外來文件
(利害關係人關注)

依據行政院資通安全處109年9月14日院臺護字第1090188336號函，機關新進人員儘速了解基本資安認知，行政院資通安全處訂定「新進人員資安宣導單」，參考納入新進同仁報到程序，並確認同仁確實接收相關訊息。

依據行政院秘書長109年7月21日院臺護字第1090094901A號函，為避免公務及機敏資料遭不當竊取，應落實辦理公務機關個人電腦非經核准，不可安裝非公務用軟體。

依據行政院資通安全處108年7月18日院臺護字第1080182934號，提醒機關應檢視使用公有雲之必要性，有使用需求應備妥平時資安告警機制及事件緊急應變作為。依據教育部110年9月8日臺教資(四)字第1100122001號， 使用雲端服務蒐集個人資料應注意個資外洩資安風險。

依據行政院資通安全處108年7月18日院臺護字第1080182934號，提醒有多起利用社交工程郵件夾帶微軟Office文件並開啟巨集功能下載惡意程式之攻擊手法，請預設關閉微軟Office文件巨集功能，避免遭有心人士利用進行攻擊。

依據行政院秘書長109年7月21日院臺護字第1090094901A號函，為避免公務及機敏資料遭不當竊取，可於招標文件明定限制大陸地區之財物或勞務參與。依據行政院秘書長109年12月18日院臺護長字第1090201804A號函，要求110年底前完成汰換所使用或採購大陸廠牌資通訊產品(含軟體、硬體及服務)，其中服務契約範圍所涉及的人員國籍是否為陸籍、所使用的服務是否為大陸所有亦須注意，並配合擴大盤點範圍為全機關，包含委外廠商及其分包廠商。行政院秘書長110年7月13日院臺護長字第1100177483號函重申盤點及汰換大陸廠牌資通訊產品相關注意事項，110年9月23日院臺護長字第1100186822號函提醒「在臺陸資廠商」注意事項。

依據行政院秘書長110年7月13日院臺護長字第1100177483號函，要求各機關資通訊相關採購案，應參考公共工程委員會「投標須知範本」及「資訊服務採購契約範本」，落實「資訊服務採購案之資安檢核事項」相關要求。更進一步執行細節再參考行政院資通安全處111年5月26日院臺護字第1110174630號函，「資通系統籌獲需求、建置、維運各階段資安強化措施」。

依據行政院資通安全處108年7月18日院臺護字第1080182934號，要求對於重要資通訊設備及系統皆應啟動存取稽核紀錄，並妥善留存以利事後查核。依據教育部110年9月22日臺教資(四)字第1100128345號函，落實資通系統及資訊之盤點，並進行應有資通安全防護及控制措施(密碼複雜度、網路存取限制、漏洞修補)。盤點應包含物聯網設備(如網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等)，盤點清單應檢核不得使用弱密碼、廠商預設密碼，並符合規範之密碼複雜度要求，以及設定適當網路存取限制。

依據行政院資通安全處110年1月14日院臺護字第1100160761號函，資通訊系統經機關評定為「高」等級之系統防護需求者，應依「資通安全責任等級分級辦法」規定，其靜置資訊及相關具保護需求之機密資訊應加密儲存。如發現機敏資訊有遭洩漏外洩情形，應依「資通安全事件通報及應變辦法」進行通報，並依限完成事件損害控制、復原、調查及改善。個人資料如有被竊取、洩漏、竄改或其他侵害者，應依「個人資料保護法」規定，於查明後以適當方式通知當事人。

依據行政院資通安全處110年3月2日院臺護字第1100165761號函，各機關開放機關內部同仁及委外廠商進行遠端維護資通系統，應採「原則禁止、例外允許」方式辦理，若機關因地理限制、處理時效及專案特性等因素，須開放前揭人員自遠端存取資通系統時，應至少辦理下列防護措施：(一)依資通安全管理法施行細則第4條及資通安全責任等級分級辦法附表十中有關遠端存取相關規定辦理，並建立及落實管理機制。(二)開放遠端存取期間原則以短天期為限，並建立異常行為管理機制。(三)於結束遠端存取期間後，應確實關閉網路連線，並更換遠端存取通道(如VPN)登入密碼。

依據教育部110年6月18日臺教資(四)字第1100068264C號函，執行教育部委外辦理或補助建置維運伺服器主機及應用系統網站者，遵守「教育部委外辦理或補助建置維運伺服器主機及應用系統網站資通安全及個人資料保護管理要點」規定。
除了遵守管理要點事項，並且應落實「教育部委外專案個人資料保護條款」、「保密合約書」、「保密同意書」、「資通系統安全等級評估表」、「教育部委外專案契約終止或解除資料確認刪除銷毀及載體返還移轉切結書」之相關規定。

依據教育部110年6月29日臺教資(四)字第1100085899號函，基於多起因管理不當導致重大資通安全事件進行相關根因分析，包含「弱密碼及身分驗證缺失」、「未落實安全軟體發展生命週期(SSDLC)相關要求」、「重要資料庫未最小授權」、「人員未經適當資安教育訓練」、「學校資安規範適用範圍未包含重要資通系統」，應加強相關措施。
如因管理不當導致資通安全事件，教育部將以不遮蔽方式做成宣導案例，也將列入專案實地稽核，並循相關機制提報懲處。