校园资讯安全业务-教育网路服务-新北政府教育局.PDFVIP

校園資訊安全業務 一、依據 1. 本市校園資訊安全業務依據為 「個人資料保護法 」、「個人資料保護法施行細則 」、「教 育機構個人資料保護工作事項 」附件( 1) 、「政府機關(構)資訊安全責任等級分級作 業施行計畫」附件( 2) 、「教育體系資通安全管理規範 」附件( 3) 、國中、小學資通「 安全管理系統實施原則」附件( 4) 、「教育機構資安通報應變手冊」附件( 5) 、「台灣 學術網路管理規範」附件( 6)及教育部之資安要求。 2. 其中 「政府機關(構)資訊安全責任等級分級作業施行計畫 」，規定學術機關(構中各) 高中職 (含 )以下學校為D 級(一般)機關。 二、資訊安全責任等級分級作業 1. 除遵行政院及所屬各機關資訊安全管理規範外，各機關（構）依其資安等級應執行之 工作事項如下表 ： 作業 防護縱深 ISMS推動 稽核方 資安教育訓練 專業證照 檢測機關 名稱 作業 式 (一般主管、資 網站安全 訊人員、資安 弱點 人員、一般使 等級 用者 ) D級 防火牆、 推動 ISMS 自我檢 每年至少(1 、 資安專業 每年1 次 防毒、郵 觀念宣導 視 4 、8 、2 小時) 訓練 件過濾裝 置 2. 「防護縱深」作業及 「檢測機關網站安全弱點 」作業 (含網站應用程式弱點掃描、 防 洩漏個資掃描由本局統一建) 置 ，提供各校配合執行 ，其餘作業請各校自行辦理。 三、學校資通安全管理規範 1. 本局依據 「教育部國中、小學資通安全管理系統實施原則」修訂為「新北市 OO 學校 資通安全管理規範範本 」附件( 7)供各校修訂 學校資通安全管理規範時參考。 2. 據以推動校內 ISMS觀念宣導、資安教育訓練 ，落實執行相關的管控措施，降低學校 資訊安全的風險 。 1 3. 執行時請 參考「新北市政府教育局各學校資安稽核準備參考表 」附件( 8) ，保留相關 記錄表單 、活動照片，依據「新北市政府教育局各學校資安稽核檢查表 」附件( 9)執 行自我檢視 (學校自評)，並配合 教育部要求執行年度稽核作業 各校， 於收文後登入「新 北市學校資訊安全稽核系統(.tw/)」進行自評填報，本系統103 年 起將轉移至 「教育部全國國中小學資訊安全管理系統」。 4. 本年度新北市政府教育局學校資訊安全稽核計畫附件( 10請自行參閱) 。 四、通報安全事件與處理 1. 資安聯絡人：由資訊組長擔任 ，無資訊組長之學校由資訊教師擔任，每校至少 2位 。 2. 資訊安全事件包括：任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭 竄改、以及通訊中斷等。 3. 各 校資訊安全事件等級，由輕微至嚴重區分為0-4級。 4. 學校任何人於校內發現異常情況或疑似資安事件及應立即向資訊組長（教師）通報， 資訊組長（教師）應儘速進行處理並研判事件等級。 5. 資訊組長（教師）當發生研判事件等級 3 （含）以上之事件，應立即通報資訊業務主 管及校長，並以電話聯絡新北市政府教育