资源描述
教育部所屬機關及各級公私立學校資通安全工作事項
壹、 資訊安全責任等級分級:
一、 機關學校應參考「資訊安全責任等級分級」及本部相關規定,執行相關資訊安全管理工作,各縣(市)政府應協助所轄中小學執行資訊安全工作。
二、 依據行政院於94年7月21日核定「政府機關(構)資訊安全責任等級分級作業施行計畫」,各資訊安全責任等級分級應執行工作項目如下:
等級
內容
作業
防 禦
機 制
強 度
防 護
縱 深
ISMS推動作業
稽核
方式
資安教育訓練(主官,主管,技術,一般)
專業
證照
A級
強度
等級4
NSOC/SOC、
IDS、防火牆
防毒
96年通過第三者認証
每年至少執行二次內稽
(4,6,18,4小時)/每年
96年資安專業鑑定證照二張
B級
強度
等級3
SOC(OP)
IDS、防火牆
防毒
97年通過第三者認証
每年至少執行一次內稽
(4,6,18,4小時)/每年
96年資安專業鑑定證照 一張
C級
強度
等級2
IDS,
防火牆
防毒
各單位自行成立推動小組規劃作業
自我檢視
(2,6,12,4小時)/每年
資安專業訓練
D級
強度
等級1
防火牆
防毒
推動ISMS觀念宣導
自我檢視
(1,4,8,2 小時)/每年
資安專業訓練
行政院國家資通安全會報「學術機構分組」資訊安全責任分級包含本部所屬機關及各公私立學校區分如下:
A 級:教育部、台大醫院、成大醫院
B 級:大學、區域網路中心、縣(市)教育網路中心
C 級:學院、專科學校.部屬館所
D 級:高中職、國中小學
貳、 資通安全通報應變:
一、 需配合「國家資通安全緊急應變中心」建立緊急通報應變組織,各機關學校應建立資訊安全長(副首長以上)及2位資訊安全聯絡人,並列入行政業務交接項目。
二、 2位資訊安全聯絡人應於「國家資通安全應變網站」登入基本資料:
網址https://www.ncert.nat.gov.tw 電話:(02)2733-9922
名稱
姓 名
職 稱
電 話
傳 真
行動電話
E-MAIL
第1聯絡人
第2聯絡人
三、 機關學校發現資安事件或接獲「國家資通安全會報」、本部等相關主管機關通知發生資安事件時,應於1小時內了解資安事件情形進行相關事件應變處理,最晚應於24小時內至「國家資通安全應變網站」進行資安事件通報,並於36小時內處理完成或完成損害控制後至進行結案通報。
四、 機關學校應配合「國家資通安全會報」及本部每年辦理資通安全攻防演練、通報演練、社交工程演練等相關演練作業。
參、 資訊安全防護:
一、 電腦網路使用安全注意事項:
(一) 各機關學校應酌參「○○個人電腦使用注意事項(參考)」(如附件),並考量網路環境狀況訂定合適之「電腦網路使用安全注意事項」並確實執行,以有效規範行政人員、教師、學生電腦網路使用安全。
(二) 應建立網路使用安全稽核機制,並適當進行內部稽核或自我檢視。
二、 網路安全管理:
(一) 應設置防火牆並適當阻絕外部對內之網路連線及通訊埠。
(二) 應訂定「網路安全管理作業規範」、建立網路對外服務申辦作業及安全檢查。
(三) 網路安全建立檢核機制,並適當進行安全檢核。
三、 電腦系統安全管理:
(一) 應訂定「電腦設備安全管理作業規範」,以規範伺服主機及個人電腦作業系統建置安全,系統上線使用前應建立申辦作業及安全檢查。
(二) 電腦設備作業系統及相關伺服軟體應適時更新軟體及進行漏洞修補。
(三) 電腦設備作業系統應安裝防毒軟體並適時更新病毒資料庫。
(四) 作業系統進行遠端維護時,應於加密管道進行,並管制維護來源IP。
(五) 電腦系統應建立檢核機制,並適當進行安全檢核。
四、 應用軟體(網站)安全管理:
(一) 應訂定「應用軟體安全管理作業規範」以規範應用軟體、資料庫、程式開發建置及使用安全,系統上線使用應建立申辦作業及安全檢查。
(二) 應用程式所有輸入欄位應進行字元檢查,排除不必要特殊字元(如' "!$%^&*_|-><;等)以防止資料庫隱碼攻擊(SQL-injection)。
(三) 應用程式進行遠端維護時,應於加密管道進行,並管制維護來源IP。
(四) 應用軟體應建立檢核機制,並適當進行安全檢核。
肆、 相關文件說明:
一、 教育體系資訊安全管理制度(ISMS)規範:
(一) 教育體系資訊安全管理制度規範網址:http://www.edu.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/fix.htm
(二) 教育體系各機關適用對象如下:
1.「教育體系資通安全管理規範」第1群:適用教育部電算中心、部屬館所、縣(市)網中心及公私立大專院校。
2. 「教育體系資通安全管理規範」第2群:適用公私立高中職學校。
3. 「國中小學資通安全管理系統實施原則」:適用國中小學。
(三) 教育體系資訊安全管理制度規範導入試作點範例─國立成功大學
http://www.edu.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/fix.htm
○○個人電腦使用注意事項(參考)
附件
備註:學校應依行政人員、教師、學生各別訂定合適之注意事項
1. 禁止使用未經授權之電腦軟體。
2. 請勿任意拆卸或加裝其他電腦設備。
3. 不可擅自更改系統環境設定。
4. 密碼至少每三個月更換一次,密碼長度應至少8碼。
5. 電腦設備不可任意架站或做私人、營利用途。
6. 電腦設備應隨時保持清潔,每週至少擦拭一次。
7. 電腦附近請勿放置茶水、飲料、細小文具用品等物品,以免造成電腦設備損壞。
8. 使用外來檔案,應先掃毒,請勿任意移除或關閉防毒軟體。
9. 下班時,應先行關機始得離去,電腦關機應依正常程序操作。
10. 本○(機關學校)同仁應配合進行軟體更新,修補漏洞,保持更新至最新狀態,勿自行關閉系統自動更新程式。
11. Internet Explorer等相關瀏覽器安全等級應設定為中級或更高,執行特殊程式如須降低安全性,請通知本中心進行安全檢查及管理。
12. 電子郵件軟體應關閉收信預覽功能,請勿任意開啟不明來源的電子郵件。
13. 電腦應使用螢幕保護程式,設定螢幕保護密碼,並將螢幕保護啟動時間設定為10分鐘以內。
14. 請勿開啟網路芳鄰分享目錄與檔案,並停用Guest帳號。
15. 請勿任意下載或安裝來路不明、有違反法令疑慮(如版權、智慧財產權等)或與本○業務無關的電腦軟體。
16. Microsoft Office軟體(包括Word、Excel、Powerpoint等)應將巨集安全性設定為高級或更高,執行特殊程式如須降低安全性,請通知本中心進行安全檢查及管理。
17. 禁止使用點對點互連(P2P)軟體及tunnel相關工具下載或提供分享檔案。
18. 禁止於上班時間使用即時訊息(如MSN、yahoo Message等) ,如業務必須使用,應提出申請,各單位主管應加強監督經許可同仁使用即時訊息情形。
19. 禁止於上班時間閱覽不當之網路(如暴力、色情、賭博、駭客、惡意網站、釣魚詐欺、傀儡網路等)及瀏覽非公務用途網站,以避免內部頻寬壅塞,各單位主管應加強監督同仁使用網路情形。
20. 禁止使用外部網頁式電子郵件(Webmail),各單位主管應加強監督同仁使用電子郵件(Webmail)情形,以避免漏洞產生。
21. 禁止於上班時間透過網路資源進行與工作內容無關之串流媒體、MP3、圖片、檔案等網路上的傳輸,非上班時間(中午休息、下班後)的使用,亦不得影響單位內主要系統運作之效率。
22. 同仁上網行為需以不影響各主系統之網路效能為前提,若有資源上的衝突,將以本○主要系統為主。
23. 電腦內重要資料文件應定期備份,避免資料損毀。
24. 機密性敏感性檔案資料應進行實體隔離(與外部網路隔絕)。
25. 本○每年不定期進行內部稽核,同仁若查有上開違失事項,依本○獎懲要點規定議處。
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
