關使用即時通訊軟體注意事項
- 依教育部109年9月25日臺教資(五)字第1090135390號函轉行政院資通安全處109年9月14日院臺護字第1090188336號書函辦理,即時通訊軟體使用應注意不得傳送公務敏感資料為原則。
- 為兼顧機關內使用即時通訊軟體之便利性與安全性及對外宣導工作之需要,現階段如國會聯絡、媒體公關事務、民眾宣導或推廣工作之一般公開資訊,若其敏感程度較低,可評估採商用即時通訊軟體,以利與外界介接並發揮預期效率。
- 至於機關內部資訊之傳遞與協調,於不涉機敏前提下,機關可依據資安風險自行評估即時通訊軟體之使用及管理配套作業,以發揮橫向即時溝通功能,並降低公務機密外洩之風險。
- 2024/1/25 教育部提供「資訊安全防護」之宣導資料
- 依據國教署113年1月25日臺教國署學字第1130004579號函,轉教育部為避免高級中等以下學校學生接觸有害身心發展之網際網路內容,兹補充「資訊安全防護」之宣導資料。
- 2023/12/27 國教署辦理112年防範惡意電子郵件社交工程演練,加強宣導事項
- 請同仁加強防範惡意電子郵件,遇到信件應研判信件真偽,針對仿公務類型社交工程信件提高警覺,不開啟來路不明或可疑之電子郵件及附加檔案,不連結及登入未經確認之網站,落實公務信件處理安全。
- 變更收信軟體的設定,可以提高安全性,包含:關閉預覽功能、關閉自動回覆及回條功能、不顯示外部圖片,請參閱「https://socialengineering.email.nchu.edu.tw」依據平常收信習慣(使用網頁或APP)完成設定。
- 學校公務信箱(@mail.edu.tw及@tngs.tn.edu.tw)與私人民間信箱(例如@gmail、@yahoo、@msn等)應區別用途,因此當收到與業務無關、來路不明的信件,應直接刪除:不要開啟郵件、不要點選連結、不要開啟附件、不要轉寄他人。
- 2023/11/08 行政院訂定「行政院及所屬機關(構)使用生成式AI參考指引」
- 與資通安全有關事項如下:
- 製作機密文書應由業務承辦人親自撰寫,禁止使用生成式AI。前項所稱機密文書,指行政院「文書處理手冊」所定之國家機密文書及一般公務機密文書。
- 業務承辧人不得向生成式AI提供涉及公務應保密、個人及未經機關(構)同意公開之資訊,亦不得向生成式AI詢問可能涉及機密業務或個人資料之問題。但封閉式地端部署之生成式AI模型,於確認系統環境安全性後,得依文書或資訊機密等級分級使用。
- 使用生成式AI應遵守資通安全、個人資料保護、著作權及相關資訊使用規定,並注意其侵害智慧財產權與人格權之可能性。各機關得依使用生成式AI之設備及業務性質,訂定使用生成式AI之規範或內控管理措施。
- 與資通安全有關事項如下:
- 2023/08/30 國教署指示:重申「資通訊產品帳號權限與密碼管理原則」
- 依資通安全管理法暨資通安全責任等級分級辦法附表10、資通系統防護基準辦理。
- 因近日教育體系資安威脅情資頻傳,請強化教職員之資安防護知能,並於辦理資訊業務時,參考帳號權限與密碼管理原則,落實管理資通系統,以避免資安事件發生。
- 2023/08/14 數位發展部資通安全署112年上半年資安攻防演練常見缺失及資安威脅態樣之防護建議
- 112年上半年攻防演練常見缺失如下,請確實檢查並予以補強
- 使用者帳號密碼被取得,例如:
- 使用預設帳號密碼。
- 帳密或帳密規則揭露於網站、文件或影片等。
- 弱密碼(帳號密碼相同或密碼複雜度≦2種組合)。
- 資料庫(敏感性資料如密碼或個資)未採取加密儲存或遮罩等保護措施。
- 發現注入攻擊弱點類型,如SQL Injection、Cross-Site Scripting等。
- 使用者帳號密碼被取得,例如:
- 近期資安威脅態樣之防護建議
- 近期發生勒索病毒跨機關擴散問題,請各機關應全面檢視與自身有網路連線之機關,應確實規劃網路區隔,降低類此情形發生風險。
- IOT設備應妥善規劃納入資安防護監控範圍,避免暴露於外網。
- 新建帳號第1次以預設密碼登入資通系統時,應有強制變更密碼機制,各帳號之預設密碼不宜相同,另建議提高其預設密碼複雜度。
- 資通訊系統之通行碼驗證機制,應避免採用易遭推論方式(如統編、流水號等)進行驗證。
- 各機關應持續關注資通訊設備(含網通設備)漏洞修補更新訊息,並定期進行漏洞修補,若有停止更新或支援之產品應進行汰換或加強資安防護。
- 其他注意事項
- 資安事件不限駭侵與否、不限3級以上事件、不限核心系統,皆應依資安法進行資安事件通報。
- 資安事件通報應由案關系統維運機關辦理(而非使用機關),並進行後續應變復原及持續精進作業。
- 112年上半年攻防演練常見缺失如下,請確實檢查並予以補強
- 2023/02/02 教育部指示:加強落實資通系統及資料庫主機資通安全及資料備份作業
- 加強落實資通安全管理及防護,防止個人資料檔案遺失、遭竊或外洩,以保障教職員工與學生權益,檢附「學校資通系統及資料庫主機資通安全及資料備份注意事項」。
- 有關檔案備份:
- 自動化作業:備份至其他電腦或 NAS時,應至少備份3代以上,每日確認備份作業是否成功。
- 人工作業(備份檔案離線存放):可準備兩個USB隨身碟或行動硬碟等,先檢視主機需備份資料是否正常,備份檔案拷貝及加密後,拔出電腦妥善保管。建議至少每週一次,輪流進行以上步驟。
- 應定期規劃備份還原演練作業,以確認備份資料有效性。
- 有關NAS的安全防護:
- NAS管理系統要定期更新,以避免系統漏洞未及時修補,讓駭客有可趁之機。
- 應該停用系統內建的最高權限管理員帳號(如admin),以自建的帳號代替。最高權限管理員帳號的密碼應有一定複雜度,並定期更換,例如:至少8碼以上,英數字均有。
- 通常NAS內建有防火牆,建議設定開啟;並檢查NAS預設提供的網路服務,請關閉不必要的服務。
- 定期檢查NAS的磁碟狀態,避免硬碟損壞數量超過磁碟陣列容錯能力而未更換,進而造成資料損失。
- 目前許多NAS支援直接備份到雲端空間(Google Drive、Microsoft OneDrive、Dropbox、其他外部儲存空間),但請特別注意資料安全性。由於雲端儲存空間常有被攻擊而洩露資料之事件發生,因此未加密之資料,不應備份到雲端;如果要備份到雲端,就應先進行檔案加密,加解密金鑰請勿一併置於雲端空間,應妥善保管於學校端。
- 有關系統安全:
- 學校資通系統及資料庫主機之作業系統應定期升級及更新。使用長期維護版本,且應在維護期間內。
- 學校資通系統及資料庫主機之作業系統內建防火牆應完整啟用,並只開放有使用到之服務埠,且安裝有防毒軟體。伺服主機上軟體安裝以最小化為原則,即除所提供服務必須要用到的軟體外,不應隨便安裝應用軟體,更不應當成工作站或個人電腦使用。
- 學校資通系統及資料庫主機之服務連線,包括WEB服務、FTP服務(不應使用無加密之FTP服務)、資料庫連線等均應啟用TLS 1.2以上之協定,並應關閉SSL所有版本(1.0、2.0、3.0),及TLS 1.0、1.1。
- 2022/07/15 國教署指示:加強落實資通安全及個人資料保護相關規範
- 依據資通安全管理法之資通安全責任等級分級辦法,經行政院核定為C或D級,應辦理相應之資安應辦事項。
- 考量國立高級中等以下學校因人力、物力不足,經教育部向行政院爭取,基於五大核心資通系統向上集中之前提,得報請行政院核定為D級。學校應加強配合五大核心資通系統向上集中作業,提升整體資通安全防護能量。
- 重申教育部110年6月29日臺教資(四)字第1100085899A號函,因教育體系近期發生多起因管理不當導致重大資通安全事件,學校加強檢核自身資通安全防護及相關措施如下:
- 因管理不當導致發生資通安全事件,將以不遮蔽學校名稱方式作為教育體系內部案例宣導。
- 針對發生重大資通安全事件之學校,將辦理或配合教育部資安專案實地稽核,未落實稽核缺失改善者,將循相關機制予以懲處。
- 依教育部110年9月8日臺教資(四)字第1100122001號函,學校使用雲端資通服務(如Google表單等)蒐集個人資料時,可能因設定不當而增加個資外洩及資安風險,學校使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者,應注意資通系統或服務蒐集及使用個人資料之注意事項,以「最小化」為原則,並依學校建置公告、資料收集審查機制,避免因系統設定錯誤或人為因素,誤將機敏個資、機密檔案公布於網路上。
- 學校如發生資通安全事件,應依資安法規範辦理資安通報。
- 學校全體同仁踴躍參加資安及個資相關教育訓練,加強資安及個資保護意識。
- 2022/01/18 國教署指示:加強落實資通安全及個人資料保護相關規範
- 依據資通安全管理法之資通安全責任等級分級辦法,應辦理相應之資安應辦事項。
- 配合國教署五大核心資通系統向上集中作業,提升整體資通安全防護能量。
- 學校人員使用雲端資通服務(如Google表單等)蒐集個人資料時,可能因設定不當而增加個資外洩及資安風險。使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者,應注意資通系統或服務蒐集及使用個人資料之注意事項,以「最小化」為原則,並依據公告、資料蒐集審查機制,避免因系統設定錯誤或人為因素,誤將機敏個資、機密檔案公布於網路上。
- 如發生資通安全事件,應依資安法規範辦理資安通報。
- 全體同仁應踴躍參加資安及個資相關教育訓練,加強資安及個資保護意識。
- 2021/11/30 教育部制定「教育體系遠距教學之資訊安全指引」
- 強化各級學校師生遠距教學軟體與設備之資安防護,作為學校實施遠距教學時考量網路安全因素與預防措施之參考原則。
- 2021/09/16 國教署指示:強化個人資料保護,建立網站公告內容審查機制
- 為促進個人資料之合理利用,於網站發布公告內容,應避免存有特定個人之資料(例如:姓名、出生年月日、就學資料、聯絡方式或其他得以直接或間接方式識別該個人之資料);如有者,應儘速下架,並將暫存網頁之資料移除。
- 如發生個人資料外洩時,應依「臺灣學術網路各級學校資通安全通報應變作業程序」規定,於知悉後1小時內,至臺灣學術網路危機處理中心完成資通安全事件通報。
- 為強化對教職員工、學生個人資料之保護,確實檢視每次規劃發布之網站公告是否涉及個人資料,以避免個人資料公開或外洩,本校建立網站公告內容發布之內部審查流程如下:
- 涉及利用個人資料之必要時,公告資料須以遮罩處理,去除個人資料之識別,經單位主管審查通過,始得公告,必要時得請資訊組協助事先檢核。
- 蒐集個人資料時,依個人資料保護法之規定,明確告知當事人蒐集資料之範圍、期限、對象、地區及方式,以「最小化」原則辦理,調查發布前須經測試,檢查適當性及避免錯誤設定,經單位主管審核通過後,始得公告實施。
- 2021/04/19 國教署指示:加強落實資通安全管理法暨個人資料保護法等相關規定
- 時有學校網站遭查獲不當公開個人資料且為任意人可透過網際網路搜尋並下載等違反前開規定之情事,為機先防範類此事件發生,學校應全面檢視下列事項:
- 公告資料已逾公告期限者,應於期限屆至後關閉或下架。
- 上傳或公告於機關網站之資料應具有必要性,如涉及個人資料者,應適當予以去識別化。
- 學校網站張貼連結網址者,應加強審核是否涉及不當公開個人資料情事。
- 如發生資通安全事件,應依資通安全事件通報及應變辦法進行資通安全事件之通報。
- 時有學校網站遭查獲不當公開個人資料且為任意人可透過網際網路搜尋並下載等違反前開規定之情事,為機先防範類此事件發生,學校應全面檢視下列事項:
- 2021/03/02 行政院資通安全處指示:加強遠端存取控制機制相關事宜
- 委外廠商進行遠端維護資通系統,應採「原則禁止、例外允許」方式辦理。
- 開放遠端存取期間原則以短天期為限,並建立異常行為管理機制。
- 於結束遠端存取期間後,應關閉網路連線,並更換遠端存取登入密碼。
- 未依前述規定辦理遠端存取控制措施,致機關發生資安事件,情節重大者,機關應依「公務機關所屬人員資通安全事項獎懲辦法」規定予以懲處。
- 不得任意使用TeamViewer等遠端桌面高風險軟體從校外連線校內電腦。(參考資料)
- 2021/01/14 行政院資通安全處指示:機敏資訊之傳輸、處理及留存時,應恪遵相關保密規定
- 機關處理國家機密文書,應依「國家機密保護法」及其他相關法規辦理;處理一般公務機密文書,除依法規外,應依「文書處理手冊」辦理。
- 資通訊系統經機關評定為「高」等級之系統防護需求者,應依「資通安全責任等級分級辦法」規定,其靜置資訊及相關具保護需求之機密資訊應加密儲存。如發現機敏資訊有遭洩漏外洩情形,應依「資通安全事件通報及應變辦法」進行通報,並依限完成事件損害控制、復原、調查及改善。所保有之個人資料如有被竊取、洩漏、竄改或其他侵害者,應依「個人資料保護法」規定,於查明後以適當方式通知當事人。
- 2020/12/18 行政院指示:為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險,重申相關原則
- 公務機關使用資通訊產品(含軟體、硬體及服務)相關原則
- 公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體。
- 個人資通訊設備不得處理公務事務,亦不得與公務環境介接。
- 各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理,且不得與公務環境介接。
- 公務機關於110年底前完成汰換所使用或採購大陸廠牌資通訊產品(含硬體、軟體及服務)作業,並配合擴大盤點,盤點範圍為全機關(非機關內部之資訊單位或特定單位),其中「大陸廠牌認定方式」及「資通訊產品定義」,說明如下:
- 大陸廠牌認定方式:由填報機關「從嚴認定」,所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,渠等產品均須納入填報範圍。
- 資通訊產品定義:參考資通安全管理法第3條用詞定義,包含軟體、硬體及服務等項,另具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品,如無人機、網路攝影機、印表機等。
- 各機關無法於期限內完成汰換作業或有窒礙難行之處,須填報正當理由,後續由本院協助評估其妥適性或其他可行作法。
- 相關報導:
- 政院通令公務機關︰中製資通產品 年底前汰除 (自由時報、2021/01/26)
- 資安大漏洞》228個公務機關 採購中國資通產品 (自由時報、2020/06/01)
- 限制使用危害國家資通安全產品 (中正大學資訊處)
- 公務機關使用資通訊產品(含軟體、硬體及服務)相關原則
- 2019/04/24 行政院頒訂「各機關使用具危害國家資通安全風險之產品原則」
- 公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體。
- 個人資通訊設備不得處理公務事務,亦不得與公務環境介接。
- 各機關應就已使用或採購之大陸廠盤資通訊產品列冊管理,且不得與公務環境介接。
- 2017/01/12 行政院指示:為防止公務資料外洩,同仁應使用機關配發之電子信箱收發公務所需資訊
- 電子信箱已成為網路犯罪者主要攻擊媒介之一,且目前政府機關為利公務所需,均已配發公務用之電子信箱,機關同仁執行公務均應使用前揭信箱收發公務所需資訊,不宜使用非公務信箱收發,以避免肇生公務資訊外洩之情事。
- 為提升政府整體資通安全防護,並避免網路犯罪之侵害,同仁不應逕行轉發公務電子郵件至非公務信箱處理公務;另公務名片之電子信箱聯絡資訊均應使用公務信箱。
- 教育體系電子郵件服務與安全管理指引
教育訓練
- 依據資通安全責任等級分級辦法,有關資通安全教育訓練要求:
- 一般使用者及主管:每年3小時以上之資通安全通識教育訓練
- 資訊人員:每年3小時以上之資通安全通識教育訓練,且每2年3小時以上資通安全專業課程訓練或資通安全職能訓練
- 資安人員:每年12小時以上資通安全專業課程訓練或資通安全職能訓練
- 線上課程:
- 「e等公務園+學習平臺」(https://elearn.hrd.gov.tw),建議有「我的e政府公務帳號」者使用
關鍵字搜尋「資安」,推薦課程:社群媒體與物聯網使用安全(3小時)、勒索軟體介紹與防護(1小時)、電子郵件社交工程介紹與防護(1小時)、110年政府機關資安威脅與防護重點(1小時)、智慧政府發展與資訊安全(3小時)、雲網安全:在家不隔離-居家也可以安全(1小時)、行動支付安全(1小時)、資通安全管理法介紹(1小時)、最佳密碼建議(1小時)、5G網路、應用與資安議題(1小時)、物聯網安全概論(1小時)、重大政策議題-資訊科技(1小時) - 「教育部磨課師平臺」(https://moocs.moe.edu.tw/),建議有「教育雲端帳號」者使用
關鍵字搜尋「資訊安全」,推薦課程:資訊安全基礎認知(3小時)、校園常見資安事件與防毒軟體應用(2小時)、資通安全導入實作分享(2小時)、資通安全文件管理(3小時)、近期資安及個資案例分析與檢討(2小時)、資訊安全的意涵與防範(1小時)、網路社群的隱私與保護(1小時)、透視網路詐騙與防範(1小時)、智慧型手機安全管理(1小時)、社群服務使用的個資保護(1小時),以下為進階課程:機器學習在資訊安全的運用(6小時)、資訊安全入門與實務(9小時)、資訊安全導論(6小時)、資訊安全與身份辨識(6小時)
- 「e等公務園+學習平臺」(https://elearn.hrd.gov.tw),建議有「我的e政府公務帳號」者使用
組態基準
- 作業環境
- 作業系統更新:設定→更新與安全性→Windows Update。
- 安裝防毒軟體,更新病毒碼,設定排程定期掃描。
- 電子郵件附件及下載檔案在使用前需檢查有無惡意軟體。
- 不點選未受信任的網站及連結,不轉發非業務相關郵件。
- 設定螢幕保護:設定→個人化→鎖定畫面→螢幕保護程式設定→10分鐘+登入密碼。
- 重要資料備份:至少每月一次。
- 機敏性資料妥善保存於上鎖置物櫃。
- 非經核准,不可安裝非公務用軟體。
- 密碼安全
- 密碼包含大小寫英文字母、數字和符號,長度8碼(含)以上。
- 資訊系統禁止共用帳號密碼。
- 定期更改密碼(每6個月更新一次),請參考密碼安全設定手冊。