宣導專區

高教深耕計畫(112-116年) 資安專章，本校提出資安(數位環境整備) 具體策略、措施與績效指標，透過審查機制落實，形成發展韌性校園的正向循環，本校112~113年執行成果說明如下:

• 已建立全校完善的ISMS 制度，並持續推動

  (1)以ISO27001管理框架、控制措施為基礎
  本校核心資通系統連續12 年通過ISO 27001 驗證，今年(113 年)通過ISO27001:2022 改版驗證，ISMS 資訊安全管理制度已於電算中心扎根並順利運作，以此基礎全校導入ISMS 及核心系統持續優化。
  (2)資安長與資安推動全校組織積極參與資安管理辦理情形：
  本校資安推動組織「資訊發展暨資訊安全委員會」組成委員為一級主管，資安長(副校長)主持每年資安管審會議，落實資安管理審查，同時積極參與、協調監督本校各項資安管理事項。
  (3)單位主管的支持與種子人員培育
  在本校「資訊發展暨資訊安全委員會」下另設置「全校導入ISMS 小組」，成員為各行政、教學單位資安聯絡窗口(資安種子人員)，聘請資安顧問進行培訓、輔導，在資安長與單位主管支持、督導下，全校加強資安管理，落實資安管理作為。

• 提升資安管理效能
  為能有效提升管理效能，本校從下列三個面向，落實資通系統集中化管理。
  (1)全校主機虛擬化
  除圖書館外，已完成本校各單位之資訊系統集中電算中心虛擬化管理，透過10 部實體主機同時負責全校208 台虛擬主機之運作，1 部實體主機完成20 部電腦主機運作需求，主機虛擬化達95.2%。
  (2)全校資料統一備份備援
  為能有效完成全校資訊系統備份與異地備援作業，本校依據資安等級，將全校205 台虛擬主機區分核心系統、中級系統、普級系統，進行日備份、週備份、月備份策略，系統資安等級愈高，備份頻率愈高，以達成全校資訊系統資料備份滿六個月的目標。
  (3)全校資安防護集中管理
  為能加強資安防護，各單位之資訊系統在虛擬主機建置時，便統一安裝防毒軟體與MDR；另為能有效使用SSL 憑證，本校購置一張萬用憑證，透過資安設備統一套用到全校網站上，並對含有個資之網站導入WAF 防護，目前已完成73 個網站套用SSL 憑證，12 個網站套入WAF 防護。

• 降低資訊人員負擔
  因為高度集中化管理關係，為能有效掌握資訊系統和設備的狀態，本校已透過下列自動化方式，提供資訊人員相關訊息，減少資訊問題查找的時間。
  (1)全校設備與資訊系統統一監管
  因全校資訊系統與資訊設備眾多，為能了解系統設備運作狀況，透過PRTG 監控系統，集中監控資訊系統之CPU、memory、硬體空間、連線服務、網路流量等狀況，目前設置監控208 個資訊系統、546 台設備、合計5,757 個sensor，以確保當有異常狀況時，可以第一時間告警，即時反應處理。
  (2)資安環境整合管理
  考慮資安環境多元且複雜，已完成藉由AI 大數據分析，整合MDR、防毒軟體、入侵防禦系統等系統，透過單一管理介面盤點系統資產，除駭客攻擊行為的即時告警外，並結合各類資安情資，不定時自動通知系統隱藏風險，減少資訊人員追蹤資安問題的負擔，讓單位更可以防範未然。

1. 不開啟、不轉寄可疑寄件者之信件。
2. 不開啟可疑之信件之連結與附件。
3. 含有個人資料之郵件必須加密傳送。
4. 不使用公務電子信箱帳號登記做為非公務網站的帳號，如社群網站、電商服務等。
5. 使用者辦理公務及重要專案使用之電子郵件信箱，不得轉至外部私人信箱收發公務資訊。
6. 電子郵件進行安全設定。
   1. 闗閉預覽視窗 (關閉信件預覽)
   2. 關閉自動下載圖片 (不自動下載圖檔)
   3. 設定不要自動回覆讀信回條 

※ 教育部每年進行二次社交工程演練  (「社交工程演練」 說明專頁 )

  (模擬駭客攻擊手法假冒寄件者，發送令人感興趣的惡意郵件給本校教職員)

   依規定機關惡意郵件「開啟率」應低於10%；「點閱率」應低於6%

1. 電腦內重要公務資料應定期備份，避免資料損毀。
2. 重要公務資料傳輸、處理及留存，應遵守保密規定
3. 不得使用<即時通訊軟體>傳送公務敏感資料及個人隱私資訊。
4. 定期檢視使用公有雲之必要性，避免存放機敏資料，造成資料外洩的風險，蒐集個資以最小化為原則 ， 謹慎管理雲端檔案存取權限，不任意分享檔案連結或與任何他人共用之設定。
5. 傳送公務資訊應有適當保護，例如加密傳送 。(密碼另行通知)
6. 使用安全密碼(密碼長度最少8碼，含大小寫英數，至少二種條件組合)，定期更換密碼(操作說明)，妥善保管。
7. 勿將個人密碼張貼於個人電腦、螢幕、其它容易洩漏之場所或告知他人。
8. 大陸廠牌資通訊設備勿與公務環境介接，於110年底前完成汰換。(「 限制使用危害國家資通安全產品」說明專頁 )
9. 資安教育訓練
   1. 資安教育訓練時數要求
      1. 一般使用者及主管 : 每人每年接受三小時以上之資通安全通識教育訓練。
      2. 資通安全專職人員以外之資訊人員 (從事資通系統自行或委外開發、維運者) :每人每二年至少接受三小時以上之資通安全專業課程或資通安全職能訓練，且每年接受三小時以上之資通安全通識教育訓練。
   2. 取得資安時數管道
      1. 本年電算中心每年自行辦理2場 (每年4月、11月)
      2. 至數位學習資源整合平台<E等公務園平台>參加線上課程 ❖e等公務園平台建議課程
10. 應遵守個人資料保護法及資通安全管理法相關規定。