資通安全 強化專區

本校為落實資通安全暨個人資料保護管理,成立「資通安全暨個人資料保護推動委員會」,負責本校資通安全暨個人資料保護之政策、計畫、資源調度等統籌、協調與研議。
一、召集人由副校長(資通安全長)擔任,負責督導本校資通安全暨個人資料保護管理政策之推動、協調及督導事宜。
二、執行秘書:由圖書資訊服務處資訊長(資通安全官)擔任,辦理本校資通安全暨個人資料保護之推動事宜。
三、當然委員:各行政及學術單位(含教學單位)主管。
委員會下設置資通安全與個人資料保護執行、教育訓練及資通安全與個人資料保護稽核共三個工作小組,各小組成員由該召集人指定相關人員組成,成員得包括行政、學術各單位派員擔任,以負責所屬單位資通安全與個人資料保護的執行與聯絡窗口。

元智大學資通安全暨個人資料保護推動委員會

召集人由副校長(資通安全長)擔任,負責督導本校資通安全暨個人資料保護管理政策之推動、協調及督導事宜。

人員應知事項

一、 資通安全政策

為強化本校資訊安全管理,防止本校之資訊環境遭受內、外部的蓄意或意外之威脅及受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全校同仁共同遵循:

(一) 應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。

(二) 應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。

(三) 確保經授權之使用者當需要時能使用資訊及資通系統。

(四) 符合法令與法規要求。

(五) 評估各種人為或天然災害之影響,訂定核心資通系統之復原計畫,以確保核心業務可持續運作。

(六) 應強固核心資通系統之韌性,確保本校業務持續營運。

(七) 應因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本校同仁之資通安全意識,本校同仁亦應確實參與訓練。

(八) 落實人員辦理業務涉及資通安全事項之相關懲處。

(九) 勿開啟來路不明或無法明確辨識寄件人之電子郵件。

(十) 禁止多人共用單一資通系統帳號。

二、 資通安全目標

(一) 量化型目標

1. 確保機房維運服務達全年上班時間97%以上之可用性。

2. 確保全年度未發生4級資通安全事件。

3. 電子郵件社交工程演練之郵件開啟率及附件點閱率分別低於10%及6%。

4. 依員工之職務及責任符合資通安全管理法教育訓練時數要求,且執行率須達100%。

(二) 質化型目標

1. 加強內部控制,防止未經授權之不當存取,以確保資訊資產受適當的保護

2. 達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。

3. 確保所有資訊安全意外事故或可疑之安全弱點,都應依循適當之通報機制向上反映,並予以適當調查及處理。

(三) 資通安全政策及目標之核定程序

本校依「元智大學資通安全暨個人資料保護推動委員會組織辦法」,每學年審議全校資訊發展策略與方案、資通安全政策與目標,通過後再送行政會議審議並由校長核定。

(四) 資通安全政策及目標之宣導。

資通安全政策及目標得以書面、電子郵件(E-MAIL)、公告於網站、或其他等方式公告周知向所有人員、利害關係人(例如IT服務供應商)進行宣導,並檢視執行成效。

(五) 資通安全政策及目標定期檢討程序

資通安全政策及目標應每年定期審查,如遇組織、業務、法令或環境等因素之更迭,予以適當修訂之。

1、資安宣導:密碼換新、程式更新、下載要當心。

2、辦公環境內必須使用本校提供之資訊設備、網路,及規定之軟體。

3、上班期間不應連結非公務需要之網站,並避免連結惡意網站或釣魚網站,如發現異常連線,請通知資安窗口。

4、不得使用公務電子信箱帳號登記做為非公務網站的帳號,如社群網站、電商服務等。

5、公務資料傳遞及聯繫必須使用公務電子郵件帳號,不得使用非公務電子郵件傳送或討論公務訊息。

6、即時通訊軟體使用應注意不得傳送公務敏感資料。

7、機密性資料文件如以電子方式傳遞時,需編碼加密。

8、使用影印機、印表機、傳真機後應立即將資料取走。

9、下班後或離開辦公室,業務相關資料應收置櫃內或卷宗夾,重要資料勿直接置放個人桌面。

10、帳號密碼必須妥善保存,個人密碼至少設定8碼,每年變更一次,如有外洩疑慮,除儘速更換密碼外,並應通知資安窗口。

11、設定電腦螢幕保護裝置,以密碼保護,閒置時間超過10分鐘即啟動。

12、委外作業如有涉及資通訊產品或服務、個人資料、智慧財產權時,應與納入「資安暨保密責任」和「智慧財產權保護」二項條文,並將〈資安暨保密規定〉併同做為相關條款或合約附件。

13、有資安疑慮或異常時,應即時通報資安窗口。

14、應遵守個人資料保護法及資通安全管理法。

15、我已詳閱本校資通安全強化專區中的資訊安全政策,並瞭解本校資訊安全願景為:強化人員認知、避免資料外洩、落實日常維運、確保服務可用。

16、資安反映窗口:圖書資訊服務處網路媒體組 - 聯絡電話:03-4638800分機3109

加密保護措施

  1. 學校之機密資訊於儲存或傳輸時應進行加密。

  2. 將「機敏」或「限閱」等級之資訊資產存放於可攜式設備與媒體時,應採取適當加密處理或保護措施,避免遺失時洩漏資訊。

  3. 學校之加密保護措施應遵守下列規定:

    (1)應落實使用者更新加密裝置並備份金鑰。

    (2)應避免留存解密資訊。

    (3)一旦加密資訊具遭破解跡象,應立即更改之。

蒐集個資原則

  1. 個資蒐集聲明:表單開始時明確告知個人資料蒐集、處理及利用方式。

  2. 最少蒐集原則:只需要蒐集必須的資訊,不過度的蒐集個人資訊,減少資料保管負擔。

  3. 保護作答內容:避免不小心公開作答內容。

  4. 不發佈到網路:不可執行發佈到網路功能。

  5. 限制存取權限:確認存取權限是否只開放給相關人員使用。

  6. 不共用資料夾。

媒體防護措施

  1. 使用隨身碟或磁片等存放資料時,具機密性、敏感性之資料應與一般資料分開儲存,不得混用並妥善保管。

  2. 資訊如以實體儲存媒體方式傳送,應留意實體儲存媒體之包裝,選擇適當人員進行傳送,並應保留傳送及簽收之記錄。

  3. 為降低媒體劣化之風險,宜於所儲存資訊因相關原因而無法讀取前,將其傳送至其他媒體。

  4. 對機密與敏感性資料之儲存媒體實施防護措施,包含機密與敏感之紙本或備份磁帶,應保存於上鎖之櫃子,且需由專人管理鑰匙。

電腦使用安全

  1. 桌面淨空與螢幕淨空安全控管規定,個人電腦、伺服器或主機應設定螢幕密碼保護程式(啟動時間不應超過10分鐘),下班時應關閉不需使用之個人電腦。

  2. 軟體安裝之建議,為有效控制「免費軟體」或「共享軟體」的使用,須瞭解其相關版權規定,並且不得任意安裝及散佈未經授權軟體。

  3. 電腦病毒預防規定,在作業系統平台上可找到防毒軟體情況下,伺服器與個人主機皆須安裝防毒軟體。

  4. 系統安全性規定,主機系統、網路設備、軟硬體常更新修正程式。

  5. 保全之辦公室、房間及設施規定,列印後應立即將資料取走。

防範惡意軟體

  1. Windows作業系統之主機及個人電腦應安裝防毒軟體,須安裝至最新之修補程式及病毒碼,並即時修補相關安全漏洞。

  2. 如需使用外來的可攜式設備或媒體,應確認設備未遭受病毒感染。

  3. 電子郵件須先經過防毒軟體掃描,並禁止開啟來路不明之檔案或電子郵件及其附加檔案,以避免遭受病毒攻擊。

  4. 正確配置瀏覽器之安全設定,建議設定在中級風險等級(含)以上。

  5. 為有效控制「免費軟體」或「共享軟體」的使用,使用人員須事先瞭解其相關版權規定,並且不得任意自行安裝及散佈未經授權之軟體。

  6. 不得私自使用已知或有嫌疑惡意之網站。

實體環境安全

  1. 依據桌面淨空與螢幕淨空安全控管規定,應實施桌面淨空,重要文件應妥善保管。

  2. 將機敏、限閱等級的資料存放於可攜式設備與媒體時,應採取適當加密處理或保護措施,避免遺失時洩漏資訊。為降低媒體劣化之風險,無法讀取前加以備份。

  3. 依據資訊資產處置規定,機敏、限閱等級的資訊類資訊資產以任何型式儲存均須置於上鎖區域保管,並設有存取控制。

  4. 依據應用系統測試/正式環境、資料庫之安全維護規定,應將敏感性系統隔離。

  5. 針對存有個人資料之紙本文件及可攜式儲存媒體,不使用或下班時,應遵守桌面淨空政策,放置於抽屜或儲櫃並上鎖。

行動設備安全

  1. 可攜式設備與媒體的管理規定,使用可攜式設備與媒體時,應謹慎防範資訊洩漏或妨害組織利益等情節發生,資料攜入或攜出,主管應盡控管之責,提醒使用人員自我要求。私人可攜式設備與媒體,應評估風險後方可存取公務資料。

  2. 處理內部使用等級以上資料工作區域,未經許可禁止使用相關設備進行拍攝或是螢幕畫面捕捉之行為,使用時需有工作區域管理人員在場陪同。

電子郵件使用

  1. 機密等級為內部使用(含)以上之公文及資料,如需以電子郵件附件方式對外傳送,應編碼加密處理後傳送。

  2. 含有個人資料之信件必須加密傳送。

  3. 電子郵件加簽以避免發送匿名或偽造。

  4. 不得利用公務電子郵件進行侵害他人權益、違法之行為。(包括以電子郵件大量傳送廣告信、連鎖信或無用之信息,或以灌爆信箱、掠奪資源等方式。以電子郵件、線上互動或類似功能之方法散布詐欺、誹謗、侮辱、猥褻、騷擾、非法軟體交易或其他違法之訊息。)

  5. 遵循「校園網路使用管理辦法」及「電子郵件使用辦法」相關規定。

即時通訊軟體

  1. 本校同仁利用網路通訊服務,如電子郵件、即時通訊軟體或外部應用系統或資訊交換平台時,針對不同等級的資訊類資訊資產,建立適當的資訊控管程序,以確保資訊資產受到適當等級之保護。

  2. 避免非授權人員取得機密性資料,應依據「資產管理程序」與「資料交換作業規範」,建立存取權限管理原則,並據以執行。

  3. 即時通訊軟體使用應注意不得傳送公務敏感資料。

一、因應資安法要求,各機關應於每年底前完成資安法對資安教育時數之要求。

(一) 教育訓練法規依據:

  1. 依據「教育部與所屬機關(構)及學校資通安全責任等級分級作業規定」第四條第四項,本校資通安全等級為C級。

  2. 依據「資通安全管理法」之「資通安全責任等級分級辦法」之「附表五 資通安全責任等級C級之公務機關應辦事項」要求「認知與訓練」面向「資通安全教育訓練」事項辦理。

(二) 時數要求:機關應依機關資安等級要求取得訓練時數。

  1. 資通安全專職(責)人員:每人每年至少接受12小時以上之「資通安全專業課程訓練」或「資通安全職能訓練」。

  2. 資通安全專職(責)人員以外之資訊人員:每人每2年至少接受3小時以上之「資通安全專業課程訓練」或「資通安全職能訓練」,且每年接受3小時以上之「資通安全通識教育訓練」。

  3. 一般使用者及主管:每人每年接受3小時以上之「資通安全通識教育訓練」。

(三) 課程條件說明:

  1. 資通安全職能訓練:資通安全職能訓練時數取得方式,係參加經數位發展部資通安全署認證之資安訓練機構舉辦之資安職能訓練。(資安人才培訓服務網)

  2. 資通安全專業訓練:資通安全專業課程訓練係指可對應資安職能訓練發展藍圖中策略面、管理面、技術面之課程為原則。(https://ctts.nics.nat.gov.tw/about/Training)

  3. 資通安全通識教育訓練:資通安全相關之通識性概念課程,或機關內部資安全管理規定之宣導課程。

二、課程資源:

  1. 圖書資訊服務處每年定期舉辦之資安通識課程(將另行公告) 【通識】【專業】

  2. E等公務園學習平台:https://elearn.hrd.gov.tw 【通識】【專業】【職能】

  3. 區網中心課程 【專業】【職能】

  4. 教育機構資安驗證中心線上課程 【專業】【職能】

  5. 資安人才培訓服務網 【職能】