資安專區

【最新消息｜資安專區｜個資保護｜校園網路｜ODF推廣｜學習園地】

資通安全專區

• 資通安全維護計畫
• 資通安全事件通報及應變管理程序

• 一階文件
  • A-001-資通安全政策

• 二階文件
  • B-001-資通安全組織程序書
  • B-002-資訊資產管理程序書
  • B-003-風險評鑑與管理程序書
  • B-004-實體安全管理程序書
  • B-005-通信與作業管理程序書
  • B-006-存取控制管理程序書
  • B-007-系統開發與維護程序書

• 三階文件
  • C-001-資訊資產異動作業說明書
  • C-002-資訊管理制度內部稽核計畫

• 四階文件
  • D-001-資通安全組織成員表
  • D-002-資訊資產清單
  • D-003-資訊資產清單風險評估表
  • D-004-風險評鑑彙整表
  • D-005-風險改善計畫表
  • D-006-人員資通安全守則
  • D-007-保密切結書
  • D-008-電腦安全自我檢查表
  • D-009-機房進出人員管制表
  • D-010-人員進出機房登記表
  • D-011-巡查紀錄表
  • D-012-遠端連線申請表
  • D-013-委外廠商查核項目表
  • D-014-委外廠商保密切結書
  • D-015-稽核項目紀錄表
  • D-016-矯正與預防處理單
  • D-017-資通安全管理制度內部稽核報告
  • D-018-利用或傳遞個人資料申請表
  • D-019-電子信箱申請表
  • D-020-無線網路申請表
  • D-021-帳號清查紀錄表
  • D-022-備份狀況紀錄表
  • D-023-備份回復測試紀錄表
  • D-024-消防檢查紀錄表

• 法規
  • 資通安全管理法
  • 資通安全管理法施行細則
  • 資通安全責任等級分級辦法
  • 資通安全事件通報及應變辦法
  • 資通安全情資分享辦法
  • 公務機關所屬人員資通安全事項獎懲辦法
  • 國教署所轄機關資安事件通報流程

• 資通安全聯絡窗口
  • 圖書館資訊組長彭孟凱、聯絡電話：06-2131928#532
  • 廣告信檢舉 (abuse)：abuse@tngs.tn.edu.tw
  • 資安通報 (security)：security@tngs.tn.edu.tw

資安宣導

• 2022/07/15 國教署指示：加強落實資通安全及個人資料保護相關規範
  • 依據資通安全管理法之資通安全責任等級分級辦法，經行政院核定為C或D級，應辦理相應之資安應辦事項。
  • 考量國立高級中等以下學校因人力、物力不足，經教育部向行政院爭取，基於五大核心資通系統向上集中之前提，得報請行政院核定為D級。學校應加強配合五大核心資通系統向上集中作業，提升整體資通安全防護能量。
  • 重申教育部110年6月29日臺教資(四)字第1100085899A號函，因教育體系近期發生多起因管理不當導致重大資通安全事件，學校加強檢核自身資通安全防護及相關措施如下：
    • 因管理不當導致發生資通安全事件，將以不遮蔽學校名稱方式作為教育體系內部案例宣導。
    • 針對發生重大資通安全事件之學校，將辦理或配合教育部資安專案實地稽核，未落實稽核缺失改善者，將循相關機制予以懲處。
  • 依教育部110年9月8日臺教資(四)字第1100122001號函，學校使用雲端資通服務(如Google表單等)蒐集個人資料時，可能因設定不當而增加個資外洩及資安風險，學校使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者，應注意資通系統或服務蒐集及使用個人資料之注意事項，以「最小化」為原則，並依學校建置公告、資料收集審查機制，避免因系統設定錯誤或人為因素，誤將機敏個資、機密檔案公布於網路上。
  • 學校如發生資通安全事件，應依資安法規範辦理資安通報。
  • 學校全體同仁踴躍參加資安及個資相關教育訓練，加強資安及個資保護意識。

• 2022/01/18 國教署指示：加強落實資通安全及個人資料保護相關規範
  • 依據資通安全管理法之資通安全責任等級分級辦法，應辦理相應之資安應辦事項。
  • 配合國教署五大核心資通系統向上集中作業，提升整體資通安全防護能量。
  • 學校人員使用雲端資通服務（如Google表單等）蒐集個人資料時，可能因設定不當而增加個資外洩及資安風險。使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者，應注意資通系統或服務蒐集及使用個人資料之注意事項，以「最小化」為原則，並依據公告、資料蒐集審查機制，避免因系統設定錯誤或人為因素，誤將機敏個資、機密檔案公布於網路上。
  • 如發生資通安全事件，應依資安法規範辦理資安通報。
  • 全體同仁應踴躍參加資安及個資相關教育訓練，加強資安及個資保護意識。

• 2021/11/30 教育部制定「教育體系遠距教學之資訊安全指引」
  • 強化各級學校師生遠距教學軟體與設備之資安防護，作為學校實施遠距教學時考量網路安全因素與預防措施之參考原則。

• 2021/09/16 國教署指示：強化個人資料保護，建立網站公告內容審查機制
  • 為促進個人資料之合理利用，於網站發布公告內容，應避免存有特定個人之資料（例如：姓名、出生年月日、就學資料、聯絡方式或其他得以直接或間接方式識別該個人之資料）；如有者，應儘速下架，並將暫存網頁之資料移除。
  • 如發生個人資料外洩時，應依「臺灣學術網路各級學校資通安全通報應變作業程序」規定，於知悉後1小時內，至臺灣學術網路危機處理中心完成資通安全事件通報。
  • 為強化對教職員工、學生個人資料之保護，確實檢視每次規劃發布之網站公告是否涉及個人資料，以避免個人資料公開或外洩，本校建立網站公告內容發布之內部審查流程如下：
    • 涉及利用個人資料之必要時，公告資料須以遮罩處理，去除個人資料之識別，經單位主管審查通過，始得公告，必要時得請資訊組協助事先檢核。
    • 蒐集個人資料時，依個人資料保護法之規定，明確告知當事人蒐集資料之範圍、期限、對象、地區及方式，以「最小化」原則辦理，調查發布前須經測試，檢查適當性及避免錯誤設定，經單位主管審核通過後，始得公告實施。

• 2021/04/19 國教署指示：加強落實資通安全管理法暨個人資料保護法等相關規定
  • 時有學校網站遭查獲不當公開個人資料且為任意人可透過網際網路搜尋並下載等違反前開規定之情事，為機先防範類此事件發生，學校應全面檢視下列事項：
    • 公告資料已逾公告期限者，應於期限屆至後關閉或下架。
    • 上傳或公告於機關網站之資料應具有必要性，如涉及個人資料者，應適當予以去識別化。
    • 學校網站張貼連結網址者，應加強審核是否涉及不當公開個人資料情事。
  • 如發生資通安全事件，應依資通安全事件通報及應變辦法進行資通安全事件之通報。

• 2021/03/02 行政院資通安全處指示：加強遠端存取控制機制相關事宜
  • 委外廠商進行遠端維護資通系統，應採「原則禁止、例外允許」方式辦理。
  • 開放遠端存取期間原則以短天期為限，並建立異常行為管理機制。
  • 於結束遠端存取期間後，應關閉網路連線，並更換遠端存取登入密碼。
  • 未依前述規定辦理遠端存取控制措施，致機關發生資安事件，情節重大者，機關應依「公務機關所屬人員資通安全事項獎懲辦法」規定予以懲處。
  • 不得任意使用TeamViewer等遠端桌面高風險軟體從校外連線校內電腦。（參考資料）

• 2021/01/14 行政院資通安全處指示：機敏資訊之傳輸、處理及留存時，應恪遵相關保密規定
  • 機關處理國家機密文書，應依「國家機密保護法」及其他相關法規辦理；處理一般公務機密文書，除依法規外，應依「文書處理手冊」辦理。
  • 資通訊系統經機關評定為「高」等級之系統防護需求者，應依「資通安全責任等級分級辦法」規定，其靜置資訊及相關具保護需求之機密資訊應加密儲存。如發現機敏資訊有遭洩漏外洩情形，應依「資通安全事件通報及應變辦法」進行通報，並依限完成事件損害控制、復原、調查及改善。所保有之個人資料如有被竊取、洩漏、竄改或其他侵害者，應依「個人資料保護法」規定，於查明後以適當方式通知當事人。

• 2020/12/18 行政院指示：為避免公務及機敏資料遭不當竊取，導致機關機敏公務資訊外洩或造成國家資通安全危害風險，重申相關原則
  • 公務機關使用資通訊產品(含軟體、硬體及服務)相關原則
    • 公務用之資通訊產品不得使用大陸廠牌，且不得安裝非公務用軟體。
    • 個人資通訊設備不得處理公務事務，亦不得與公務環境介接。
    • 各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理，且不得與公務環境介接。
  • 公務機關於110年底前完成汰換所使用或採購大陸廠牌資通訊產品(含硬體、軟體及服務)作業，並配合擴大盤點，盤點範圍為全機關(非機關內部之資訊單位或特定單位)，其中「大陸廠牌認定方式」及「資通訊產品定義」，說明如下：
    • 大陸廠牌認定方式：由填報機關「從嚴認定」，所有屬大陸廠牌者，無論其原產地於我國、大陸地區或第三地區等，渠等產品均須納入填報範圍。
    • 資通訊產品定義：參考資通安全管理法第3條用詞定義，包含軟體、硬體及服務等項，另具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品，如無人機、網路攝影機、印表機等。
    • 各機關無法於期限內完成汰換作業或有窒礙難行之處，須填報正當理由，後續由本院協助評估其妥適性或其他可行作法。
  • 相關報導：
    • 政院通令公務機關︰中製資通產品 年底前汰除 (自由時報、2021/01/26)
    • 資安大漏洞》228個公務機關 採購中國資通產品 (自由時報、2020/06/01)

• 2019/04/24 行政院頒訂「各機關使用具危害國家資通安全風險之產品原則」
  • 公務用之資通訊產品不得使用大陸廠牌，且不得安裝非公務用軟體。
  • 個人資通訊設備不得處理公務事務，亦不得與公務環境介接。
  • 各機關應就已使用或採購之大陸廠盤資通訊產品列冊管理，且不得與公務環境介接。

• 2017/01/12 行政院指示：為防止公務資料外洩，同仁應使用機關配發之電子信箱收發公務所需資訊
  • 電子信箱已成為網路犯罪者主要攻擊媒介之一，且目前政府機關為利公務所需，均已配發公務用之電子信箱，機關同仁執行公務均應使用前揭信箱收發公務所需資訊，不宜使用非公務信箱收發，以避免肇生公務資訊外洩之情事。
  • 為提升政府整體資通安全防護，並避免網路犯罪之侵害，同仁不應逕行轉發公務電子郵件至非公務信箱處理公務；另公務名片之電子信箱聯絡資訊均應使用公務信箱。
  • 教育體系電子郵件服務與安全管理指引

教育訓練

• 依據資通安全責任等級分級辦法，有關資通安全教育訓練要求：
  • 一般使用者及主管：每年3小時以上之資通安全通識教育訓練
  • 資安人員：每年12小時以上資安專業課程訓練或資安職能訓練

• 線上課程：
  • 「e等公務園+學習平臺」（https://elearn.hrd.gov.tw），建議有「我的e政府公務帳號」者使用
    關鍵字搜尋「資安」，推薦課程：社群媒體與物聯網使用安全（3小時）、勒索軟體介紹與防護（1小時）、電子郵件社交工程介紹與防護（1小時）、110年政府機關資安威脅與防護重點（1小時）、智慧政府發展與資訊安全（3小時）、雲網安全：在家不隔離-居家也可以安全（1小時）、行動支付安全（1小時）、資通安全管理法介紹（1小時）、最佳密碼建議（1小時）、5G網路、應用與資安議題（1小時）、物聯網安全概論（1小時）、重大政策議題-資訊科技（1小時）
  • 「教育部磨課師平臺」（https://moocs.moe.edu.tw/），建議有「教育雲帳號」者使用
    關鍵字搜尋「資訊安全」，推薦課程：資訊安全基礎認知（3小時）、校園常見資安事件與防毒軟體應用（2小時）、資通安全導入實作分享（2小時）、資通安全文件管理（3小時）、近期資安及個資案例分析與檢討（2小時）、資訊安全的意涵與防範（1小時）、網路社群的隱私與保護（1小時）、透視網路詐騙與防範（1小時）、智慧型手機安全管理（1小時）、社群服務使用的個資保護（1小時）

組態基準

• 作業環境
  • 作業系統更新：設定→更新與安全性→Windows Update。
  • 安裝防毒軟體，更新病毒碼，設定排程定期掃描。
  • 電子郵件附件及下載檔案在使用前需檢查有無惡意軟體。
  • 不點選未受信任的網站及連結，不轉發非業務相關郵件。
  • 設定螢幕保護：設定→個人化→鎖定畫面→螢幕保護程式設定→10分鐘+登入密碼。
  • 重要資料備份：至少每月一次。
  • 機敏性資料妥善保存於上鎖置物櫃。
  • 非經核准，不可安裝非公務用軟體。

• 密碼安全
  • 密碼包含大小寫英文字母、數字和符號，長度8碼(含)以上。
  • 資訊系統禁止共用帳號密碼。
  • 定期更改密碼（每6個月更新一次），請參考密碼安全設定手冊。

• 參考資訊
  • 國家資通安全通報應變網站
  • 行政院國家資通安全會報
  • 行政院國家資通安全會報技術服務中心
  • 資通安全弱點通報機制(VANS)專區
  • TACERT台灣學術網路危機處理中心
  • 教育部國教署校園資通安全業務管理輔導團
  • 教育部全民資安素養網站
  • 內政部警政署165全民防騙網
  • 金融資安資訊分享與分析中心(F-ISAC)
  • 政府組態基準(GCB)