教育部与所属机关（构）及学校资通安全责任等级分级 - 中国科技大学.docVIP

教育部與所屬機關(構)及學校資通安全責任等級分級作業規定 一、依據：行政院一百零四年一月二十日院臺護字第一0四0一二一一一六號函頒之政府機關(構)資通安全責任等級分級作業規定。 二、目的為明確規範資安全責任等級分級作業，透過資安全管理，以防範潛在資安威脅，進而提升資安防護水準，訂定。對象 (一)本部及所屬機關(構)。 (二)各級學校及其附設醫院(包括醫學中心、區域及地區分院)。 (三)臺灣學術網路各區域網路中心、各直轄巿及縣(巿)教育網路中心。 (四)辦理各類考試、甄選、招生、評鑑等工作之試務機關(構)及評鑑機構。 四、分級原則 (一)依行政院函頒之政府機關(構)資通安全責任等級分級作業規定， (二)A級機關(構)及學校： 1.本部、臺灣大學醫學院附設醫院、成功大學醫學院附設醫院、國立陽明大學附設醫院。 2.承接具國家安全機密性或敏感性業務或技術研究之學院或系所，其研究領域如下： (1)涉及國家安全資訊、國家機密資訊之領域： 國土調查資訊。 水域調查資訊。 災害防救資訊。 大陸及外交情資。 軍事計畫、軍事行動資訊。 (2)涉及國家安全技術、國家機密技術領域： 國防科技、軍事武器及元件製造技術。 航太關鍵技術。 衛星遙測關鍵技術。 核子工程技術。 資通安全、光電、IC、資通訊及精密機械等自主研發或關鍵技術。 關鍵材料之製造技術。 能源科技之關鍵技術。 農業品種改良、栽培及繁養殖之關鍵技術。 醫學、藥學及生物科技之關鍵技術。 3.辦理大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構(詳如附表一) 。 (三)B級機關(構)及學校： 1.本部所屬機關。 2.本部所屬機構。 3.辦理專科學校、十二年國教入學考試、甄選、招生工作等輪流辦理之試務機構與學校(詳如附表二)、各項評鑑工作之評鑑機構。 4.臺灣學術網路各區域網路中心。 5.各直轄巿及縣(巿)教育網路中心。 6.各公私立大學。 7.大學附設醫院之區域分院及地區醫院。 (四)C級學校： 1.第一類：各公私立專科學校、各公私立學院。 2.第二類：各公私立高級中等學校、各公私立國民中學、各公私立國民小學。 五、資訊安全管理及防護具體作法初期以新建或改版完成之資訊系統資訊系統如已通過資訊安全管理驗證（例如：ISO/IEC 27001、CNS 27001等），準用已採行之風險評鑑方法，轉換為本機制之普、中、高三個安全等級。防毒、防火牆、郵件過濾裝置。 IDS/IPS、Web應用程式防火牆。 APT攻擊防禦設備或系統。 (2)承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構，應將試務相關資訊系統納入學校整體網路環境之資安縱深防護架構中。 7.監控管理：結合臺灣學術網路資安監控系統(北區SOC、南區SOC、Mini-SOC、TACERT)或本部資安監控系統機制，進行資安預警情資、事件通報及應變處置。 8.安全性檢測： (1)每年至少辦理二次安全弱點檢測作業，視資源能力優先選擇核心業務資訊系統(網站)，並對弱點進行修復作業。 (2)每年至少辦理一次滲透測試作業，視資源能力優先選擇核心業務資訊系統，並依測試結果強化網路及系統資安防禦能力。 (3)每年對重要核心資訊網路、設備及系統，至少辦理一次資安健診作業，實施網路架構檢視、有線網路惡意活動檢視、使用者端電腦檢視、伺服主機檢視及安全設定檢視等，並依檢測結果進行修復、調整作業。 (4)承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構，應於辦理試務作業前對資訊網路環境、設備及資訊系統實施資安健診及網站安全弱點檢測作業，並依檢測結果進行修復、調整作業。 9.資安教育訓練： (1)資安人員或資訊人員應至少二員接受十二小時資安專業課程訓練(包括行政院、教育部、各級教學機構、各區網中心及各直轄巿及縣(巿)教育網路中心等辦理之資安課程、訓練、講習等)，並獲得研習證明，以增進資安專業知識與能力。 (2)一般使用者及主管至少須接受三小時資安宣導課程(包括機關自辦資安宣導講習、上級機關辦理之資安宣導課程)，並通過課程評量，以提升資安防護認知。 10.專業證照：每年至少維持二張資安專業證照。 11.承接具國家安全機密性或敏感性業務或技術研究之學校(或系所)，對承接之研究相關資訊系統，應依照各委託機關(如國家安全局或國防部等)之資安規定辦理。 (二)B級機關(構)及學校具體作法如下： 1.資訊系統分類分級： (1)參考行政院國家資通安全會報頒訂之資訊系統分類分級與鑑別機制參考手冊，對核心業務應用資訊系統就機密性、完整性、可用性及法律遵循性等影意構面，進行分類、鑑別及分級，建立相對應之防護基準： 初期以新建或改版完成之資訊系統資訊系統如已通過資訊安全管理驗證（例如：ISO/IEC 27001、CNS