最新訊息
資通安全公告
-
2024/09/13
國教署資安重要宣導
國教署資安重要宣導 一、依國家發展委員會103年12月31日發資字第1031501471號函,各機關行文及網站資料涉及國民身分證統一編號者之登載者,統一隱碼欄位為身分證號後4碼(即第7碼至第10碼),並以「*」取代(特殊性用途除外)。 二、依教育部110年9月8日臺教資(四)字第1100122001號函,學校使用雲端資通服務(如Google表單等)蒐集個人資料時,可能因設定不當而增加個資外洩及資安風險,請學校使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者,應注意「學校使用資通系統或服務蒐集及使用個人資料注意事項」、Google表單蒐集個人資料使用原則(https://sites.google.com/email.nchu.edu.tw/g-form),以「最小化」為原則,並請學校建置公告、資料收集審查機制,避免因系統設定錯誤或人為因素,誤將機敏個資、機密檔案公布於網路上。 三、重申教育部109年9月25日臺教資(五)字第1090135390號函轉行政院資通安全處109年9月14日院臺護字第1090188336號書函,即時通訊軟體(如Line等)使用應注意不得傳送公務敏感資料為原則。 四、依行政院112年6月20日院授數資安字第1121000202號函,重申各公務機關使用資通訊產品原則:公務用資通訊產品(含軟體、硬體及服務)不得使用大陸廠牌,機關若因業務需求且無其他替代方案,仍需使用危害國家資通安全產品時,應具體敘明理由,並經機關資通安全長及其上級機關資通安全長逐級核可,函報資通安全管理法主管機關(數位發展部)核定,產品未汰換前,應加強下列資安強化措施: 1.強化資安管理措施,例如:設定高強度密碼、禁止遠端維護等。 2.產品遇資安攻擊導致顯示畫面遭置換,應立即置換靜態畫面,或立即關機。 3.產品若為硬體,應確認其不具WiFi等持續連網功能(非僅以軟體關閉)。若需以外接裝置方式進行更新,須有專人在旁全程監督,於傳輸完成後立即移除外接裝置。 4.產品使用屆期後不得再購買危害國家資通安全產品。 五、依「資通安全事件通報及應變辦法」,知悉資通安全事件後,學校應於一小時內進行資通安全事件之通報;另資通安全事件有一般公務機密、敏感資訊(個人資料等)遭輕微洩漏或竄改,為第三級資通安全事件,提供「國立高級中等以下學校資安情資傳遞及應變處理作業流程」1份。 六、重申帳號權限與密碼管理原則,落實管理資通系統,以避免資安事件發生: 1.最高管理者權限帳號數量,原則不得超過3個。 2.使用者於第一次登錄系統時,應立即更改預設密碼,並妥善保管帳號與維持密碼之機密性。 3.使用者禁止共用自己或他人的帳號及密碼。 4.使用者每次存取系統时應輸入密碼登入系統,避免使用記錄密碼功能,導致開機時自動登入系統。 5.密碼長度設定至少8碼,且應符合帳號及密碼內容設置原則。 6.密碼内容之設定,應參雜數字、英文字母大小寫及特殊符號,至少符合下列4項要求中之3項。 A.內含至少1個大寫英文字母。 B.內含至少1個小寫英文字母。 C.內含至少1個阿拉伯數字。 D.內含至少1個特殊符號。 7.密碼內容之設定,應盡量避免使用易猜測或公開資訊如下說明: A.個人姓名、出生年月日、身分證字號。 B.機關、單位名稱或是其他相關事項。 C.使用者ID、其他系統ID。 D.電腦主機名稱、作業系統名稱。 E.電話號碼、空白、字典字(具有意義的英文單字,例如:password等)。 F.禁止使用鍵盤順序鍵(如:qwer)。 G.密碼不得與帳號相同。 8.密碼最短使用期限為1天,並應定期更換,90天(含)以內必須更換密碼一次,逾期未變更者,應暂停其系統登入之權限,以避免盗用情形;密碼變更時不得使用與前3次相同的密碼。 9.管理者及使用者帳號應避免共用,並負帳號及密碼保管之責,不得對任何人透露或以任何形式公開自己帳號及密碼,亦避免將帳號、密碼記錄在書面上,或張貼在個人電腦、螢幕或其他未保護且容易洩漏秘密之處所,以避免密碼外洩。 10.懷疑密碼被他人知悉或發現密碼可能遭破解時,應立即更改密碼。 11.帳號登入進行身分驗證失敗達5次後,系統將自動鎖定帳號時間至少15分鐘不許該帳號繼續嘗試登入。 12.使用者職異動或離職時,部門主管應即時通知相關單位調整或終止使用者之存取權限。 13.系統之帳戶,若超過6個月未曾登錄,則視需要清除閒置帳號。 七、重申教育部110年6月29日臺教資(四)字第1100085899A號函,請學校加強檢核自身資通安全防護及相關措施: 1.學校因管理不當導致發生資通安全事件,本署將以不遮蔽學校方式作為教育體系內部案例宣導。 2.針對發生重大資通安全事件之學校,本署將辦理或配合教育部資安專案實地稽核,未落實稽核缺失改善者,將循相關機制予以懲處。八、重申各級學校使用資通系統或服務蒐集及使用個人資料注意事項1.鑒於學校使用媒體網路影音平臺(如Youtube等)上傳作業時,可能因權限管理不當導致學生權利受到侵害,請學校使用媒體網路影音平臺請學生上傳作業者,應注意旨揭事項,做好帳號及權限之管理,降低風險。2.為了維護學生的基本權益,學校應加強宣導學生使用數位平臺之相關知能及素養,例如須注意隱私、分享等相關設定,降低資料非經當事人同意之使用行為風險;此外,教師使用數位平臺進行教學活動時,若課程所蒐集之學生作業或報告內含個資或隱私資訊者(如學生影音資料等),教師應妥為保管,並注意使用權限,於課程結束後,應做適當處置。3.依個人資料保護法第11條第3項「個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。」,當事人之影片應於作業批改完成後立即刪除並下架,並確保離線備份皆已刪除。4.依個人資料保護法第16條「公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。」,僅蒐集適當、相關且限於處理目的所必要之個人資料,處理及利用時,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。5.依個人資料保護法第28條第1項「公務機關違反個人資料保護法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。」,應注意當事人影片或其他個人資料是否正當使用及留存,以避免違反個人資料保護法之規定。
觀看更多 -
2024/04/12
轉知國立臺灣大學辦理「駭客攻擊手法深入探討」課程
觀看更多 -
2024/04/09
[公告] 113 年國教署資安宣導-落實個人資料保護、資通安全管理
[公告] 113 年國教署資安宣導-落實個人資料保護、資通安全管理 主旨:落實個人資料保護、資通安全管理 說明: 一、依個人資料保護法及資通安全管理法相關規定辦理。 二、個人資料保護部分: (一)依個人資料保護法第50條規定,請貴校校長、個資長應善盡個資管理義務。 (二)各機關行文及網站資料涉及國民身分證統一編號者之登載者,統一隱碼欄位為身分證號後4碼(即第7碼至第10碼)。 (三)請學校使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者,應注意「學校使用資通系統或服務蒐集及使用個人資料注意事項」、Google表單蒐集個人資料使用原則(https://sites.google.com/email.nchu.edu.tw/g-form),以「最小化」為原則,並請學校建置公告、資料收集審查機制,避免因系統設定錯誤或人為因素,誤將機敏個資、機密檔案公布於網路上。 三、資通安全管理部分: (一)即時通訊軟體(如Line等)使用應注意不得傳送公務敏感資料為原則。 (二)各公務機關使用資通訊產品原則:公務用資通訊產品(含軟體、硬體及服務)不得使用大陸廠牌,機關若因業務需求且無其他替代方案,仍需使用危害國家資通安全產品時,應具體敘明理由,並經機關資通安全長及其上級機 關資通安全長逐級核可,函報資通安全管理法主管機關(數位發展部)核定。 (三)知悉資通安全事件後,學校應於一小時內進行資通安全事件之通報;另資通安全事件有一般公務機密、敏感資訊(個人資料等)遭輕微洩漏或竄改,為第三級資通安全事件。 (四)機關應落實帳號權限與密碼管理原則,以避免資安事件發生。 四、附件國教署「113年資通安全業務宣導」。
觀看更多 -
2024/03/25
請全校同仁利用線上學習完成「資通安全通識教育訓練」3小時研習
依據「資通安全責任等級分級辦法附表七『資通安全責任等級D級之各機關應辦事項』」一般使用者及主管,每人每年接受三小時以上之資通安全通識教育訓練。請全校同仁利用實體研習或線上學習完成「資通安全通識教育訓練」3小時研習並將證書寄給資安人員彙整(請寄設備組信箱csvs305@csvs.chc.edu.tw)(資通安全責任等級分級辦法網址如下:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304 )
觀看更多 -
2024/03/11
[公告]學校使用資通系統或服務蒐集及使用個人資料注意事項、國立高級中等以下學校資安情傳遞及應變處理作業流程
[公文][公告]學校使用資通系統或服務蒐集及使用個人資料注意事項、國立高級中等以下學校資安情傳遞及應變處理作業流程詳如附件https://sites.google.com/email.nchu.edu.tw/g-form
觀看更多