高雄市政府教育局98年度辦資訊安全專案檢查報告.pptVIP

高雄市政府教育局98年度辦理資訊安全專案檢查報告 壹、法令依據 政風機構人員設置條例第5條第6款規定：「關於本機關公務機密維護事項」。 政風機構人員設置條例施行細則第9條第3款規定：「推動資訊保密措施」。 行政院所屬各機關資訊安全管理要點。 電腦處理個人資料保護法。 貳、目的 鑒於資訊發展日新月異，網路全球化時代來臨，政府機關及各級學校利用電腦及網際網路處理公務及學生個人資料成為常態，故為避免洩漏公務機密或個人資料、強化資訊安全維護及預防其他資安事件發生，特擬定「本局98年度辦理資訊安全專案檢查實施計畫」，據以辦理本年度資訊安全專案檢查，期能發現缺失，研擬改進作為，以落實資訊安全維護。 參、檢查項目 是否不當公布個人資料或已不合時宜之法令規章。 內部網路公用資源分享區，有無存放個資等機敏資料。 與外部網路連接之網點是否設置網路安全設施控管。 校務行政系統維護及管理現況。 有無落實使用者註冊及通行密碼等權限管理制度。 有無下載未授權、P2P或其他與公務無關之軟體。 重要機密檔案文件有無加密或以電子郵件傳送。 進出機房有無設置登記簿及定期檢查。 是否訂有資安事件緊急應變及通報等相關規範，並定期演練。 肆、檢查期程 本（98）年度資訊安全檢查時間分為兩階段： 第一階段：98年4月10日至98年4月17日止，檢查對象為本市各國中。 第二階段：98年10月1日至98年10月16日止，檢查對象為本市各國小。 伍、檢查方式 本局業於本（98）年4月10日以高市教政字第0980014243號函請本市各國民中學就資訊安全檢查表所列檢查項目逐一辦理檢查並詳實記錄，於4月17日前擲回本室彙整。 伍、檢查方式 為避免檢查流於形式，本室採隨機抽樣方式，抽取10％（4校）於本（98）年4月20日至4月24日辦理實地抽檢，分別抽出為大仁國中、前金國中、民族國中及明華國中，另協請本局資訊教育中心（下稱資教中心）協助執行實地檢查（如附件3）。 伍、檢查方式 學校及本局網站網際網路網頁部份，以瀏覽及關鍵字搜尋方式，輸入關鍵字(如個人姓名)，搜尋網頁內容有無不當張貼個人資料，並檢視網站內容有無公布已不合時宜之法令規章，或有無雖非機密性但不適宜公布於網站之內容，如與教學無關之影片。 陸、檢查結果及處理 一、是否不當公布個人資料或已不合時宜之法令規章： （一）學校網站需校內持有帳號及密碼之權限人員始可張貼訊息，各處室網頁內容皆定期更新並移除已不符時宜之法令或作業程序；各班班級網頁平日亦請資訊執秘向班級導師宣導，隨時留意有無張貼不當內容或公布學生個人資料。 陸、檢查結果及處理 （二）惟本次抽檢學校網站仍發現，有部分學校之校園網站公告區公開違規學生班級及違規事項，雖未公告懲處內容，但為避免對學生有貼標籤效應及學生個人資料外洩，已請學校資訊人員立即移除。另本局於98年4月初曾發生校外輔導委員會之「聯巡資料」外洩事件，該事件係以網路方式通知學校加強輔導學生不宜行為，導致學生個人資料外洩，本局已立即刪除類似電子通知。 陸、檢查結果及處理 基於保護學生個人資料，日後要求相關人員將以數字代碼表示學生不宜行為（例如上課期間在外遊蕩以數字01表示補一下），不再訴諸文字說明，且務必將資料加密處理，以避免影響學生個人權益。及班級網頁不僅公布學生姓名、班級、出生年月日及學生違規事項等個人資料，尚提供學生個人照片連結，恐有違反「電腦處理個人資料保護法」之虞，經發現後已請學校資訊人員立即移除該班級網頁之學生個人資料。 陸、檢查結果及處理 （三）經本室抽檢學校網站，亦有部分學校於班級網頁公布學生姓名、班級、出生年月日、星座、興趣及照片等個人資料，有些甚至提供學生個人部落格連結。該等「姓名」、「特徵」、「出生年月日」等，核屬「電腦處理個人資料保護法」（下稱同法）所規範之「個人資料」（第3條第1項第1款），其為公務機關蒐集或電腦處理，不得違反同法第7條規定，否則當事人可依同法第27條規定，向機關請求損害賠償責任，並適用國家賠償法的規定（如附件4）。 陸、檢查結果及處理 經發現後已請學校資訊人員立即移除該班級網頁之學生個人資料另本局於4月初曾發生校外輔導委員會之「聯巡資料」外洩事件，以網路方式通知學校請加強輔導學生不宜行為，導致學生個人資料外洩；本局已立即刪除類似電子通知，並要求於相關人員務必將資料加密處理外，亦將以數字代碼表示學生不宜行為，不再訴諸文字說明，避免影響學生個人權益。並加強向學校宣導勿在座號、姓名後放置學生真實照片供比對，建議由帳號密碼管控該班級網頁或放置漫畫虛擬圖片等取代真實照片。亦請學校導師避免於網站上敘述學生個人特徵、個性，更該避免無作任何管控即可連結學生個人部落格。 陸、檢查結果及處理 二、內部網路公用資源分享區，有無存放個資等機敏資料：