跳到主要內容區塊
 

 

資通安全專區

首頁 > 行政組織 > 教務處 > 資通安全專區

資通安全專區

最新公告
法令規章
資安通報
表件下載
宣導網站
<p><span style="font-family:微軟正黑體;"><span style="font-size:1.375em;"><a href="https://isafeevent.moe.edu.tw/" target="_blank" title="全民資安素養自我評量(另開啟新視窗)"><strong>全民資安素養自我評量</strong></a></span></span></p>
<p><span style="font-family:微軟正黑體;"><span style="font-size:1.375em;"><a href="https://isafe.moe.edu.tw/" target="_blank" title="全民資安素養網(另開啟新視窗)"><strong>全民資安素養網</strong></a></span></span></p>
<p><span style="font-family:微軟正黑體;"><span style="font-size:1.375em;"><a href="https://i.win.org.tw/" target="_blank" title="iWIN網路內容防護機構(另開啟新視窗)"><strong>iWIN</strong><strong>網路內容防護機構</strong></a></span></span></p>
<p><span style="font-family:微軟正黑體;"><span style="font-size:1.375em;"><a href="https://rescue.tncvs.tn.edu.tw/" target="_blank" title="校園資通安全業務管理輔導團(另開啟新視窗)"><strong>校園資通安全業務管理輔導團</strong></a></span></span></p>
<p><span style="font-family:微軟正黑體;"><span style="font-size:1.375em;"><a href="https://iscb.nchu.edu.tw/" target="_blank" title="教育機構資安驗證中心(另開啟新視窗)"><strong>教育機構資安驗證中心</strong></a></span></span></p>
<p><span style="font-family:微軟正黑體;"><span style="font-size:1.375em;"><a href="https://info.cert.tanet.edu.tw/" target="_blank" title="教育機構資安通報平台(另開啟新視窗)"><strong>教育機構資安通報平台</strong></a></span></span></p>
<p><span style="font-family:微軟正黑體;"><span style="font-size:1.375em;"><a href="https://cert.tanet.edu.tw/" target="_blank" title="台灣學術網路危機處理中心(另開啟新視窗)"><strong>台灣學術網路危機處理中心</strong></a></span></span></p>
<p><span style="font-family:微軟正黑體;"><span style="font-size:1.375em;"><a href="https://www.nccst.nat.gov.tw/" target="_blank" title="行政院國家資通安全會報技術服務中心 (另開啟新視窗)"><strong>行政院國家資通安全會報技術服務中心</strong></a></span></span></p>
<p><span style="font-family:微軟正黑體;"><span style="font-size:1.375em;"><a href="https://nicst.ey.gov.tw/" target="_blank" title="行政院國家資通安全會報(另開啟新視窗)"><strong>行政院國家資通安全會報</strong></a></span></span></p>
<p>&nbsp;</p>
重申各級學校使用資通系統或服務蒐集及使用個人資料注意事項,請查照。 [ 2024-11-15 ]
說明:
一、依教育部113年11月7日臺教資通字第1130105433號函辦理。
二、鑒於學校使用媒體網路影音平臺(如Youtube等)上傳作業時,可能因權限管理不當導致學生權利受到侵害,請貴校使用媒體網路影音平臺請學生上傳作業者,應注意旨揭事項,做好帳號及權限之管理,降低風險。
三、綜上,為了維護學生的基本權益,貴校應加強宣導學生使用數位平臺之相關知能及素養,例如須注意隱私、分享等相關設定,降低資料非經當事人同意之使用行為風險;此外,教師使用數位平臺進行教學活動時,若課程所蒐集之學生作業或報告內含個資或隱私資訊者(如學生影音資料等),教師應妥為保管,並注意使用權限,於課程結束後,應做適當處置。
四、另提醒教職員工在處理個人資料時,應注意以下法規:
(一)依個人資料保護法第11條第3項「個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。」,當事人之影片應於作業批改完成後立即刪除並下架,並確保離線備份皆已刪除。
(二)依個人資料保護法第16條「公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。」,僅蒐集適當、相關且限於處理目的所必要之個人資料,處理及利用時,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
(三)依個人資料保護法第28條第1項「公務機關違反個人資料保護法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。」,應注意當事人影片或其他個人資料是否正當使用及留存,以避免違反個人資料保護法之規定。
教育部宣導有關公務機關資通安全事件之通報及應變事宜 [ 2024-04-10 ]
說明:
一、依「資通安全管理法」、「資通安全事件通報及應變辦法」及教育部113年3月28日臺教資通字第1130030659號函(附件1)辦理。
二、有關「資通安全管理法」第14條(略以),公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關。
三、有關「資通安全事件通報及應變辦法」第4條略以,公務機關知悉資通安全事件後,應於一小時內依主管機關指定之方式及對象,進行資通安全事件之通報。第6條略以,公務機關知悉資通安全事件後,應依規定時間完成損害控制或復原作業,並依主管機關指定之方式及對象辦理通知事宜,第一級或第二級資通安全事件,於知悉該事件後七十二小時內,第三級或第四級資通安全事件,於知悉該事件後三十六小時內。並於一個月內依主管機關指定之方式,送交調查、處理及改善報告。
重申機關使用即時通訊軟體注意事項 [ 2024-03-21 ]
說明:
一、依教育部109年9月25日臺教資(五)字第1090135390號函轉行政院資通安全處109年9月14日院臺護字第1090188336號書函辦理,即時通訊軟體使用應注意不得傳送公務敏感資料為原則。
二、為兼顧機關內使用即時通訊軟體之便利性與安全性及對外宣導工作之需要,現階段如國會聯絡、媒體公關事務、民眾宣導或推廣工作之一般公開資訊,若其敏感程度較低,可評估採商用即時通訊軟體,以利與外界介接並發揮預期效率。
三、至於機關內部資訊之傳遞與協調,於不涉機敏前提下,機關可依據資安風險自行評估即時通訊軟體之使用及管理配套作業,以發揮橫向即時溝通功能,並降低公務機密外洩之風險。
重申教育部「學校使用資通系統或服務蒐集及使用個人資料注意事項」、國教署「國立高級中等以下學校資安情傳遞及應變處理作業流程」 [ 2024-03-14 ]
說明:
一、依教育部113年2月21日臺教資通字第1130015530A號函辦理。
二、因近期本署所轄學校於網站公告時,未進行個資識別化動作即進行資料公告,造成個資外洩事件。請轉知學校人員在處理個資相關業務時,務必遵守個人資料保護法相關規定...
依111年7月15日臺教國署秘字第1110089333號來文,提醒加強落實資通安全及個人資料保護相關規範,請查照 [ 2022-07-15 ]
一、近期接獲通知學校網站發生個資外洩之資安事件,爰請貴校(會)落實資通安全及個人資料管理相關規範如下:
(一)依據資通安全管理法之資通安全責任等級分級辦法,經行政院核定貴校(會)為C或D級,應辦理相應之資安應辦事項。
(二)考量國立高級中等...
本校於7/25(一)8:30-12:30辦理111年度資通安全研習,敬請全校同仁務必參加。 [ 2022-07-14 ]
 
函轉行政院訂定「資通系統籌獲各階段資安強化措施」,自即日生效,試行一年,請查照 [ 2022-06-08 ]
一、依據教育部111年5月31日臺教資(五)字第1110053682號函轉行政院111年5月26日院臺護字第1110174630號函辦理。
二、旨揭措施自即日起試行1年,期滿由資通安全管理法主管機關瞭解執行狀況,俾供後續檢討評估。
三、檢送...
函轉科技部「2022 GiCS 第2屆尋找資安女婕思」活動資訊,請轉知並鼓勵學校女性學生踴躍報名參加 [ 2022-03-01 ]
一、依科技部111年3月10日科部前字第1110013898號函辦理。
二、科技部為推動資安向下扎根,啟發女學生對資安的興趣,並鼓勵女性投入科技領域,與行政院科技會報辦公室及本部共同舉辦旨揭活動。
三、本活動主題分為「資安闖天關」及「創意發...
本校110年度資通安全政策文件已於110年8月17日行政會議修正、110年10月26日資訊安全管理審查會議通過,相關更新文件請於法令規章區參閱。 [ 2021-10-26 ]
本校110年度資通安全政策文件已於110年8月17日行政會議修正、110年10月26日資訊安全管理審查會議通過,相關更新文件請於法令規章區參閱。
漏洞警訊公告:【更新建議措施】微軟Windows之MSHTML引擎存在安全漏洞(CVE-2021-40444),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新 [ 2021-10-01 ]
內容說明:

研究人員發現微軟Windows內之瀏覽器排版引擎MSHTML存在安全漏洞(CVE-2021-40444),MSHTML用於微軟瀏覽器與Office應用程式中,攻擊者可誘騙使用者開啟含有惡意ActiveX之Office文件,進而...
教育部辦理「全民資安素養自我評量」活動訊息,歡迎師生踴躍參加。 [ 2021-10-01 ]
一、依據教育部110年9月11日臺教資(三)字第1100123581號函辦理。
二、十二年國民基本教育課綱科技領域已將「資訊科技」列為國、高中之授課時數/必修科目,小學階段則採課程融入方式進行,並可將資訊教育相關內容以主題/專題/議題方式安...
轉知「110年第1次政府資通安全防護巡 迴研討會」數位課程 [ 2021-09-07 ]
一、為協助機關同仁了解最新資安防護重點與訊息,新製「110
年第1次政府資通安全防護巡迴研討會」數位課程(說明詳
附件),並於行政院人事行政總處公務人力發展中心「e等
公務園+學習平臺」(https://elearn.hrd.gov.tw/...
本網站將於110年7月14日起停用TLS 1.1(含)以下之傳輸加密協定 [ 2021-07-14 ]

本網站將於110年7月14日起停用TLS 1.1(含)以下之傳輸加密協定

 

TLS是傳輸層安全協議(Transport Layer Security)的縮寫,當您瀏覽本網站時,依靠它提供資料加密和完整性保護,由於TLS 1.0及TLS ...
臺教國署秘字第1100081015號來文,有關教育體系近期發生多起重大資通安全事件,導致個資 外洩及機關名譽之損害,為降低資安風險,本校相關規定敬請同仁注意參閱。 [ 2021-07-08 ]

項次

重大資安事件
相關根因

建議措施

本校相關規定

1

弱密碼及身分驗證缺失

  • 案例:本部某機關委託某大學辦理X系統,X系統管理人員使用弱密碼,該弱點遭利用致管理人員帳號遭未授權登入,洩漏多筆個人資料。

一、依資通安全責任等級分級辦法第11條規定(附表十資通系統防護基準),資通系統應依其防護需求等級,落實身分驗證管理措施內容之相關要求。

二、資通系統使用密碼進行驗證時,應強制最低密碼複雜度。密碼複雜度規範對象,應包含所有具管理權限之帳號。密碼複雜度檢查程序,應被納入所有密碼變更功能。

三、機關宜訂定密碼複雜度共通規範,如禁止使用與帳號名稱相同、身分證字號、學校/機關代碼、易猜測之弱密碼或其他公開資訊等

四、弱密碼及身分驗證缺失問題,建議納入機關安全性檢測項目。

五、針對管理人員因設置弱密碼導致資通安全事件,建議評估予以懲處。

請見B-008存取控制管理程序書 5.2帳號密碼管理

2

未落實安全軟體發展生命週期相關要求(SSDLC

  • 案例A:某學術單位未落實SSDLC相關要求,忘記密碼功能具有未發現之安全邏輯漏洞,致帳號遭未授權登入,洩漏多筆個人資料。
  • 案例B:某大學X系統因應疫情變化緊急上線,未經適當安全性測試程序,存在安全弱點致個資可被他人不當存取。

一、依資通安全責任等級分級辦法第11條規定(附表十資通系統防護基準),資通系統應依其防護需求等級,落實系統與服務獲得構面之相關要求,針對資通系統發展生命週期各階段,完成各項安全要求。如委外辦理,應將相關安全需求明定於委外契約。

二、資通系統於上線前之測試階段,應進行弱點掃描安全檢測,並進行中、高風險弱點修補。如因應業務需求緊急上線,仍應保留安全性測試所需時間,避免因重大安全漏洞導致機關嚴重損失。

三、應針對系統重要功能建立安全檢核機制,如忘記密碼功能,並於測試階段完成安全測試。

本校網站已向上集中完畢,並配合成大進行弱點掃描,最新弱掃日期為110.06.08,陸續進行中風險弱點修補

3

重要資料庫未最小授權

  • 案例:某大學重要資料庫提供系統介接功能,惟介接作業未確保最小授權,X系統防護等級較低但具備介接完整資料表權限,致系統被入侵後即取得高權限,洩漏多筆個人資料。

一、依資通安全責任等級分級辦法第11條規定(附表十資通系統防護基準),資通系統存取控制應採最小權限原則。

二、機關應建立系統介接作業之權限審核機制。重要資料庫應以最小權限原則進行存取授權,依介接系統之業務功能,提供所需資料表及資料欄位。

請見B-008存取控制管理程序書

4

人員未經適當資安教育訓練或資安職能不足

  • 案例:某學校人員個資保護意識不足,將具敏感資訊之個人資料張貼於公開網路。

一、依資通安全責任等級分級辦法第11條規定(附表一至八機關應辦事項),機關、學校人員應依所屬人員類型(一般使用者及主管、資通安全專職人員、資通安全專職人員以外之資訊人員)完成對應之資通安全教育訓練法定時數要求。

二、各單位主管應積極督促所轄人員完成資通安全教育訓練,建議由專責單位(如人事單位)定期追蹤管考以確保成效。

本校同仁已陸續完成3小時資安研習

5

學校資安規範適用範圍未包含重要資通系統

  • 案例:某大學負責管理重要資通系統之單位,未納入學校資訊安全管理制度(ISMS)適用範圍,相關系統開發測試流程未有適當規範遵循,因管理不當導致資安事件。

一、依資通安全管理法第10條規定,公務機關應訂定資通安全維護計畫,內容包括資訊及資通系統之盤點、資通安全風險評估、資通安全防護及控制措施等項目。

二、學校資通系統之盤點,應包含行政單位、教學研究單位自行或委外開發之資通系統。學校資通安全防護及控制措施相關規範,即應涵蓋全校前揭資通系統,並依風險評估結果針對重要資通系統予以適當保護。

本校已針對資通系統進行相關盤點,並定期更新於本校資通安全管理計畫

 

 
請同仁於110年8月31日完成資通安全線上研習,提供教育機構資安驗證中心辦理之資通安全線上研習供同仁選擇。 [ 2021-07-08 ]

110年資訊安全線上研習課程

一、依據本校資訊安全維護計畫,為增進全校教職員的資安意識,本校一般使用者及主管每人每年需取得3小時以上資訊安全教育訓練時數
二、為協助同仁順利取得110年資訊安全線上研習時數,推薦以下線上平台的資安課程
三...
轉達國教署資通安全管理法暨個人資料保護法等相關規定,請 依說明二辦理 [ 2021-04-19 ]
一、依據資通安全管理法暨個人資料保護法等相關規定辦理。
二、邇來時有學校網站遭查獲不當公開個人資料且為任意人可
透過網際網路搜尋並下載等違反前開規定之情事,為機先
防範類此事件發生,請貴校全面檢視下列事項:
(一)公告資料已逾公告期限者,應...
請同仁於110年8月31日完成資通安全線上研習。 [ 2021-03-26 ]

110年資訊安全線上研習課程

一、依據本校資訊安全維護計畫,為增進全校教職員的資安意識,本校一般使用者及主管每人每年需取得3小時以上資訊安全教育訓練時數
二、為協助同仁順利取得110年資訊安全線上研習時數,推薦以下線上平台的資安課程
三...