主冊專章:學校推動資安強化規劃

資訊安全強化推動策略及績效指標

主項目

次要項目

績效指標KPI

全校導入資訊安全管理系統(ISMS

資通安全長之配置

本校資訊安全管理資安長為校長。

資通安全推動組織

成立「中臺科技大學資通安全推動小組」,持續推動資安工作。

資通系統及資訊之盤點

本校資通系統及資訊之盤點,根據資訊資產管理程序進行盤點。

1.資通系統資產清冊至少包含落於本校IP網段內、或使用本校網域名稱之資通系統。

2.物聯網設備管理清冊包含學校採購、公務使用之物聯網設備。

資通安全風險評估

本校資訊安全風險評估,依資訊安全風險評建管理程序進行評估,目前資訊資產清查範圍為圖資處維運作業、校務行政資訊系統及帳號整合管理系統。

內部資通安全稽核及委外稽核

每年舉辦一次內部資通安全稽核及委外稽核。

業務持續運作演練

1.每年定期辦理核心資通系統之業務持續運作演練1次。

2.將行政單位、系所網頁遭竄改納入業務持續運作演練項目。

資訊安全管理系統(ISMS)適用範圍

本校資安管理系統(ISMS)適用範圍為圖資處維運作業、校務行政資訊系統及帳號整合管理系統。

強化學校人員資通安全認知與訓練

配置資通安全專職人員

目前資通安全人員共有5位人員持有主導稽核員證照。

提升資通安全專職人員資安職能

積極參與校外研習課程以符合資通安全專職人員資安職能,逐年編列校外研習預算提升受訓意願及機會。

提升教職員資安意識

1.每位新進員工簽署資安宣導單。

2.每學年辦理至少3小時資安教育訓練並納入考核基本任務。

確保資通系統管理量能

資通系統集中化管理

本校主要的資通系統,皆由圖資處集中管理。

適度降低資通系統數量

目前校務行政系統採單一介面,不需要的網頁部分將予以移除。

落實管理危害國家資通安全產品

禁止公務使用大陸廠牌資通訊產品

本校總務處奉行政院公共工程委員會函,辦理資訊、電訊或通訊設備有關採購,對於陸資廠商參與而有影響國安(含資安)或機敏資訊外洩等疑慮者,機關得採行方式如下:

  1. 大陸地區廠商:兩岸未簽署相互開放政府採購市場之條約協定,於招標文件載明不允許大陸地區廠商參與。
  2. 第三地區含陸資成分廠商:我國已簽署世界貿易組織(WTO)政府採購協定(GPA)、臺紐經濟合作協定(ANZTEC)及臺星經濟夥伴協定(ASTEP),對於適用上開協定採購,得基於國家安全理由排除該等協定之適用,並於招標文件中載明不允許第三地區含陸資成分廠商參與。
  3. 在臺陸資廠商:屬影響國家安全之採購,包括但不限於經濟部投資審議委員會(下稱投審會)公告之「具敏感性或國安(含資安)疑慮之業務範疇」之採購,得依投標廠商資格與特殊或巨額採購認定標準第4條第1項第6款規定於招標文件載明不允許投審會公告之在臺陸資廠商(含陸資資訊服務業者)參與。

限制出租場域使用大陸廠牌資通訊產品

1.為確保本校資訊安全,針對學校出租場域,於學校委外契約或場地租借之使用規定新增補充條文,明訂不得使用危害國家資安之產品(如大陸廠牌軟體、硬體及服務)。

2.檢視已簽訂之長年約,於接續年度新增補充合約條文,亦明訂不得使用危害國家資安之產品(如大陸廠牌軟體、硬體及服務)。