教育部与所属机关-万能科技大学.DOCVIP

PAGE 第 PAGE 14頁，共 NUMPAGES 14頁 教育部與所屬機關(構)及學校資通安全責任等級分級作業規定 一、依據：行政院一百零四年一月二十日院臺護字第一0四0一二一一一六號函頒之政府機關(構)資通安全責任等級分級作業規定。 二、目的：教育部(以下簡稱本部)為明確規範本部與所屬機關(構)及各級學校資通安全責任等級分級作業，透過資通安全（以下簡稱資安）管理，以防範潛在資安威脅，進而提升本部與所屬機關(構)及各級學校資安防護水準，特訂定本作業規定。 三、適用對象： (一)本部及所屬機關(構)。 (二)各級學校及其附設醫院(包括醫學中心、區域及地區分院)。 (三)臺灣學術網路各區域網路中心、各直轄巿及縣(巿)教育網路中心。 (四)辦理各類考試、甄選、招生、評鑑等工作之試務機關(構)及評鑑機構。 四、分級原則 (一)依行政院函頒之政府機關(構)資通安全責任等級分級作業規定，資通安全責任等級區分為A級、B級、C級等三級。 (二)A級機關(構)及學校： 1.本部、臺灣大學醫學院附設醫院、成功大學醫學院附設醫院、國立陽明大學附設醫院。 2.承接具國家安全機密性或敏感性業務或技術研究之學院或系所，其研究領域如下： (1)涉及國家安全資訊、國家機密資訊之領域： eq \o\ac(○,1)國土調查資訊。 eq \o\ac(○,2)水域調查資訊。 eq \o\ac(○,3)災害防救資訊。 eq \o\ac(○,4)大陸及外交情資。 eq \o\ac(○,5)軍事計畫、軍事行動資訊。 (2)涉及國家安全技術、國家機密技術領域： eq \o\ac(○,1)國防科技、軍事武器及元件製造技術。 eq \o\ac(○,2)航太關鍵技術。 eq \o\ac(○,3)衛星遙測關鍵技術。 eq \o\ac(○,4)核子工程技術。 eq \o\ac(○,5)資通安全、光電、IC、資通訊及精密機械等自主研發或關鍵技術。 eq \o\ac(○,6)關鍵材料之製造技術。 eq \o\ac(○,7)能源科技之關鍵技術。 eq \o\ac(○,8)農業品種改良、栽培及繁養殖之關鍵技術。 eq \o\ac(○,9)醫學、藥學及生物科技之關鍵技術。 3.辦理大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構(詳如附表一) 。 (三)B級機關(構)及學校： 1.本部所屬機關。 2.本部所屬機構。 3.辦理專科學校、十二年國教入學考試、甄選、招生工作等輪流辦理之試務機構與學校(詳如附表二)、各項評鑑工作之評鑑機構。 4.臺灣學術網路各區域網路中心。 5.各直轄巿及縣(巿)教育網路中心。 6.各公私立大學。 7.大學附設醫院之區域分院及地區醫院。 (四)C級學校： 1.第一類：各公私立專科學校、各公私立學院。 2.第二類：各公私立高級中等學校、各公私立國民中學、各公私立國民小學。 五、資訊安全管理及防護具體作法 (一)A級機關(構)及學校具體作法如下： 1.資訊系統分類分級： (1)參考行政院國家資通安全會報頒訂之資訊系統分類分級與鑑別機制參考手冊，對核心業務應用資訊系統就機密性、完整性、可用性及法律遵循性等影意構面，進行分類、鑑別及分級，建立相對應之防護基準： eq \o\ac(○,1)初期以新建或改版完成之資訊系統為主，採行適當之安全控制措施，後續再推動至各機關(構)及學校全部資訊系統，以確保資訊系統之安全防護水準。 eq \o\ac(○,2)如已通過資訊安全管理驗證（例如：ISO/IEC 27001、CNS 27001教育機構資安認證等），準用已採行之風險評鑑方法，轉換為本機制之普、中、高三個安全等級。 (2)承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構，亦應對承接之試務作業相關資訊系統進行分類、鑑別及分級。 2.資訊安全管理制度(ISMS)推動作業： (1)導入資訊安全管理制度(ISMS)，對機關核心業務應用資訊系統(全部)進行資安風險評鑑、管控等作業，並通過第三方驗證。 (2)承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構，亦應導入資訊安全管理制度，將試務相關資訊系統，納入核心業務應用資訊系統，進行資安風險評鑑、管控等作業，並通過第三方驗證或教育機構資安認證。 3.資安專責人力： (1)應指派二員具資安專業能力人員，專責執行資訊安全管理相關業務。 (2)承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構，亦須指派人員，對試務相關資訊系統進行資訊安全管理作業。 4.稽核方式： (1)每年至少辦理二次內部資訊安全稽核作業。 (2)承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構，應於辦理試務前，對試務