教育部所屬機關及各級公私立學校資通安全工作事項教育部所屬機關及各級公私立學校資通安全工作事項壹、資訊安全責任等級分級:一、機關學校應參考「資訊安全責任等級分級」及本部相關規定,執行相關資訊安全管理工作,各縣(市)政府應協助所轄中小學執行資訊安全工作。二、依據行政院於94年7月21日核定「政府機關(構)資訊安全責任等級分級作業施行計畫」,各資訊安全責任等級分級應執行工作項目如下:防禦機制強度防護縱深ISMS推動作業稽核方式資安教育訓練(主官,主管,技術,一般)專業證照A級強度等級4NSOC/SOC、IDS、防火牆防毒96年通過第三者認証每年至少執行二次內稽(4,6,18,4小時)/每年96年資安專業鑑定證照二張B級強度等級3SOC(OP)IDS、防火牆防毒97年通過第三者認証每年至少執行一次內稽(4,6,18,4小時)/每年96年資安專業鑑定證照一張C級強度等級2IDS,防火牆防毒各單位自行成立推動小組規劃作業自我檢視(2,6,12,4小時)/每年資安專業訓練D級強度等級1防火牆防毒推動ISMS觀念宣導自我檢視(1,4,8,2小時)/每年資安專業訓練行政院國家資通安全會報「學術機構分組」資訊安全責任分級包含本部所屬機關及各公私立學校區分如下:A級:教育部、台大醫院、成大醫院B級:大學、區域網路中心、縣(市)教育網路中心C級:學院、專科學校.部屬館所D級:高中職、國中小學貳、資通安全通報應變:一、需配合「國家資通安全緊急應變中心」建立緊急通報應變組織,各機關學校應建立資訊安全長(副首長以上)及2位資訊安全聯絡人,並列入行政業務交接項目。二、2位資訊安全聯絡人應於「國家資通安全應變網站」登入基本資料:網址https://www.ncert.nat.gov.tw電話:(02)2733-9922三、機關學校發現資安事件或接獲「國家資通安全會報」、本部等相關主管機關通知發生資安事件時,應於1小時內了解資安事件情形進行相關事件應變處理,最晚應於24小時內至「國家資通安全應變網站」進行資安事件通報,並於36小時內處理完成或完成損害控制後至進行結案通報。作業內容等級名稱姓名職稱電話傳真行動電話E-MAIL第1聯絡人第2聯絡人四、機關學校應配合「國家資通安全會報」及本部每年辦理資通安全攻防演練通報演練、社交工程演練等相關演練作業。參、資訊安全防護:一、電腦網路使用安全注意事項:(一)各機關學校應酌參「○○個人電腦使用注意事項(參考)」(如附件),並考量網路環境狀況訂定合適之「電腦網路使用安全注意事項」並確實執行,以有效規範行政人員、教師、學生電腦網路使用安全。(二)應建立網路使用安全稽核機制,並適當進行內部稽核或自我檢視。二、網路安全管理:(一)應設置防火牆並適當阻絕外部對內之網路連線及通訊埠。(二)應訂定「網路安全管理作業規範」、建立網路對外服務申辦作業及安全檢查。(三)網路安全建立檢核機制,並適當進行安全檢核。三、電腦系統安全管理:(一)應訂定「電腦設備安全管理作業規範」,以規範伺服主機及個人電腦作業系統建置安全,系統上線使用前應建立申辦作業及安全檢查。(二)電腦設備作業系統及相關伺服軟體應適時更新軟體及進行漏洞修補。(三)電腦設備作業系統應安裝防毒軟體並適時更新病毒資料庫。(四)作業系統進行遠端維護時,應於加密管道進行,並管制維護來源IP。(五)電腦系統應建立檢核機制,並適當進行安全檢核。四、應用軟體(網站)安全管理:(一)應訂定「應用軟體安全管理作業規範」以規範應用軟體、資料庫、程式開發建置及使用安全,系統上線使用應建立申辦作業及安全檢查。(二)應用程式所有輸入欄位應進行字元檢查,排除不必要特殊字元(如'"!$%^&*_|-><;等)以防止資料庫隱碼攻擊(SQL-injection)。(三)應用程式進行遠端維護時,應於加密管道進行,並管制維護來源IP。(四)應用軟體應建立檢核機制,並適當進行安全檢核。肆、相關文件說明:一、教育體系資訊安全管理制度(ISMS)規範:(一)教育體系資訊安全管理制度規範網址:http://www.edu.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/fix.htm(二)教育體系各機關適用對象如下:1.「教育體系資通安全管理規範」第1群:適用教育部電算中心、部屬館所、縣(市)網中心及公私立大專院校。2.「教育體系資通安全管理規範」...
