資安專章
高等教育深耕計畫「永續校園資安治理」與「資安強化專章」
一、說明
為全面強化本校的資通安全防護能力,提升校園資通安全管理能力,並確保校務運作穩定與符合「資通安全管理法」之規範,本校依據四大面向推動資通安全工作,涵蓋全校導入資訊安全管理系統(ISMS)、強化學校人員資通安全認知與訓練、確保資通系統管理量能,以及落實管理危害國家資通安全產品。
1. 全校導入資訊安全管理系統 (ISMS)
1.1 資通安全長之配置與參與
本校設置資安長,由校長親自擔任,全程參與資安政策制定及執行推動,審核全校資安策略與目標,審閱並批示重要資安計畫執行狀況,實際參與及主持資安會議,並於會議中向校內利害關係人報告資安現況,確保資安推動的全校一致性與高層支持。
1.2 資通安全推動組織
本校資通安全推動組織為「資訊發展暨資訊安全委員會」,由資安長(校長)擔任召集人,委員會委員由全校一級單位主管組成,涵蓋17個院系、12個行政單位,出席率皆高達8、9成,針對八大議題進行審查與改進報告(如風險評估、IoT管控、委外資安管控),並完成利害關係人回應與處置作業,確保所有部門資安行動一致。
1.3 資通系統及資訊之盤點
全面建立並更新全校資訊資產清冊,並於113年完成全校資訊資產盤點,IoT設備安全管控涵蓋率達100%,系統盤點結果每學期更新一次,以確保最新資產變動納入管理範疇。
1.4 資通安全風險管理
113年完成全校資通安全風險評估,識別出風險,並已針對風險項目執行風險緩解計畫,降低系統風險30%,目前皆為低風險。本校所有電腦皆部署最新防毒軟體,112年再建置高可用性(HA)防火牆及入侵偵測系統(IPS),並於核心系統實施防毒、防火牆等多層防護,確保攻擊抵禦能力提升。113年再導入弱點掃描與滲透測試系統,完成所有核心系統的主機弱掃及網站滲透測試,修補率達98%。
1.5 內部稽核
修訂內控制度,將ISMS資安及個資稽核項目納入全校年度稽核計畫,學校稽核小組納編資安稽核人員,對全校各單位做資安及個資稽核。預計於114年度內完成全校各單位內部稽核作業。
1.6 委外廠商之控管
所有新簽及續約的相關委外招標案(採購規格書、契約書及租賃合約)均納入資安規範要求,並舉辦委外廠商及承辦人資安教育訓練,確保外部作業流程符合本校資安要求,並強化外部合作的資安意識與執行成效。
1.7 業務持續運作演練
每年舉行全校核心系統業務持續運作(BCP)演練1次,抽查各單位業務持續運作演練1次,演練包含完整的CIA情境測試及資料異地備份與回復測試,模擬資安事件的處理,提升應變效率至95%。所有核心系統成功回復時間縮短至平均2小時內。資料回復成功率達99%。
1.8 管理系統 (ISMS) 適用範圍
本校電算中心於109年通過教育體系資通安全管理規範(ISMS)認證,效期至112年,配合「資通安全管理法」適用範圍已擴大至全校,以全校為範圍,涵蓋率已達100%。 並制定年度資安目標與完成量測,資安符合率達95%,展現整體資安管理效益。
2. 強化學校人員資通安全認知與訓練
2.1 提升教職員資安意識
為提升本校資通安全專責人員與資訊人員資安職能,派員參加iPAS初級資安工程師培訓、iPAS中級資安工程師、ISO27001-2022主導稽核員培訓課程,目前本校資通安全專責人員與資訊人員共計持有6張iPAS初級資安工程師證照、1張iPAS中級資安工程師證照、3張ISO27001-2022主導稽核員證照。而全校一般教職員(含新進人員)與主管的資通安全認知與訓練,則透過每年8月舉辦的行政研習安排至少3小時以上資通安全教育訓練。另外,針對無法出席參加資通安全教育訓練的教職員或新進人員,也在本校線上學習平台-德明E學院,建置資通安全教育訓練線上課程,讓教職員隨時能充實新的資安知識。目前全校教職員每年資通安全教育訓練完成率達86%,資安測驗通過率達90%。此外,每年配合教育部實施2次社交工程演練(目前本校被誘騙率為0%),並舉辦資安事件通報流程演練1次,確保熟悉通報與應變程序。
2.2 提升系統開發及維護人員資安專業
系統開發過程逐步採用SSDLC標準,所有維護系統符合資通系統防護基準,並逐步完成開發專案的安全控管文件檢查,確保資安措施落實到位。113年安排系統開發維護人員完成「SSDLC各階段資安作業」專業課程,可有效減少程式漏洞。
3. 確保資通系統管理量能
3.1 資通系統集中化
本校於108年就開始執行資通系統集中化管理,透過超融合虛擬主機系統完成伺服器虛擬化與集中化管理,目前已將全校主要資通系統集中至電算中心所屬相關機房內管理,並透過虛擬化系統統一監控與資源管理,集中化執行率100%,降低維運成本20%,並提升系統可用性至99.5%。除此之外,亦清查校務行政閒置系統進行整併,並針對全校性共通軟硬體資通系統,如列印系統、教學系統與網路系統等,均由電算中心訂定統一規格與統一作業方式,以達到統一管理與降低資通系統數量的目的。在系統維護作業方面,採用「原則禁止例外允許」方式進行遠端維護管理,資訊系統設置日誌保留策略,記錄保存時間達6個月以上,並定期審查確保合規性。
4. 落實管理危害國家資通安全產品
4.1 禁止公務使用大陸廠牌資通產品
本校配合政策禁止採購使用大陸廠牌資通產品(含軟體、硬體及服務),並於112年完成現有大陸廠牌產品的清查與造冊管理,已清查列管者將依使用年限汰換。在宣導與執行方面,除在採購規格書中明訂「禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務)」外,相關會議持續宣導外,同時舉辦教育訓練,涵蓋全校相關人員,確保政策落實。
4.2 限制出租場域使用大陸廠牌資通訊產品
本校針對出租場域,於學校委外契約或場地租借使用規定,皆已明訂不得使用危害國家資安之產品(如大陸廠牌軟體、硬體及服務)。合約合規率達100%。
透過上述四大面向的推動與相關措施,本校逐步提升資安管理的完整性及實效性,資安管理成效與資通安全防護能力顯著提升。包括:資安事件數量下降80%。核心系統的可用性提升至99.5%。未來將持續完善資安治理架構,實現「安全、穩定、高效」的校園環境。
二、規劃
1. 全面深化資訊安全管理系統 (ISMS)
1.1推動策略與執行規畫:
- 每年進行全校性的ISMS內部稽核,針對系統適用範圍進行動態調整,涵蓋新設業務與系統。
- 強化IoT設備安全防控,實施網域隔離與連線行為監控,提升異常行為偵測準確度。
- 持續優化資安目標,將核心系統的可用性目標維持至99.5%,縮短資安事件回應時間至1小時內。
1.2預期效益與績效指標:
- 全校ISMS範圍涵蓋率穩定維持100%。
- 年度內重大資安事件發生率控制在1件內。
2. 增強人員資安認知與技能培訓
2.1推動策略與執行規畫:
- 每年舉辦全校性資安教育訓練至少1場次,覆蓋率達全校教職員90%,並針對新進人員設立專屬訓練課程。
- 實施定期的社交工程攻擊演練,每年至少1次。
- 為資訊及資安人員導入進階資安技能認證課程。
2.2預期效益與績效指標:
- 教職員資安認知測驗通過率維持90%以上。
- 資安事件通報與應變效率提升至90%以上即時處理。
3. 提升資通系統與基礎設施的防護能力
3.1推動策略與執行規畫:
- 持續推動重要系統的安全分級管理,對高風險系統強化帳密管理,實現精細化權限控管。
- 確保資安防護設備的佈署與運作,包括新一代防火牆(NGFW)、入侵偵測系統,提升異常行為辨識能力。
- 確保所有核心系統的日誌記錄至少保留6個月,並定期進行分析以防範潛在威脅。
3.2預期效益與績效指標:
- 核心系統的入侵偵測精準度提高20%。
- 系統中斷次數減少50%。
- 防護系統對新型威脅的應對能力達到業界平均水平以上。
4. 強化外部協作及第三方控管
4.1推動策略與執行規畫:
- 定期對委外廠商進行資安審查與教育訓練。
- 強化場地租借合約條款,落實對外部承租者的資安規範要求,並定期審查執行情況。
4.2預期效益與績效指標:
- 委外廠商符合資安規範率達80%。
- 校園資安事件因外部攻擊引發的概率降低10%。
5. 落實危害國家資通安全產品的管控
5.1推動策略與執行規畫:
- 持續更新校內既有不符合規範設備清冊,確保淘汰或更新進度。
- 增加教育訓練的場次,提升全校師生對危害性產品的辨識能力與意識。
- 對出租場域進行定期巡查,確保相關規範確實執行。
5.2預期效益與績效指標:
- 全校無不合規資通產品的使用情形。
- 出租場域規範執行率達100%。
- 師生對危害性產品的認知度提升至90%以上。
資安強化推動指標
| 1.全校導入資訊安全管理系統(ISMS) |
| 1.1資通安全長之參與 1.2資通安全推動組織 1.3資通系統及資訊之盤點 1.4資通安全風險管理 1.5內部稽核 1.6委外資安要求 1.7業務持續運作演練 1.8資訊安全管理系統(ISMS)適用範圍 |
| 2.強化學校人員資通安全認知與訓練 |
| 2.1提升教職員資安意識 2.2提升系統開發人員資安專業 |
| 3.確保資通系統管理量能 |
| 3.1資通系統集中化管理 |
| 4.落實管理危害國家資通安全產品 |
| 4.1禁止公務使用大陸廠牌資通訊產品 4.2限制出租場域使用大陸廠牌資通訊產品 |
各項活動
| 資通安全長召開資訊發展暨資訊安全委員會會議 | |
|---|---|
 |
 |
| 行政同仁資安研習 | |
|---|---|
 |
 |
| 教師同仁資安研習 | |
|---|---|
 |
 |
| 風險評鑑教育訓練 | |
|---|---|
 |
 |
| 資訊股長教育訓練 | |
|---|---|
 |
 |
| 資安宣導海報 | |
|---|---|
 |
 |
 |
