壹、 資訊安全責任等級分級：

• 一、 機關學校應參考「資訊安全責任等級分級」及本部相關規定，執行相關資訊安全管理工作，各縣(市)政府應協助所轄中小學行資訊安全工作。

• 二、 依據行政院於94年7月21日核定「政府機關（構）資訊安全責任等級分級作業施行計畫」，各資訊安全責任等級分級應執行工作項目如下：

等級 內容 作業

防 禦

機 制

強 度

防 護

縱 深

ISMS推動作業

稽核

方式

資安教育訓練(主官,主管,技術,一般)

專業

證照

A級

強度

等級4

NSOC/SOC、

IDS、防火牆

防毒

96年通過第三者認証

每年至少執行二次內稽

(4,6,18,4小時)/每年

96年資安專業鑑定證照二張

B級

強度

等級3

SOC(OP)

IDS、防火牆

防毒

97年通過第三者認証

每年至少執行一次內稽

(4,6,18,4小時)/每年

96年資安專業鑑定證照 一張

C級

強度

等級2

IDS,

防火牆

防毒

各單位自行成立推動小組規劃作業

自我檢視

(2,6,12,4小時)/每年

資安專業訓練

D級

強度

等級1

防火牆

防毒

推動ISMS觀念宣導

自我檢視

(1,4,8,2 小時)/每年

資安專業訓練

行政院國家資通安全會報「學術機構分組」資訊安全責任分級包含本部所屬機關及各公私立學校區分如下：

A 級：教育部、台大醫院、成大醫院

B 級：大學、區域網路中心、縣(市)教育網路中心

C 級：學院、專科學校．部屬館所

D 級：高中職、國中小學

貳、 資通安全通報應變：

• 一、 需配合「國家資通安全緊急應變中心」建立緊急通報應變組織，各機關學校應建立資訊安全長(副首長以上)及2位資訊安全聯絡人，並列入行政業務交接項目。

• 二、 2位資訊安全聯絡人應於「國家資通安全應變網站」登入基本資料：

網址https://www.ncert.nat.gov.tw/ 電話：(02)2733-9922

名稱

姓 名

職 稱

電 話

行動電話

E-MAIL

第1聯絡人

第2聯絡人

• 三、 機關學校發現資安事件或接獲「國家資通安全會報」、本部等相關主管機關通知發生資安事件時，應於1小時內了解資安事件情形進行相關事件應變處理，最晚應於24小時內至「國家資通安全應變網站」進行資安事件通報，並於36小時內處理完成或完成損害控制後至進行結案通報。

• 四、 機關學校應配合「國家資通安全會報」及本部每年辦理資通安全攻防演練、通報演練、社交工程演練等相關演練作業。

參、 資訊安全防護：

一、 電腦網路使用安全注意事項：

• (一) 各機關學校應酌參「○○個人電腦使用注意事項(參考)」(如附件)，並考量網路環境狀況訂定合適之「電腦網路使用安全注意事項」並確實執行，以有效規範行政人員、教師、學生電腦網路使用安全。

• (二) 應建立網路使用安全稽核機制，並適當進行內部稽核或自我檢視。

二、 網路安全管理：

• (一) 應設置防火牆並適當阻絕外部對內之網路連線及通訊埠。

• (二) 應訂定「網路安全管理作業規範」、建立網路對外服務申辦作業及安全檢查。

• (三) 網路安全建立檢核機制，並適當進行安全檢核。

三、 電腦系統安全管理：

• (一) 應訂定「電腦設備安全管理作業規範」，以規範伺服主機及個人電腦作業系統建置安全，系統上線使用前應建立申辦作業及安全檢查。

• (二) 電腦設備作業系統及相關伺服軟體應適時更新軟體及進行漏洞修補。

• (三) 電腦設備作業系統應安裝防毒軟體並適時更新病毒資料庫。

• (四) 作業系統進行遠端維護時，應於加密管道進行，並管制維護來源IP。

• (五) 電腦系統應建立檢核機制，並適當進行安全檢核。

四、 應用軟體(網站)安全管理：

• (一) 應訂定「應用軟體安全管理作業規範」以規範應用軟體、資料庫、程式開發建置及使用安全，系統上線使用應建立申辦作業及安全檢查。

• (二) 應用程式所有輸入欄位應進行字元檢查，排除不必要特殊字元(如' "!$%^&*_|-><;等)以防止資料庫隱碼攻擊(SQL-injection)。

• (三) 應用程式進行遠端維護時，應於加密管道進行，並管制維護來源IP。

• (四) 應用軟體應建立檢核機制，並適當進行安全檢核。

肆、 相關文件說明：

• 一、 教育體系資訊安全管理制度(ISMS)規範：

• (一) 教育體系資訊安全管理制度規範網址：http://www.edu.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/fix.htm

• (二) 教育體系各機關適用對象如下：

1.「教育體系資通安全管理規範」第1群：適用教育部電算中心、部屬館所、縣(市)網中心及公私立大專院校。

• 2. 「教育體系資通安全管理規範」第2群：適用公私立高中職學校。

• 3. 「國中小學資通安全管理系統實施原則」：適用國中小學。

• (三) 教育體系資訊安全管理制度規範導入試作點範例─國立成功大學

http://www.edu.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/fix.htm

個人電腦使用注意事項(參考)

附件

備註：學校應依行政人員、教師、學生各別訂定合適之注意事項

• 1. 禁止使用未經授權之電腦軟體。

• 2. 請勿任意拆卸或加裝其他電腦設備。

• 3. 不可擅自更改系統環境設定。

• 4. 密碼至少每三個月更換一次，密碼長度應至少8碼。

• 5. 電腦設備不可任意架站或做私人、營利用途。

• 6. 電腦設備應隨時保持清潔，每週至少擦拭一次。

• 7. 電腦附近請勿放置茶水、飲料、細小文具用品等物品，以免造成電腦設備損壞。

• 8. 使用外來檔案，應先掃毒，請勿任意移除或關閉防毒軟體。

• 9. 下班時，應先行關機始得離去，電腦關機應依正常程序操作。

• 10. 本○(機關學校)同仁應配合進行軟體更新，修補漏洞，保持更新至最新狀態，勿自行關閉系統自動更新程式。

• 11. Internet Explorer等相關瀏覽器安全等級應設定為中級或更高，執行特殊程式如須降低安全性，請通知本中心進行安全檢查及管理。

• 12. 電子郵件軟體應關閉收信預覽功能，請勿任意開啟不明來源的電子郵件。

• 13. 電腦應使用螢幕保護程式，設定螢幕保護密碼，並將螢幕保護啟動時間設定為10分鐘以內。

• 14. 請勿開啟網路芳鄰分享目錄與檔案，並停用Guest帳號。

• 15. 請勿任意下載或安裝來路不明、有違反法令疑慮（如版權、智慧財產權等）或與本○業務無關的電腦軟體。

• 16. Microsoft Office軟體(包括Word、Excel、Powerpoint等)應將巨集安全性設定為高級或更高，執行特殊程式如須降低安全性，請通知本中心進行安全檢查及管理。

• 17. 禁止使用點對點互連(P2P)軟體及tunnel相關工具下載或提供分享檔案。

• 18. 禁止於上班時間使用即時訊息(如MSN、yahoo Message等) ，如業務必須使用，應提出申請，各單位主管應加強監督經許可同仁使用即時訊息情形。

• 19. 禁止於上班時間閱覽不當之網路(如暴力、色情、賭博、駭客、惡意網站、釣魚詐欺、傀儡網路等)及瀏覽非公務用途網站，以避免內部頻寬壅塞，各單位主管應加強監督同仁使用網路情形。

• 20. 禁止使用外部網頁式電子郵件(Webmail)，各單位主管應加強監督同仁使用電子郵件(Webmail)情形，以避免漏洞產生。

• 21. 禁止於上班時間透過網路資源進行與工作內容無關之串流媒體、MP3、圖片、檔案等網路上的傳輸，非上班時間(中午休息、下班後)的使用，亦不得影響單位內主要系統運作之效率。

• 22. 同仁上網行為需以不影響各主系統之網路效能為前提，若有資源上的衝突，將以本○主要系統為主。

• 23. 電腦內重要資料文件應定期備份，避免資料損毀。

• 24. 機密性敏感性檔案資料應進行實體隔離(與外部網路隔絕)。

• 25. 每年不定期進行內部稽核，同仁若查有上開違失事項，依本○獎懲要點規定議處。