7.
【七】資通安全防護及控制措施
題目09:學校如有自行開發、維運等資通訊系統,每二年辦理一次資通安全健診、網站弱點掃描、滲透測試。(2分)
準備資料或客觀證據:資通安全健診、網站弱點掃描、滲透測試等報告書
建議回答:
符合
佐證資料內用文字敘述本校資安等級為D級,並無自行開發、維運資通訊系統。
題目10:結合學校內部管理機制,每年辦理一次資通安全自我檢查作業。
準備資料或客觀證據:學校內部資通安全自評文件表單
建議回答:
符合
本題可擷取填報系統內已完成填報的畫面。
題目11:與外界連線,應僅限於經由教育局(處)網路管理單位之管控,以符合一致性與單一性之安全要求,依業務性質之不同,區分不同內部網路網段(如:教學、行政、宿網等),以降低未經授權存取之風險。
準備資料或客觀證據:邏輯網路架構圖、業務與網段對應資料
建議回答:
符合,附上網路架構圖,若校內IP不夠,有使用NAT設備者,也請附上NAT設備底下網路架構圖。
題目12:專供行政使用之無線網路熱點建議設定加密金鑰防護,教學區域、會議室等場所佈建之無線網路熱點應具有使用者身份認證機制,並經由校園無線網路漫遊服務系統提供外校來賓使用。
準備資料或客觀證據:加密金鑰設定畫面、帳號通行碼登入畫面
建議回答:
符合,佐證資料附上無線網路edurom、tn-teacher與TanetRoaming的ssid畫面即可。
題目13:依據資通安全責任等級應辦事項,學校應完成資通安全防護,建置網路防火牆,並持續使用及適時進行軟、硬體之必要更新或升級。
準備資料或客觀證據:網路防火牆設備照片或設定畫面
建議回答:
符合,佐證資料內先用文字說明學校網路統一由資訊中心提供防火牆防護,校內電腦使用windows內建防火牆,附windwos防火牆啟用畫面。
題目14:依據資通安全責任等級應辦事項,學校應完成資通安全防護,電腦應建置防毒軟體,並定期更新軟體病毒碼。
準備資料或客觀證據:至少2台學校電腦防毒軟體設定畫面
建議回答:
符合,佐證資料附上學校電腦防毒軟體畫面(注意系統時間,勿超過三個月2020年6月以後的畫面才給分)
題目15:依據資通安全責任等級應辦事項,學校應完成資通安全防護,學校具有郵件伺服器者,應備電子郵件過濾機制,並持續使用及適時進行軟、硬體之必要更新或升級。(2分)
準備資料或客觀證據:郵件伺服器設備照片或設定畫面
建議回答:
符合, 佐證資料可抓取南資信箱畫面即可,或是Gmail畫面。
題目16:個人辦公桌面應避免存放機敏性文件,結束工作時應妥善存放具有機密或敏感特性的資料(如:公文、學籍資料等),個人電腦不使用時,應使用鍵盤鎖或其他控管措施保護個人電腦安全,個人電腦應設定螢幕保護機制。(2分)
準備資料或客觀證據:至少 2 位行政人員辦公桌面照片(含管控措施畫面如鍵盤鎖、螢幕保護畫面等)
建議回答:
符合, 提供至少 2 位行政人員辦公桌面照片(含管控措施畫面如鍵盤鎖、螢幕保護畫面等)
題目17:由學校公告通行碼使用規則,使用者應該對持有通行碼盡保密責任,通行碼設定應包含英文字及數字,長度為 8 碼(含)以上。(2分)
準備資料或客觀證據:使用者通行碼的設定畫面
建議回答:
符合,請提供資通安全維護計畫中,密碼規定的畫面。
題目18:電腦教室宜設置偵煙、偵熱或滅火設備(氣體式滅火器),並禁止擺放易燃物或飲食。(2分)
準備資料或客觀證據:偵煙、偵熱與滅火設備照片,及電腦教室使用規定
建議回答:
符合 ,檢附偵煙、偵熱與滅火設備照片,及電腦教室使用規定的照片。
題目19:電腦教室應實施門禁管制。
準備資料或客觀證據:電腦教室區域門禁照片
建議回答:
符合,佐證資料請提供門鎖、門禁刷卡、或保全設施等照片
題目20:電腦教室等重要資訊設備應有適當電力保護設施,如設置 UPS、電源保護措施(如:穩壓器等),以免斷電或過負載而造成損失,並設置緊急照明設備以作為停電照明之用。
準備資料或客觀證據:電力保護設施照片(如: UPS、穩壓器等)、緊急照明設備照片
建議回答:
符合,佐證資料請提供 電力保護設施照片(如: UPS、穩壓器等)、緊急照明設備照片
題目21:公務用可攜式電腦設備(如:筆記型電腦、平板電腦、智慧型手機等)應設定保護機制,如設定通行碼、圖形辨識、臉孔辨識或指紋辨識等;應執行安全相關程序(如:掃毒、預設通行碼更新、系統更新等),以防範可能隱藏的病毒或後門程式。(2分)
準備資料或客觀證據:各類可攜式電腦設備(如:平板、筆電、手機等)設定畫面
建議回答:
符合,佐證資料請提供可攜式電腦設備的保護機制畫面,如密碼登入、系統更新等,可參考教育部範本
題目22:非正式人員、臨時人員,因業務需要,而接觸公務機密、個人權益及學校機敏資料者須填寫保密切結書。
準備資料或客觀證據:學校內可能存取個資資料之臨時人員或義工簽署保密切結書
建議回答:
符合,若學校人員皆為正式人員、約聘(僱)人員,請直接在佐證資料內用文字敘述即可,若有校內義工媽媽幫忙處理圖書系統的借還書者,請提供簽署過的保密切結書照片當佐證資料。
題目23:依據資通安全責任等級應辦事項,學校除因業務需求且無其他替代方案外,不得採購及使用危害國家資通安全產品。(2分)
準備資料或客觀證據:擷取大陸品牌資通訊(產)設備清冊
建議回答:
符合,佐證資料請參考教育部範本。