返回
教育部与所属机关(构)及学校资通安全责任等级分级作业规定

教育部与所属机关(构)及学校资通安全责任等级分级作业规定

ID:39144346

大小:117.00 KB

页数:14页

时间:2019-06-25

教育部与所属机关(构)及学校资通安全责任等级分级作业规定_第1页
教育部与所属机关(构)及学校资通安全责任等级分级作业规定_第2页
教育部与所属机关(构)及学校资通安全责任等级分级作业规定_第3页
教育部与所属机关(构)及学校资通安全责任等级分级作业规定_第4页
教育部与所属机关(构)及学校资通安全责任等级分级作业规定_第5页
资源描述:

《教育部与所属机关(构)及学校资通安全责任等级分级作业规定》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、教育部與所屬機關(構)及學校資通安全責任等級分級作業規定一、依據:行政院一百零四年一月二十日院臺護字第一0四0一二一一一六號函頒之政府機關(構)資通安全責任等級分級作業規定。二、目的:教育部(以下簡稱本部)為明確規範本部與所屬機關(構)及各級學校資通安全責任等級分級作業,透過資通安全(以下簡稱資安)管理,以防範潛在資安威脅,進而提升本部與所屬機關(構)及各級學校資安防護水準,特訂定本作業規定。三、適用對象:(一)本部及所屬機關(構)。(二)各級學校及其附設醫院(包括醫學中心、區域及地區分院)。(三)臺灣學術網路各區域網

2、路中心、各直轄巿及縣(巿)教育網路中心。(四)辦理各類考試、甄選、招生、評鑑等工作之試務機關(構)及評鑑機構。四、分級原則(一)依行政院函頒之政府機關(構)資通安全責任等級分級作業規定,資通安全責任等級區分為A級、B級、C級等三級。(二)A級機關(構)及學校:1.本部、臺灣大學醫學院附設醫院、成功大學醫學院附設醫院、國立陽明大學附設醫院。2.承接具國家安全機密性或敏感性業務或技術研究之學院或系所,其研究領域如下:(1)涉及國家安全資訊、國家機密資訊之領域:國土調查資訊。水域調查資訊。災害防救資訊。大陸及外交情資。第14

3、頁,共14頁軍事計畫、軍事行動資訊。(2)涉及國家安全技術、國家機密技術領域:國防科技、軍事武器及元件製造技術。航太關鍵技術。衛星遙測關鍵技術。核子工程技術。資通安全、光電、IC、資通訊及精密機械等自主研發或關鍵技術。關鍵材料之製造技術。能源科技之關鍵技術。農業品種改良、栽培及繁養殖之關鍵技術。醫學、藥學及生物科技之關鍵技術。3.辦理大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構(詳如附表一)。(三)B級機關(構)及學校:1.本部所屬機關。2.本部所屬機構。3.辦理專科學校、十二年國教入學考試、

4、甄選、招生工作等輪流辦理之試務機構與學校(詳如附表二)、各項評鑑工作之評鑑機構。4.臺灣學術網路各區域網路中心。5.各直轄巿及縣(巿)教育網路中心。6.各公私立大學。7.大學附設醫院之區域分院及地區醫院。(四)C級學校:1.第一類:各公私立專科學校、各公私立學院。第14頁,共14頁2.第二類:各公私立高級中等學校、各公私立國民中學、各公私立國民小學。五、資訊安全管理及防護具體作法(一)A級機關(構)及學校具體作法如下:1.資訊系統分類分級:(1)參考行政院國家資通安全會報頒訂之資訊系統分類分級與鑑別機制參考手冊,對核心

5、業務應用資訊系統就機密性、完整性、可用性及法律遵循性等影意構面,進行分類、鑑別及分級,建立相對應之防護基準:初期以新建或改版完成之資訊系統為主,採行適當之安全控制措施,後續再推動至各機關(構)及學校全部資訊系統,以確保資訊系統之安全防護水準。如已通過資訊安全管理驗證(例如:ISO/IEC27001、CNS27001教育機構資安認證等),準用已採行之風險評鑑方法,轉換為本機制之普、中、高三個安全等級。(2)承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構,亦應對承接之試務作業相關資訊系統進行分類

6、、鑑別及分級。2.資訊安全管理制度(ISMS)推動作業:(1)導入資訊安全管理制度(ISMS),對機關核心業務應用資訊系統(全部)進行資安風險評鑑、管控等作業,並通過第三方驗證。(2)承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構,亦應導入資訊安全管理制度,將試務相關資訊系統,納入核心業務應用資訊系統,進行資安風險評鑑、管控等作業,並通過第三方驗證或教育機構資安認證。3.資安專責人力:(1)應指派二員具資安專業能力人員,專責執行資訊安全管理相關業務。第14頁,共14頁(2)承辦大學、技專校院

7、及高級中等學校等入學考試、甄選、招生等工作之常設試務機構,亦須指派人員,對試務相關資訊系統進行資訊安全管理作業。4.稽核方式:(1)每年至少辦理二次內部資訊安全稽核作業。(2)承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構,應於辦理試務前,對試務相關資訊系統及作業進行內部資訊安全稽核作業。5.業務持續運作演練:(1)各項核心業務應用資訊系統依實務需要訂定業務持續運作計畫。(2)每年至少辦理一次核心業務應用資訊系統業務持續運作演練。(3)承辦大學、技專校院及高級中等學校入學考試、甄選、招生等工

8、作之常設試務機構,對核心試務業務訂定業務持續作計畫,並於辦理試務前進行演練。6.縱深防護:(1)對資訊網路環境建立縱深防護架構,包括下列防禦裝置及系統:防毒、防火牆、郵件過濾裝置。IDS/IPS、Web應用程式防火牆。APT攻擊防禦設備或系統。(2)承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構,應將試

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。