110加強落實資通安全及個人資料保護相關規範

受文者：國立員林高級中學

發文日期：中華民國111年7月15日

發文字號：臺教國署秘字第1110089333號

教育部國民及學前教育署　函

主旨：請貴校(會)加強落實資通安全及個人資料保護相關規範，請查照。

說明：

一、近期接獲通知學校網站發生個資外洩之資安事件，爰請貴校（會）落實資通安全及個人資料管理相關規範如下：

(一)依據資通安全管理法之資通安全責任等級分級辦法，經行政院核定貴校（會）為C或D級，應辦理相應之資安應辦事項。

(二)考量國立高級中等以下學校（以下簡稱學校）因人力、物力不足，經教育部向行政院爭取，基於五大核心資通系統向上集中之前提，得報請行政院核定為D級。貴校（會）應加強配合五大核心資通系統向上集中作業，提升整體資通安全防護能量。

(三)重申教育部110年6月29日臺教資(四)字第1100085899A號函，因教育體系近期發生多起因管理不當導致重大資通安全事件，請貴校（會）加強檢核自身資通安全防護及相關措施如下：

１、貴校（會）因管理不當導致發生資通安全事件，本署將以不遮蔽學校名稱方式作為教育體系內部案例宣導。

２、針對發生重大資通安全事件之學校，本署將辦理或配合教育部資安專案實地稽核，未落實稽核缺失改善者，將循相關機制予以懲處。

(四)依教育部110年9月8日臺教資(四)字第1100122001號函，貴校（會）使用雲端資通服務(如Google表單等)蒐集個人資料時，可能因設定不當而增加個資外洩及資安風險，請貴校（會）使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者，應注意資通系統或服務蒐集及使用個人資料之注意事項，以「最小化」為原則，並請貴校（會）建置公告、資料收集審查機制，避免因系統設定錯誤或人為因素，誤將機敏個資、機密檔案公布於網路上。

(五)貴校（會）如發生資通安全事件，應依資安法規範辦理資安通報。

(六)請貴校（會）全體同仁踴躍參加資安及個資相關教育訓練，加強資安及個資保護意識。

二、檢送「110年教育體系重大資安事件相關根因分析及建議措施」、「教育體系資安事件案例宣導」及「資安事件通報流程說明」各1份。