主旨:教育部函為降低資安風險,請本校落實資通系統及資訊之盤點,並進行應有資通安全防護及控制措施,詳如說明。
說明:
一、依資通安全管理法及其子法各項規範要求辦理安全防護及控制措施,包含下列項目:
(一)依資通安全管理法施行細則第6條第1項第6款規定,落實全校資通系統及資訊之盤點,資通系統盤點範圍至少包含行政、教學單位自行或委外開發之資通系統,以及學校採購及公務使用之物聯網設備(如網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等)。
(二)依資通安全管理法施行細則第6條第1項第7款及第8款規定,落實全校資通安全風險評估、資通安全防護及控制措施。針對前開盤點之資通系統清單,應檢核不得使用弱密碼、廠商預設密碼,並符合規範之密碼複雜度要求,以及依業務需求設定適當網路存取限制。
(三)依資通安全責任等級分級辦法附表十有關漏洞修補規定,資通系統避免軟體常見漏洞(如Injection、XSS等OWASP Top 10安全弱點),落實漏洞修復並定期更新。
二、未依前述規定辦理,致使學校發生資安事件,情節重大者,學校應依「公務機關所屬人員資通安全事項獎懲辦法」規定予以懲處。
電算中心 資訊網路組 敬啟