大專校院以全機關為範圍�導入ISMS�應優先落實的執行策略
教育機構資安驗證中心
陳育毅 主任
1
2
2
主管態度、決心
人力不足
經費問題
資安意識、各單位配合度
法規面
3
全機關
「政府機關(構)資通安全責任等級分級作業規定」108年停止適用
「教育部與所屬機關(構)及學校資通安全責任等級分級作業規定」失去法源依據
國立大學依「資安法」規定執行,但私立大專校院的執行依據呢?
4
5
技術面
防護基準
策略面
1.核心業務及其� 重要性
2.資通安全政策� 及推動組織�3.資安專責人力� 及經費配置
管理面
4.資訊及資通系統� 盤點及風險評估
5.資通系統或服務� 委外辦理之管理�6.資安維護計畫與� 實施情形
7.資通安全防護� 及控制措施
8.資通系統發展� 及維護安全�9.資通安全事件� 通報應變
20/111
33/111
58/111
78
存取控制、事件日誌及可歸責性、營運持續計畫、識別鑑別、系統與服務獲得、通訊保護、系統與資訊完整性
「教育部實地稽核計畫」113年新版「資通安全實地稽核項目檢核表」� 及「資通系統防護基準實施情形調查」是直接引用數位發展部資安署版本� (再加入特定項目),全機關的資安管理作為應特別注意是否符合檢核項目要求。
若將「資通安全實地稽核項目檢核表」及「資通系統防護基準實施情形調查」視為題庫來看,當然是應該努力朝符合要求的方向努力,落實相關的資安管理作為,期待能在稽核時少點缺失順利通過。
6
7
7
法規面
人力不足
經費問題
資安意識、各單位配合度
主管態度、決心
資通安全實地稽核
檢核項目各類重點
(單位主管應掌握)
© Copyright Showeet.com
資安文件
落實資安
教育訓練
配合稽核
採購規範
2.4 成立資通安全推動組織,負責推動、協調監督及審查資通安全管理事項?推動組織� 層級之適切性,且業務單位是否積極參與?
9
資安文件
落實資安
教育訓練
配合稽核
採購規範
10
盤點資訊資產建立清冊、定期更新、風險評估
4.1 確實盤點資訊資產建立清冊(如識別擁有者及使用者等),且鑑別其資產價值?
4.2 訂定資產異動管理程序,定期更新資產清冊,且落實執行?
4.3 建立風險準則且執行風險評估作業,並針對重要資訊資產鑑別其可能遭遇之風險,� 分析其喪失機密性、完整性及可用性之衝擊?
11
4.2
4.3
4.1
資產清冊
管理程序
風險評估
依 資通安全法施行細則第6條
盤點資訊資產建立清冊、定期更新、風險評估
4.1 確實盤點資訊資產建立清冊(如識別擁有者及使用者等),且鑑別其資產價值?
4.2 訂定資產異動管理程序,定期更新資產清冊,且落實執行?
4.3 建立風險準則且執行風險評估作業,並針對重要資訊資產鑑別其可能遭遇之風險,� 分析其喪失機密性、完整性及可用性之衝擊?
12
依 資通安全法施行細則第6條
資通系統須建立資安管控文件
4.1.1 依110年12月30日函送之「國立大專校院資通安全維護作業指引」,學校辦理資通� 系統及資訊之盤點,盤點範圍應包含全校各單位。各校每年提交之「資通系統資產� 清冊」至少應包含落於各校IP網段內、或使用各校網域名稱之資通系統。(國立大專� 校院適用)
13
自建APP須通過行動化應用軟體檢測
一、依據「行政院及所屬各機關行動化服務發展作業原則」第十一條「各機關開發之� 行動化服務應符合個人資料保護法及行政院訂定之政府資通安全管理等相關規定,� 並通過經濟部工業局訂定行動化應用軟體之檢測項目,始得提供民眾下載使用。」
二、至政府入口網站管理平臺,辦理服務績效填報及基本資安檢測合格證書上傳作業。
14
全校範圍IoT完整盤點及安全管控
依教育部臺教資(四)字第1100128345號函,IoT盤點包含學校採購及公務使用之網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等。IoT盤點清單應檢核不得使用弱密碼、廠商預設密碼,並符合規範之密碼複雜度要求,以及設定適當網路存取限制(如納入防火牆管理)。
。
15
資安文件
落實資安
教育訓練
配合稽核
採購規範
16
辦公室請張貼
資安宣導海報
7.8 建立電子資料安全管理機制(含防疫個資),包含分級規則(如機密性、敏感性及一般性� 等)、存取 權限、資料安全、人員管理及處理規範等,且落實執行?�7.16 訂定電子郵件之使用規則且落實執行,依郵件內容之機密性、敏感性規範傳送限制?7.21 針對使用者電腦訂定軟體安裝管控規則?確認授權軟體及免費軟體使用情形?
17
辦公室請張貼
資安宣導海報
7.20 訂定資訊處理設備作業程序、變更管理程序及管理責任(如相關儲存媒體、設備是否� 有安全處理程序及分級標示、報廢程序等),且落實執行?訂定資訊設備回收再使用� 及汰除之安全作業程序,以確保任何機密性或敏感性資料已確實刪除?
18
辦公室請張貼
資安宣導海報
7.8.1 依110年9月8日函送之「各級學校使用資通系統或服務蒐集及使用個人資料注意� 事項」,學校為行政目的使用資通系統或雲端資通服務(如Google 表單、� Microsoft Forms 等問卷調查服務)涉及蒐集個人資料者,注意資料蒐集最小化、� 存取控制及詳閱設定內容(雲端資通服務)等項目,並落實教育訓練宣導。� (國立大專校院適用)
19
辦公室請張貼
資安宣導海報
7.17 針對電腦機房及重要區域之安全控制、人員進出管控、環境維護(如溫溼度控制)等� 項目建立適當之管理措施,且落實執行?�7.18 定期評估及檢查重要資通設備之設置地點可能之危害因素(如火、煙、水、震動、� 化學效應、電力供應、電磁輻射或人為入侵破壞等)?�7.19 針對電腦機房及重要區域之公用服務(如水電消防通訊)建立適當之備援方案?
20
辦公室請張貼
資安宣導海報
7.22 個人行動裝置及可攜式媒體訂定管理程序且落實執行,並定期審查、監控及稽核?�7.23 網路即時通訊管理措施(如機密公務、公務涉及個人隱私不得使用即時通訊傳送)?�7.24 有即時通訊軟體管理措施、安全需求及購置準則?
21
辦公室請張貼
資安宣導海報
22
辦公室請張貼
資安宣導海報
23
資安管理宣導影片
24
資安文件
落實資安
教育訓練
配合稽核
採購規範
25
2.1 訂定資通安全政策及目標,由管理階層核定,並定期檢視且有效傳達其重要性?� 人員瞭解機關之資通安全政策,以及應負之資安責任?
3.4 各類人員依法規要求,接受資通安全教育訓練並完成最低時數?�6.7 每半年進行1次社交工程演練?針對開啟郵件、點閱郵件附件或連結之人員加強� 資安意識教育訓練?(註:配合上級機關依《資通安全事件通報及應變辦法 》第8條辦理)
26
�
�6.7 每半年進行1次社交工程演練?針對開啟郵件、點閱郵件附件或連結之人員加強� 資安意識教育訓練?(註:配合上級機關依《資通安全事件通報及應變辦法 》第8條辦理)
27
語音釣魚攻擊
釣魚信件
社群網站內容蒐集
釣魚網站
�
�6.7 每半年進行1次社交工程演練?針對開啟郵件、點閱郵件附件或連結之人員加強� 資安意識教育訓練?(註:配合上級機關依《資通安全事件通報及應變辦法 》第8條辦理)
28
資安文件
落實資安
教育訓練
配合稽核
採購規範
29
5.4 確保委外廠商執行委外作業時,具備完善之資通安全管理措施或通過第三方驗證?�5.1 針對委外業務項目進行風險評估,以強化委外安全管理?
5.3 於採購前識別資通系統分級及是否為核心資通系統?並依資通系統分級,於徵求� 建議書文件(RFP)相關採購文件中明確規範防護基準需求?
30
依據行政院秘書長110年7月13日院臺護長字第1100177483號函,要求各機關資通訊相關採購案,應參考公共工程委員會「投標須知範本」及「資訊服務採購契約範本」,落實「資訊服務採購案之資安檢核事項」相關要求。
資訊服務採購案之資安檢核事項
資訊服務採購案之資安檢核事項
5.4 確保委外廠商執行委外作業時,具備完善之資通安全管理措施或通過第三方驗證?�5.1 針對委外業務項目進行風險評估,以強化委外安全管理?
5.3 於採購前識別資通系統分級及是否為核心資通系統?並依資通系統分級,於徵求� 建議書文件(RFP)相關採購文件中明確規範防護基準需求?
31
依據行政院秘書長110年7月13日院臺護長字第1100177483號函,要求各機關資通訊相關採購案,應參考公共工程委員會「投標須知範本」及「資訊服務採購契約範本」,落實「資訊服務採購案之資安檢核事項」相關要求。
資訊服務採購案之資安檢核事項
5.4 確保委外廠商執行委外作業時,具備完善之資通安全管理措施或通過第三方驗證?�5.1 針對委外業務項目進行風險評估,以強化委外安全管理?
5.3 於採購前識別資通系統分級及是否為核心資通系統?並依資通系統分級,於徵求� 建議書文件(RFP)相關採購文件中明確規範防護基準需求?
32
5.4.1 依行政院111年5月26日函送之「資通系統籌獲各階段資安強化措施」,將所要求之� 相關措施納入委外安全管理程序?
33
依政院111年5月26日院臺護字第1110174630號函訂定「資通系統籌獲各階段資安強化措施」,補充說明委託機關依資安法施行細則第四條規定選任或監督受託者之相關行政流程及應注意事項,特訂定本措施。
資通系統籌獲各階段資安強化措施
34
資通系統籌獲各階段資安強化措施
限制使用危害國家資通安全產品
4.5 公務用資通訊產品,已禁止使用大陸廠牌資通訊產品,禁止且避免採購作法為何?
4.6 如仍有此類須資安長同意及列冊管理,至資安署管考系統提報?相關控管措施為何?
5.16 委外營運公眾場域不得有大陸廠商(或陸籍),於契約明訂禁止大陸廠牌通訊產品?
35
依據行政院秘書長109年12月18日院臺護長字第1090201804A號函,要求110年底前完成汰換所使用或採購大陸廠牌資通訊產品(含軟體、硬體及服務),並配合擴大盤點範圍為全機關,包含委外廠商及其分包廠商。
限制使用危害國家資通安全產品
4.5 公務用資通訊產品,已禁止使用大陸廠牌資通訊產品,禁止且避免採購作法為何?
4.6 如仍有此類須資安長同意及列冊管理,至資安署管考系統提報?相關控管措施為何?
5.16 委外營運公眾場域不得有大陸廠商(或陸籍),於契約明訂禁止大陸廠牌通訊產品?
36
依據行政院秘書長109年12月18日院臺護長字第1090201804A號函,要求110年底前完成汰換所使用或採購大陸廠牌資通訊產品(含軟體、硬體及服務),並配合擴大盤點範圍為全機關,包含委外廠商及其分包廠商。
資安文件
落實資安
教育訓練
配合稽核
採購規範
37
每年一次全機關內部稽核
6.2 訂定內部資通安全稽核計畫,包含稽核目標、範圍、時間、程序、人員等?� 規劃及執行稽核發現事項改善措施,且定期追蹤改善情形?
38
每年一次全機關內部稽核
6.2 訂定內部資通安全稽核計畫,包含稽核目標、範圍、時間、程序、人員等?� 規劃及執行稽核發現事項改善措施,且定期追蹤改善情形?
39
每年一次全機關內部稽核
6.2.1 依110年12月30日函送之「國立大專校院資通安全維護作業指引」,學校辦理內部� 資通安全稽核,稽核範圍應包含全校各單位。各校得就資通系統(保有個人資料)� 風險高低、教學單位特性評估訂定推動先後順序,分年分階段規劃辦理,並明訂� 於各校資通安全維護計畫。(國立大專校院適用)
40
41
41
法規面
主管態度、決心
人力不足
經費問題
資安意識、各單位配合度
資通安全實地稽核
檢核項目各類重點
(一般人員應辦事項)
3.4 訂定人員之資通安全作業程序及權責?是否明確告知保密事項,且簽署保密協議?
3.5 人員瞭解機關之資通安全政策,以及應負之資安責任?
3.7 資訊人員每2年接受3小時以上之資通安全專業課程訓練或資通安全職能訓練,且� 每年接受3小時以上之資通安全通識教育訓練?�3.8 一般使用者及主管每年接受3小時以上之資通安全通識教育訓練?
43
3時/年
資安通識
一般
使用者
3.8
3時/2年
資安專業
3時/年
資安通識
資訊人員
3.7
工作�同意書
3.4
作業保密
保密�條款
3.5
了解政策
人資�辦法
資安�責任
3.7 資訊人員每2年接受3小時以上之資通安全專業課程訓練或資通安全職能訓練,且� 每年接受3小時以上之資通安全通識教育訓練?�3.8 一般使用者及主管每年接受3小時以上之資通安全通識教育訓練?
44
零成本雲端測驗發證
3.7 資訊人員每2年接受3小時以上之資通安全專業課程訓練或資通安全職能訓練,且� 每年接受3小時以上之資通安全通識教育訓練?�3.8 一般使用者及主管每年接受3小時以上之資通安全通識教育訓練?
45
7.18 每半年進行1次社交工程演練?針對開啟郵件、點閱郵件附件或連結之人員加強� 資安意識教育訓練?
46
寄件人信箱若是.....
收件人群組若是.....
信件內的超連結若是.....
寄件時間若是.....
信件主旨若是.....
附加檔案若是.....
信件內容若是.....
3.3 指定專人或專責單位負責資訊服務請求/事件處理、維運及檢討,且有適切分工?
9.6 訂定資安事件處理過程之內部及外部溝通程序?
47
48
48
法規面
主管態度、決心
人力不足
經費問題
資安意識、各單位配合度
資通安全實地稽核
檢核項目第五大類
(系統委外開發)
50
5.3
資安事件通報處理
5.9
資安責任保密規定
5.11
定期或異常時稽核
5.12
廠商進出範圍限制
5.13
委外業務風險評估
5.4
RFP規範防護基準
5.6
分(轉)包資安措施
5.5
廠商資安管理評估
5.7
5.2
定期檢視人員媒體
5.15
定期檢視人員媒體
5.15
機關及委外廠商皆有PM
廠商ISMS人員
系統存取程序授權
5.14
系統安全檢測證明
5.8
5.1 委外安全管理程序
選商
監督
5.10 終止解除
5.1 訂定資訊作業委外安全管理程序,包含委外選商及監督相關規定。
5.7 對於核心資通系統之委外廠商,針對其人員(如能力、背景等)及開發維運環境� 之資通安全管理進行評估?
51
5.3
資安事件通報處理
5.9
資安責任保密規定
5.11
定期或異常時稽核
5.12
廠商進出範圍限制
5.13
委外業務風險評估
5.4
RFP規範防護基準
5.6
分(轉)包資安措施
5.5
廠商資安管理評估
5.7
5.2
定期檢視人員媒體
5.15
定期檢視人員媒體
5.15
機關及委外廠商皆有PM
廠商ISMS人員
系統存取程序授權
5.14
系統安全檢測證明
5.8
5.1 委外安全管理程序
選商
監督
5.10 終止解除
5.7 對於核心資通系統之委外廠商,針對其人員(如能力、背景等)及開發維運環境� 之資通安全管理進行評估?
52
5.3
資安事件通報處理
5.9
資安責任保密規定
5.11
定期或異常時稽核
5.12
廠商進出範圍限制
5.13
委外業務風險評估
5.4
RFP規範防護基準
5.6
分(轉)包資安措施
5.5
廠商資安管理評估
5.7
5.2
定期檢視人員媒體
5.15
定期檢視人員媒體
5.15
機關及委外廠商皆有PM
廠商ISMS人員
系統存取程序授權
5.14
系統安全檢測證明
5.8
5.1 委外安全管理程序
選商
監督
5.10 終止解除
資通安全法規遵循
資通安全管理法
資通安全管理法施行細則
資通安全責任等級分級辦法
資通安全管理法常見問題
各機關對危害國家資通安全�產品限制使用原則
行政院及所屬各機關行動化�服務發展作業原則
資通安全事件通報及應變辦法
通常每個部門至少1-3人必須依規定上課!
負責委外業務的人員為什麼要有資安專業?
54
55
55
法規面
主管態度、決心
人力不足
經費問題
資安意識、各單位配合度
資通安全實地稽核
檢核項目第七大類
(資通安全防護及控制措施)
57
58
58
法規面
主管態度、決心
人力不足
經費問題
資安意識、各單位配合度
資通安全實地稽核
檢核項目第八大類
(系統開發SSDLC)
8.2 資通系統開發過程依安全系統發展生命週期(SSDLC)納入資安要求?�8.8 資通系統開發委外辦理,將系統發展生命週期各階段安全需求納入委外契約?
Secure Software Development Life Cycle, SSDLC
60
Design
Threat�Modeling
Development
Static�Analysis
Secure Configuration
Deployment
Testing
Security Test
&
Code Review
Requirement
Risk
Assessment
61
盡快建立人員的�資安專業經驗
爭取委外案展現�資安管理作為
62
63
63
法規面
主管態度、決心
經費問題
資安意識、各單位配合度
人力不足
資通安全實地稽核
檢核項目第六大類
(資安維護計畫、落實稽核)
64
6.3 訂定內部資通安全稽核計畫,包含稽核目標、範圍、時間、程序、人員等,且落實� 執行? (A級機關:每年2次;B級機關:每年1次;C級機關:每2年1次)�6.4 規劃及執行稽核發現事項改善措施,且定期追蹤改善情形?
65
「教育部資通安全稽核計畫」指定稽核:
1.實地稽核[資通系統防護基準]自評
2.實地稽核[資通安全稽核項目]自評
3.技術檢核所需資料調查
1.2 將全部核心資通系統納入資訊安全管理系統(ISMS)適用範圍? �6.1 訂定、修正及實施機關資通安全維護計畫,且每年向上級或監督/主管機關提出� 資通安全維護計畫實施情形?�6.2 落實管理階層(如機關首長、資通安全長等)定期(每年至少1次)審查ISMS,以確保� 其運作之適切性及有效性?
66
67
67
法規面
人力不足
資安意識、各單位配合度
主管態度、決心
經費問題
資通安全實地稽核
檢核項目前三大類
(資安長應知事項)
1.1 界定機關之核心業務,完成資通系統盤點分級,每年至少檢視1次分級妥適性?
69
校務
機房
區網
電郵
網路
計資中心機房維運
電力系統、環控系統
公務電子郵件服務
公務電子郵件系統維運管理
校務維運管理
校務系統維運管理(計資中心開發之教務、學務、人事、出納)
校園網路服務
校園網路骨幹(核心交換器)連線服務
中部區網中心網路管理
中部區網骨幹維運
每�年�管�審�會
1.1 界定機關之核心業務,完成資通系統盤點分級,每年至少檢視1次分級妥適性?
70
校務
計資中心機房維運
電力系統、環控系統
公務電子郵件服務
公務電子郵件系統維運管理
校務維運管理
校務系統維運管理(計資中心開發之教務、學務、人事、出納)
校園網路服務
校園網路骨幹(核心交換器)連線服務
每�年�管�審�會
電郵
機房
網路
1.2 將全部核心資通系統納入資訊安全管理系統(ISMS)適用範圍?
71
校務
機房
區網
電郵
網路
1.3 鑑別可能造成營運中斷事件之機率及衝擊影響,且進行BIA?訂定RTO及RPO?�1.7 制定業務持續運作計畫,並定期辦理全部核心資通系統之業務持續運作演練?
72
關鍵營運流程�分級表
校務
機房
區網
電郵
網路
營運衝擊分析�(Business Impact Analysis)
營運持續計畫�(Business Continuity Planning)
復原時間目標 (RTO)
復原點目標 (RPO)
RTO=24hrs
RPO=24hrs
RTO=24hrs
RPO=前一日
RTO=3hrs
RPO=24hrs
RTO=24hrs
RPO=前次異動後
1.4 設置資通系統之備援設備,當系統服務中斷時,於可容忍時間內由備援設備取代� 提供服務?
73
校務
機房
區網
電郵
網路
自異地備援資料庫回復
系統重建於新VM
BCP演練�達RTO, RPO
1.5 定期執行重要資料之備份作業,且備份資料異地存放?存放處所環境符合實體安全� 防護?
74
校務
機房
區網
電郵
網路
自動
定期
機房門禁、環控系統資料,定期於3,6,9,12月備份, 儲存於管理者桌機。
校務系統資料庫自動備份到圖書館異地備份主機,各系統Schema以手動日/週/月備份保留6代。
自動
電郵系統採RAID 5備份,每4小時備份保留18代,每日23:55備份保留5代。
自動
校園網路骨幹設備針對config備份,每日凌晨1點進行完整備份置於不同儲存地點(MRTG機器)。
自動
區網設備config由國網中心nock每日上午自動備份,在config有異動時也會由本校進行手動備份。
1.6 訂定備份資料之復原程序,且定期執行回復測試,以確保備份資料之有效性?� 復原程序定期檢討及修正?
75
校務
機房
區網
電郵
網路
設想復原程序SOP
定期執行演練並檢討修正
訂定復原程序SOP文件及流程圖
實際發生時依據復原程序SOP進行復原
1.8 針對重要業務訂定適當之變更管理程序,且落實執行,並定期檢視、審查及� 更新程序(如業務調整後對外資訊更新等)?
76
覆核
4階
表單、記錄、清冊、報告
3階
作業規範
2階
辦法、規程
1階
政策
以會議或�書面方式�進行
每年至少一次檢討修正會議
檢討
修訂
管理系統各項文件修訂
「NCHU-ISMS-B-002文件暨紀錄管理辦法」
1.9 每年辦理1次資安治理成熟度評估?
77
2.1 訂定資通安全政策及目標,由管理階層核定,並定期檢視且有效傳達其重要性?
78
資安政策目標公開於網站上,傳達給全體人員包含正式、臨時、派遣人員,且在管審會後透過電郵告知核心系統的委外廠商有關本校最新資安政策目標。
傳達
每年召開「資訊安全暨個人資料保護推動委員會」審核
審核
資安政策目標
「NCHU-ISMS-A-001資訊安全政策」
訂定
2.2 訂定資通安全之績效評估方式(如績效指標等),且定期監控、量測、分析及檢視?
79
「NCHU-ISMS-D-056目標達成計劃量測表」
訂定
資訊安全目標與衡量指標 | 指標值 | 量測方式 | |
一、資訊安全政策訂定與評估 | (1)資訊安全政策審查次數 | ≧1次/年 | ⠇ |
(2)資訊安全政策宣導次數 | ≧1次/年 | ⠇ | |
⠇ | ⠇ | ⠇ | ⠇ |
⠇ | ⠇ | ⠇ | |
2.3 有文件或紀錄佐證管理階層對於ISMS建立、實作、維持及持續改善承諾及支持?
2.5 指派副首長或適當人員兼任資通安全長,負責推動及督導機關內資安事務?
80
2013
本校推動資安管理經驗於�台灣綜合大學系統分享
2008
計資中心
通過ISO27001資訊安全認證
2017
2016
資安長
依新版教育體系資通安全規範由副校長擔任資安長
通過新版教育體系資通安全規範�副校長親自出席授證典禮
2.4 成立資通安全推動組織,負責推動、協調監督及審查資通安全管理事項?� 推動組織層級之適切性,且業務單位是否積極參與?
81
資訊安全暨�個人資料保護�推動委員會
資安暨�個資保護�執行小組
資安暨�個資保護�稽核小組
資訊安全�執行分組
資訊安全�稽核分組
2.6 訂定機關人員辦理業務涉及資通安全事項之考核機制及獎懲基準?
82
若違反資訊安全或相關法規或政策規定並經查證屬實後,由人事單位依據人事相關法規辦理員工懲處。
「NCHU-ISMS-B-005人力資源安全管理辦法」明訂人員要求事項,包含聘僱條件、教育訓練、懲處機制。機制應適宜,並且應傳達至同仁知悉。
2.7 建立機關內、外部利害關係人清單,並定期檢討其適宜性?
83
Stakeholder Map
Power
Interest
HIGH
LOW
LOW
HIGH
3.1 資安經費占資訊經費比例?資訊經費占機關經費比例?資安經費符合業務需要?
84
資安經費占資訊經費比例 ##%
資安經費
資訊經費
資訊經費占全校經費比例 ##%
3.2 資安專職人員 、 3.3 專責窗口 、 3.4 作業保密、 3.5 了解資安政策及應負資安責任 、�3.6~3.8 教育訓練時數 、 3.9~3.10 證照證書
85
3時/年
資安通識
主 管
3.8
12時/年
資安專業
資安專職
3.6
3時/年
資安通識
一般
使用者
3.8
3時/2年
資安專業
3時/年
資安通識
資訊人員
3.7
計中
朱姿洝
3.2
B級�2人
計中
傅顓芷
3.9
證照�2張
ISO 27001�LA
朱:20##
傅:20##
資通安全�職能評量
朱:20##
傅:20##
證書2張
3.10
3.3
專責處理
通報�窗口
工作�同意書
3.4
作業保密
3.5
了解政策
人資�辦法
計中
朱姿洝
86
86
主管態度、決心
人力不足
經費問題
資安意識、各單位配合度
法規面
落實資安法令與規範
最後提醒,應隨時關注我國資通安全相關政策、法令及規範,做好相關因應措施,定期檢討執行情形(如定期檢討資安法令與規範之盤點、執行及後續規範修正作業等) 。
88
教育部110年9月8日臺教資(四)字第1100122001號函提醒 使用雲端服務蒐集個人資料應注意個資外洩資安風險,發布「學校使用資通系統或服務蒐集及使用個人資料注意事項」,其中提到一些問題是操作錯誤造成的,我們製作一個 教學網站�強化宣導Google表單蒐集個人資料操作實務,以降低個資外洩資安風險。
89
THANKS!
相關簡報資料開放下載使用
90
授權允許使用者重製、散布、傳輸以及修改著作(包括商業性利用),惟使用時必須按照著作人或授權人所指定的方式,表彰其姓名。