主旨:教育部函為降低資安風險，請本校落實資通系統及資訊之盤點，並進行應有資通安全防護及控制措施，詳如說明。

說明：

一、依資通安全管理法及其子法各項規範要求辦理安全防護及控制措施，包含下列項目：

(一)依資通安全管理法施行細則第6條第1項第6款規定，落實全校資通系統及資訊之盤點，資通系統盤點範圍至少包含行政、教學單位自行或委外開發之資通系統，以及學校採購及公務使用之物聯網設備（如網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等）。

(二)依資通安全管理法施行細則第6條第1項第7款及第8款規定，落實全校資通安全風險評估、資通安全防護及控制措施。針對前開盤點之資通系統清單，應檢核不得使用弱密碼、廠商預設密碼，並符合規範之密碼複雜度要求，以及依業務需求設定適當網路存取限制。

(三)依資通安全責任等級分級辦法附表十有關漏洞修補規定，資通系統避免軟體常見漏洞（如Injection、XSS等OWASP Top 10安全弱點），落實漏洞修復並定期更新。

二、未依前述規定辦理，致使學校發生資安事件，情節重大者，學校應依「公務機關所屬人員資通安全事項獎懲辦法」規定予以懲處。

電算中心 資訊網路組  敬啟