教育部与所属机关构及学校资通安全责任等级分级作业规定Word格式文档下载.docx

教育部与所属机关构及学校资通安全责任等级分级作业规定Word格式文档下载.docx

《教育部与所属机关构及学校资通安全责任等级分级作业规定Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《教育部与所属机关构及学校资通安全责任等级分级作业规定Word格式文档下载.docx（13页珍藏版）》请在冰豆网上搜索。

四、分級原則

（一）依行政院函頒之政府機關（構）資通安全責任等級分級作業規定，資通安全責任等級區分為A級、B級、C級等三級。

（二）A級機關（構）及學校：

1.本部、臺灣大學醫學院附設醫院、成功大學醫學院附設醫院、國立陽明大學附設醫院。

2.承接具國家安全機密性或敏感性業務或技術研究之學院或系所，其研究領域如下：

（1）涉及國家安全資訊、國家機密資訊之領域：

國土調查資訊。

水域調查資訊。

災害防救資訊。

大陸及外交情資。

軍事計畫、軍事行動資訊。

（2）涉及國家安全技術、國家機密技術領域：

國防科技、軍事武器及元件製造技術。

航太關鍵技術。

衛星遙測關鍵技術。

核子工程技術。

資通安全、光電、IC、資通訊及精密機械等自主研發或關鍵技術。

關鍵材料之製造技術。

能源科技之關鍵技術。

農業品種改良、栽培及繁養殖之關鍵技術。

醫學、藥學及生物科技之關鍵技術。

3.辦理大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構（詳如附表一）。

（三）B級機關（構）及學校：

1.本部所屬機關。

2.本部所屬機構。

3.辦理專科學校、十二年國教入學考試、甄選、招生工作等輪流辦理之試務機構與學校（詳如附表二）、各項評鑑工作之評鑑機構。

4.臺灣學術網路各區域網路中心。

5.各直轄巿及縣（巿）教育網路中心。

6.各公私立大學。

7.大學附設醫院之區域分院及地區醫院。

（四）C級學校：

1.第一類：

各公私立專科學校、各公私立學院。

2.第二類：

各公私立高級中等學校、各公私立國民中學、各公私立國民小學。

五、資訊安全管理及防護具體作法

（一）A級機關（構）及學校具體作法如下：

1.資訊系統分類分級：

（1）參考行政院國家資通安全會報頒訂之資訊系統分類分級與鑑別機制參考手冊，對核心業務應用資訊系統就機密性、完整性、可用性及法律遵循性等影意構面，進行分類、鑑別及分級，建立相對應之防護基準：

初期以新建或改版完成之資訊系統為主，採行適當之安全控制措施，後續再推動至各機關（構）及學校全部資訊系統，以確保資訊系統之安全防護水準。

如已通過資訊安全管理驗證（例如：

ISO/IEC27001、CNS27001教育機構資安認證等），準用已採行之風險評鑑方法，轉換為本機制之普、中、高三個安全等級。

（2）承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構，亦應對承接之試務作業相關資訊系統進行分類、鑑別及分級。

2.資訊安全管理制度（ISMS）推動作業：

（1）導入資訊安全管理制度（ISMS），對機關核心業務應用資訊系統（全部）進行資安風險評鑑、管控等作業，並通過第三方驗證。

（2）承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構，亦應導入資訊安全管理制度，將試務相關資訊系統，納入核心業務應用資訊系統，進行資安風險評鑑、管控等作業，並通過第三方驗證或教育機構資安認證。

3.資安專責人力：

（1）應指派二員具資安專業能力人員，專責執行資訊安全管理相關業務。

（2）承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構，亦須指派人員，對試務相關資訊系統進行資訊安全管理作業。

4.稽核方式：

（1）每年至少辦理二次內部資訊安全稽核作業。

（2）承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構，應於辦理試務前，對試務相關資訊系統及作業進行內部資訊安全稽核作業。

5.業務持續運作演練：

（1）各項核心業務應用資訊系統依實務需要訂定業務持續運作計畫。

（2）每年至少辦理一次核心業務應用資訊系統業務持續運作演練。

（3）承辦大學、技專校院及高級中等學校入學考試、甄選、招生等工作之常設試務機構，對核心試務業務訂定業務持續作計畫，並於辦理試務前進行演練。

6.縱深防護：

（1）對資訊網路環境建立縱深防護架構，包括下列防禦裝置及系統：

防毒、防火牆、郵件過濾裝置。

IDS/IPS、Web應用程式防火牆。

APT攻擊防禦設備或系統。

（2）承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構，應將試務相關資訊系統納入學校整體網路環境之資安縱深防護架構中。

7.監控管理：

結合臺灣學術網路資安監控系統（北區SOC、南區SOC、Mini-SOC、TACERT）或本部資安監控系統機制，進行資安預警情資、事件通報及應變處置。

8.安全性檢測：

（1）每年至少辦理二次安全弱點檢測作業，視資源能力優先選擇核心業務資訊系統（網站），並對弱點進行修復作業。

（2）每年至少辦理一次滲透測試作業，視資源能力優先選擇核心業務資訊系統，並依測試結果強化網路及系統資安防禦能力。

（3）每年對重要核心資訊網路、設備及系統，至少辦理一次資安健診作業，實施網路架構檢視、有線網路惡意活動檢視、使用者端電腦檢視、伺服主機檢視及安全設定檢視等，並依檢測結果進行修復、調整作業。

（4）承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構，應於辦理試務作業前對資訊網路環境、設備及資訊系統實施資安健診及網站安全弱點檢測作業，並依檢測結果進行修復、調整作業。

9.資安教育訓練：

（1）資安人員或資訊人員應至少二員接受十二小時資安專業課程訓練（包括行政院、教育部、各級教學機構、各區網中心及各直轄巿及縣（巿）教育網路中心等辦理之資安課程、訓練、講習等），並獲得研習證明，以增進資安專業知識與能力。

（2）一般使用者及主管至少須接受三小時資安宣導課程（包括機關自辦資安宣導講習、上級機關辦理之資安宣導課程），並通過課程評量，以提升資安防護認知。

10.專業證照：

每年至少維持二張資安專業證照。

11.承接具國家安全機密性或敏感性業務或技術研究之學校（或系所），對承接之研究相關資訊系統，應依照各委託機關（如國家安全局或國防部等）之資安規定辦理。

（二）B級機關（構）及學校具體作法如下：

初期以新建或改版完成之資訊系統為主，採行適當之安全控制措施，後續再推動至各機關全部資訊系統，以確保資訊系統之安全防護水準。

（2）辦理專科學校及十二年國教入學考試、甄選、招生等工作之試務機構與學校，亦應對承接之試務作業相關資訊系統進行分類、鑑別及分級。

2.ISMS推動作業：

（1）導入資訊安全管理制度（ISMS），對機關核心業務之應用資訊系統（至少二項）進行資安風險評鑑、管控等作業，並通過第三方驗證或教育機構資安認證。

（2）辦理專科學校及十二年國教入學考試、甄選、招生等工作之試務機構與學校，亦應導入資訊安全管理制度，將試務相關資訊系統，納入核心業務應用資訊系統，進行資安風險評鑑、管控等作業，並通過第三方驗證或教育機構資安認證。

（1）應指派一員具資安專業能力人員，專責執行資訊安全管理相關業務。

（2）辦理專科學校及十二年國教入學考試、甄選、招生等工作之試務機構與學校，應指派人員，對試務相關資訊系統進行資訊安全管理作業。

（1）每年至少辦理一次內部資訊安全稽核作業。

（2）辦理專科學校及十二年國教入學考試、甄選、招生等工作之試務機構與學校，應於辦理試務前，對試務相關資訊系統及作業進行內部資訊安全稽核作業。

（2）每二年至少辦理一次核心業務應用資訊系統業務持續運作演練。

（3）辦理專科學校、十二年國教入學考試、甄選、招生等工作之試務機構與學校，對核心試務業務訂定業務持續作計畫，並於辦理試務前進行演練。

對資訊網路環境建立縱深防禦架構，包括下列防禦裝置及系統：

（1）防毒、防火牆、郵件過濾裝置。

（2）IDS/IPS、Web應用程式防火牆（針對對外服務之核心業務應用系統或網站）。

（3）辦理專科學校及十二年國教入學考試、甄選、招生等工作之試務機構與學校，應將試務相關資訊系統納入學校整體網路環境之資安縱深防護架構中。

（1）每年至少辦理一次安全弱點檢測作業，視資源能力優先選擇核心業務資訊系統（網站），並對弱點進行修復作業。

（2）每二年至少辦理一次滲透測試作業，視資源能力優先選擇核心業務資訊系統，並依測試結果強化網路及系統資安防禦能力。

（3）每二年對重要核心資訊網路、設備及系統，至少辦理一次資安健診作業，實施網路架構檢視、有線網路惡意活動檢視、使用者端電腦檢視、伺服主機檢視及安全設定檢視等，並依檢測結果進行修復、調整作業。

（4）辦理專科學校及十二年國教入學考試、甄選、招生等工作之試務機構與學校，應於辦理試務作業前對資訊網路環境、設備及資訊系統實施資安健診及網站安全弱點檢測作業，並依檢測結果進行修復、調整作業。

（1）資安或資訊人員應至少一員接受十二小時資安專業課程訓練（包括行政院、教育部、各級教學機構、各區網中心及各直轄巿及縣（巿）教育網路中心等辦理之資安課程、訓練、講習等），並獲得研習證明，以增進資安專業知識與能力。

（2）一般使用者及主管應至少接受三小時資安宣導課程（包括機關自辦資安宣導講習、上級機關辦理之資安宣導課程），並通過課程評量，以提升資安防護認知。

每年至少維持一張資安專業證照。

（三）C級學校具體作法如下：

（1）第一類C級學校：

應參考行政院國家資通安全會報頒訂之資訊系統分類分級與鑑別機制參考手冊，就機密性、完整性、可用性及法律遵循性等影意構面，進行分類、鑑別及分級，視資源能力，建立相對應之防護基準：

初期以新建或改版完成之資訊系統為主，採行適當之安全控制措施，後續再推動至其他資訊系統，以確保資訊系統之安全防護水準。

ISO/IEC27001、CNS27001教育機構資安認證等）之機關，準用已採行之風險評鑑方法，轉換為本機制之普、中、高三個安全等級。

（2）第二類C級學校：

核心業務如有建置資訊系統，可參考行政院國家資通安全會報頒訂之資訊系統分類分級與鑑別機制參考手冊，視資源能力，建置必要之防護基準。

對核心業務之應用資訊系統進行資訊資產清查，檢視可能之風險，並