• slider image 158
:::

公告 鄭盛南 - 校園資安管理 | 2018-12-25 | 人氣:6211
★★★ 1080626現況 ★★★

教育部與行政院資安處討論高中(職)以下學校分級,討論後建議方案如下

一、公立高中以下學校,其全部核心資通系統已向上集中為共用性資通系統,且其餘系統滿足下列條件者,得依第10條第4款調整等級為D級,惟仍應辦理應辦事項配套。
1.不含個人資料
2.與核心系統明確區隔

二、考慮現況向上集中需要時間過渡,且分級辦法規定每2年重新核定等級一次,故擬給予2年之過渡時間。
本次提報等級時,有配合向上集中之規劃之學校,可暫列D級,惟2年後重新分級時則回到前述原則。

另針對"暫列"及"得調整為"D級的學校,應辦事項配套措施,除原D級應辦事項外,尚需進行
1. 資通系統分級及防護
2. 配合學校內部管理,辦理一次資通安全稽核 (教育體系版)
3. 配置資安專責人員1名,並接受12小時教育訓練 (可用線上教育訓練)
4. 資通安全健診 (2年1次)(進行之方式,將再與教育部討論)

 

★★★ 1080626結論 ★★★

考慮高中(職)以下學校特殊性,向上集中過渡,故擬給予2年過渡時間。學校有三種理由為D級

NO 核定理由 等級
1   核心皆向上集中為共用性資通系統,校內無任何系統 核定D級
2* 核心皆向上集中為共用性資通系統,校內非核心系統,但 不含個人資料與核心系統明確區隔 調降D級
3* 核心未向上集中,但已規劃期程。 暫列D級

* 原因為 2 調降、3 暫列 D級者,表示還有系統在學校,除原D級應辦事項外,需執行以下配套

1. 資通系統分級防護
2. 配合學校內部管理,辦理一次資通安全稽核 (新北市資通安全線上自評)
3. 配置資安專責人員1名,並接受12小時教育訓練 (可用線上教育訓練)
4. 資通安全健診 (2年1次)(進行之方式,資安處將再與教育部討論)

110年重新提交等級回歸現行資安法規定,取消理由3,若還有核心系統在校內,則核定C級

零、學校行政作為 & 概念宣導

0.0 舊法規:教育部與所屬機關(構)及學校資通安全責任等級分級作業規定,之前台南市國中小應為C級第二類,目前私立學校仍適用。舊法規只是行政規定,現在提升到法的層級。

0.1 新法規:中華民國107年6月6日制定公布之「資通安全管理法」及107年11月21日訂定發布之「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法」、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」、「公務機關所屬人員資通安全事項獎懲辦法」,行政院定自108年1月1日施行。(行政院函教育部函市府函)

1. 教育部本局資訊中心的立場:希望國中小所有資通系統向上集中,都能認列D級

2. 現行台南市立中小學沒有資安專責人員編制資訊組長或網管 "不等於" 資安專責人員

3. 各校行政(主管)會報討論:

   (1) 判定校內各系統是否為 "學校" 維運的 "核心" 資通系統,是否符合"向上集中"。
   如:官方網站、應用於全校校務行政及教學等重要業務之電子郵件服務系統、網域名稱系統、公文系統、校務行政系統或其他涉及持有學生或教職員個人資料檔案資通系統等。

核心系統的定義參考 資通安全管理法施行細則 第七條

第七條 前條第一項第一款所定核心業務,其範圍如下:
一、
公務機關依其組織法規,足認該業務為機關核心權責所在。
二、公營事業及政府捐助之財團法人之主要服務或功能。
三、各機關維運、提供關鍵基礎設施所必要之業務。
四、各機關依資通安全責任等級分級辦法第四條第一款至第五款或第五條第一款至第四款涉及之
業務。
前條第一項第六款所稱
核心資通系統,指支持核心業務持續運作必要之系統依資通安全責任等級分級辦法附表九資通系統防護需求分級原則之規定,判定其防護需求等級為高者

學校維運可參考 附表五 資通安全責任等級C級之公務機關應辦事項.PDF 備註1

備註:1. 資通系統之性質為共用性系統者,由該資通系統之主責設置、維護或開發機關判斷是否屬於核心資通系統。

向上集中則以集中到本局資訊中心的系統為主。

   (2) 決議學校責任等級為何 (C、D、E 其中之一)

教育部來函規範
C級:
有維運自行或委外開發核心資通系統「公立高級中等以下學校」。
D級:配合資訊資源向上集中計畫,核心資通系統由其上級或監督機關兼辦或代管或未維運資通系統「公立高級中等以下學校」。
E級:其他分校、分部,全部資通業務由其本校兼辦或代管者。

   (3) 機關首長指派資通安全長:國中小通常為校長,有職權調配資源以利資安業務推動 (計畫中請以職稱填寫,以避免學期中人員異動)

依據 資通安全管理法 第11條

第十一 條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。

行政院維護計畫範本 第8頁 備注:

考量資通安全推動時常涉及機關內相關資源調動及分配等事項,故資通安全長由機關首長指
派副首長擔任,如機關首長指派適當人員擔任資通安全長時,該人員應具有足夠權責、資
源、權限、相當資歷、經驗及資安專業之人員兼任為宜,使資通安全相關業務得以順利推
展。

   (4) 擬定「資通安全維護計畫」及「學校資通安全事件通報及應變管理程序」,C級請函覆本局;D級請核章掃描PDF檔,2/25前email到ng344@tn.edu.tw;E級請直接由本校計畫涵蓋,無需繳交。未來將配合教育部資安線上自評計畫提交。

一般機關資通安全維誰護計畫-D級範本_國小.pdf ( odtdocx )
一般機關資通安全維誰護計畫-D級範本_國中.pdf ( odtdocx )
一般機關資通安全維誰護計畫-D級範本_幼兒園.pdf ( odtdocx )
學校(含幼兒園)資通安全事件通報及應變管理程序範本.pdf ( odtdocx )
以上資安維護計畫引用之ISMS相關文件
行政院資安維護計畫範本參考附件(擬由新北資安線上自評繳交)

依據 資通安全管理法 第10條 每個等級都要訂定資通安全維護計畫,唯分校E級可由本校維護計畫涵蓋(由本校計畫內的範圍敘明)

第 10 條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。

4. 校務會議宣導

   (1) 通過學校新的資通安全維護計畫

   (2) 請勿隨意安裝架設網站或系統,資安法的罰則將加入相關考核規定。

   (3) 其他相關公文或法規條文。

 

本站暫存法規,若有更新請依相關官方網站公告資料為主(2019.1.2下載)

資通安全管理法.pdf

01_資通安全管理法施行細則.pdf

01_資通安全管理法施行細則總說明及逐條說明.pdf

02_資通安全責任等級分級辦法.pdf

02_資通安全責任等級分級辦法總說明及逐條說明.pdf

03_資通安全事件通報及應變辦法.pdf

03_資通安全事件通報及應變辦法總說明及逐條說明.pdf

04_特定非公務機關資通安全維護計畫實施情形稽核辦法.pdf

04_特定非公務機關資通安全維護計畫實施情形稽核辦法總說明及逐條說明.pdf

05_資通安全情資分享辦法.pdf

05_資通安全情資分享辦法總說明及逐條說明.pdf

06_公務機關所屬人員資通安全事項獎懲辦法.pdf

06_公務機關所屬人員資通安全事項獎懲辦法總說明及逐條說明.pdf

資安法相關所有條文可以到「行政院國家資通安全會報」網站的「資安法專區」
https://nicst.ey.gov.tw/Page/EB237763A1535D65

 

 一、填報 & 相關資料

教育局線上填報 [9743] 請各校依據資通安全管理法及其子法填報所屬資通安全責任等級及相關資料
https://survey.tn.edu.tw/modules/esurv ... php?op=sign&ofsn=9743

到各校公文內容如下:

  1. 依據:
    教育部107年12月14日臺教資(四)字第1070215157號函(pdf)。
    臺南市政府107年11月23日府研智字第1071322447號函(pdf)。
  2. 有關教育部原函說明二資通安全責任等級,摘要說明如下:
    C級:有維運自行或委外開發核心資通系統「公立高級中等以下學校」。
    D級:配合資訊資源向上集中計畫,核心資通系統由其上級或監督機關兼辦或代管或未維運資通系統「公立高級中等以下學校」。
    E級:其他分校、分部,全部資通業務由其本校兼辦或代管者。
  3. 請依上開責任等級及資通安全責任分級辦法附表應辦事項,於明(108)年1月18日前至本局線上填報9743號回復貴校所屬資安責任等級、已整備之資安專責人力數及其人員類別,俾利本局彙辦。
  4. 請認列C級的學校參考附件範本訂定「資通安全維護計畫(下載範本pdfodtdocx)」及「學校資通安全事件通報及應變管理程序(下載範本pdfodtdocx)」,於明(108)年1月25日前送本局彙整審查。(認列D、E級請參考前項說明。)
  5. 各校應於108年3月31日前依「公務機關所屬人員資通安全事項獎懲辦法」規定修正內部平時考核規定。

 

二、C級 _應辦事項

教育部規範_C級:有維運自行或委外開發核心資通系統「公立高級中等以下學校」。

資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。(資通安全管理法定義)

附表五 資通安全責任等級C級之公務機關應辦事項.PDF

制度面向 辦理項目 辦理項目細項 辦理內容
管理面 資通系統分級及防護基準 初次受核定或等級變更後之一年內,針對自行或委外開發之資通系統,依附表九完成資通系統分級,其後應每年至少檢視一次資通系統分級妥適性;系統等級為「高」者,應於初次受核定或等級變更後之二年內,完成附表十之控制措施。
資訊安全管理系統之導入 初次受核定或等級變更後之二年內,全部核心資通系統導入 CNS 27001 資訊安全管理系統國家標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準,並持續維持導入。
資通安全專責人員 初次受核定或等級變更後之一年內,配 置一人;須以專職人員配置之。
內部資通安全稽核 每二年辦理一次。
業務持續運作演練 全部核心資通系統每二年辦理一次。
技術面 安全性檢測 網站安全弱點檢測 全部核心資通系統每二年辦理一次。
系統滲透測試 全部核心資通系統每二年辦理一次。
資通安全健診 網路架構檢視 每二年辦理一次。
網路惡意活動檢視
使用者端電腦惡意活動檢視
伺服器主機惡意活動檢視
目錄伺服器設定及防火牆連線設定檢視
資通安全防護 防毒軟體 初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新或升級。
網路防火牆
具有郵件伺服器者,應備電子郵件過濾機制
認知與訓練 資通安全教育訓練 資通安全及資訊人員 每年至少一名人員接受十二小時以上之資通安全專業課程訓練或資通安全職能訓練。
一般使用者及主管 每人每年接受三小時以上之一般資通安全教育訓練。
資通安全專業證照及職能訓練證書 資通安全專業證照 資通安全專職人員總計應持有一張以上。
資通安全職能評量證書 初次受核定或等級變更後之一年內,資通安全專職人員總計應持有一張以上,並持續維持證書之有效性。

備註:

  1. 資通系統之性質為共用性系統者,由該資通系統之主責設置、維護或開發機關判斷是否屬於核心資通系統。
  2. 資通安全專職人員,指應全職執行資通安全業務者。
  3. 公務機關辦理本表「資通安全健診」時,除依本表所定項目、內容及時限執行外, 亦得採取經主管機關認可之其他具有同等或以上效用之措施。
  4. 資通安全專業證照,指由主管機關認可之國內外發證機關(構)所核發之資通安全證照。

 

三、D級 _應辦事項

教育部規範_D級:配合資訊資源向上集中計畫,核心資通系統由其上級或監督機關兼辦或代管或未維運資通系統「公立高級中等以下學校」。

附表七 資通安全責任等級D級之各機關應辦事項.PDF

制度面向 辦理項目 辦理項目細項 辦理內容
技術面 資通安全防護 防毒軟體 初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新或升級。
網路防火牆
具有郵件伺服器者,應備電子郵件過濾機制
認知與訓練 資通安全教育訓練 一般使用者及主管 每人每年接受三小時以上之一般資通安全教育訓練。

 

四、E級 _應辦事項

教育部規範_E級:其他分校、分部,全部資通業務由其本校兼辦或代管者。

附表八 資通安全責任等級E級之各機關應辦事項.PDF

制度面向 辦理項目 辦理項目細項 辦理內容
認知與訓練 資通安全教育訓練 一般使用者及主管 每人每年接受三小時以上之一般資通安全教育訓練。

 

五、全國法規資料庫 
資通安全管理法 (民國 107 年 06 月 06 日 )
1 公務機關所屬人員資通安全事項獎懲辦法 (民國 107 年 11 月 21 日 )
2 特定非公務機關資通安全維護計畫實施情形稽核辦法 (民國 107 年 11 月 21 日 )
3 資通安全事件通報及應變辦法 (民國 107 年 11 月 21 日 )
4 資通安全情資分享辦法 (民國 107 年 11 月 21 日 )
5 資通安全責任等級分級辦法 (民國 107 年 11 月 21 日 )
 
6 資通安全管理法施行細則 (民國 107 年 11 月 21 日 )