國教署資安重要宣導

國教署資安重要宣導

一、依國家發展委員會103年12月31日發資字第1031501471號函，各機關行文及網站資料涉及國民身分證統一編號者之登載者，統一隱碼欄位為身分證號後4碼(即第7碼至第10碼)，並以「*」取代(特殊性用途除外)。

二、依教育部110年9月8日臺教資(四)字第1100122001號函，學校使用雲端資通服務(如Google表單等)蒐集個人資料時，可能因設定不當而增加個資外洩及資安風險，請學校使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者，應注意「學校使用資通系統或服務蒐集及使用個人資料注意事項」、Google表單蒐集個人資料使用原則（https://sites.google.com/email.nchu.edu.tw/g-form），以「最小化」為原則，並請學校建置公告、資料收集審查機制，避免因系統設定錯誤或人為因素，誤將機敏個資、機密檔案公布於網路上。

三、重申教育部109年9月25日臺教資（五）字第1090135390號函轉行政院資通安全處109年9月14日院臺護字第1090188336號書函，即時通訊軟體(如Line等)使用應注意不得傳送公務敏感資料為原則。

四、依行政院112年6月20日院授數資安字第1121000202號函，重申各公務機關使用資通訊產品原則：公務用資通訊產品(含軟體、硬體及服務)不得使用大陸廠牌，機關若因業務需求且無其他替代方案，仍需使用危害國家資通安全產品時，應具體敘明理由，並經機關資通安全長及其上級機關資通安全長逐級核可，函報資通安全管理法主管機關(數位發展部)核定，產品未汰換前，應加強下列資安強化措施：

1.強化資安管理措施，例如：設定高強度密碼、禁止遠端維護等。

2.產品遇資安攻擊導致顯示畫面遭置換，應立即置換靜態畫面，或立即關機。

3.產品若為硬體，應確認其不具WiFi等持續連網功能(非僅以軟體關閉)。若需以外接裝置方式進行更新，須有專人在旁全程監督，於傳輸完成後立即移除外接裝置。

4.產品使用屆期後不得再購買危害國家資通安全產品。

五、依「資通安全事件通報及應變辦法」，知悉資通安全事件後，學校應於一小時內進行資通安全事件之通報；另資通安全事件有一般公務機密、敏感資訊（個人資料等）遭輕微洩漏或竄改，為第三級資通安全事件，提供「國立高級中等以下學校資安情資傳遞及應變處理作業流程」1份。

六、重申帳號權限與密碼管理原則，落實管理資通系統，以避免資安事件發生：

1.最高管理者權限帳號數量，原則不得超過3個。

2.使用者於第一次登錄系統時，應立即更改預設密碼，並妥善保管帳號與維持密碼之機密性。

3.使用者禁止共用自己或他人的帳號及密碼。

4.使用者每次存取系統时應輸入密碼登入系統，避免使用記錄密碼功能，導致開機時自動登入系統。

5.密碼長度設定至少8碼，且應符合帳號及密碼內容設置原則。

6.密碼内容之設定，應參雜數字、英文字母大小寫及特殊符號，至少符合下列4項要求中之3項。

A.內含至少1個大寫英文字母。

B.內含至少1個小寫英文字母。

C.內含至少1個阿拉伯數字。

D.內含至少1個特殊符號。

7.密碼內容之設定，應盡量避免使用易猜測或公開資訊如下說明：

A.個人姓名、出生年月日、身分證字號。

B.機關、單位名稱或是其他相關事項。

C.使用者ID、其他系統ID。

D.電腦主機名稱、作業系統名稱。

E.電話號碼、空白、字典字(具有意義的英文單字，例如：password等)。

F.禁止使用鍵盤順序鍵(如：qwer)。

G.密碼不得與帳號相同。

8.密碼最短使用期限為1天，並應定期更換，90天(含)以內必須更換密碼一次，逾期未變更者，應暂停其系統登入之權限，以避免盗用情形;密碼變更時不得使用與前3次相同的密碼。

9.管理者及使用者帳號應避免共用，並負帳號及密碼保管之責，不得對任何人透露或以任何形式公開自己帳號及密碼，亦避免將帳號、密碼記錄在書面上，或張貼在個人電腦、螢幕或其他未保護且容易洩漏秘密之處所，以避免密碼外洩。

10.懷疑密碼被他人知悉或發現密碼可能遭破解時，應立即更改密碼。

11.帳號登入進行身分驗證失敗達5次後，系統將自動鎖定帳號時間至少15分鐘不許該帳號繼續嘗試登入。

12.使用者職異動或離職時，部門主管應即時通知相關單位調整或終止使用者之存取權限。

13.系統之帳戶，若超過6個月未曾登錄，則視需要清除閒置帳號。

七、重申教育部110年6月29日臺教資(四)字第1100085899A號函，請學校加強檢核自身資通安全防護及相關措施：

1.學校因管理不當導致發生資通安全事件，本署將以不遮蔽學校方式作為教育體系內部案例宣導。

2.針對發生重大資通安全事件之學校，本署將辦理或配合教育部資安專案實地稽核，未落實稽核缺失改善者，將循相關機制予以懲處。
八、重申各級學校使用資通系統或服務蒐集及使用個人資料注意事項
1.鑒於學校使用媒體網路影音平臺（如Youtube等）上傳作業時，可能因權限管理不當導致學生權利受到侵害，請學校使用媒體網路影音平臺請學生上傳作業者，應注意旨揭事項，做好帳號及權限之管理，降低風險。
2.為了維護學生的基本權益，學校應加強宣導學生使用數位平臺之相關知能及素養，例如須注意隱私、分享等相關設定，降低資料非經當事人同意之使用行為風險；此外，教師使用數位平臺進行教學活動時，若課程所蒐集之學生作業或報告內含個資或隱私資訊者（如學生影音資料等），教師應妥為保管，並注意使用權限，於課程結束後，應做適當處置。
3.依個人資料保護法第11條第3項「個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。」，當事人之影片應於作業批改完成後立即刪除並下架，並確保離線備份皆已刪除。
4.依個人資料保護法第16條「公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。」，僅蒐集適當、相關且限於處理目的所必要之個人資料，處理及利用時，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
5.依個人資料保護法第28條第1項「公務機關違反個人資料保護法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。」，應注意當事人影片或其他個人資料是否正當使用及留存，以避免違反個人資料保護法之規定。