- 1、本文档共14页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
教育部与所属机关构及学校资通安全责任等级分级万能科技大学
教育部與所屬機關(構)及學校資通安全責任等級分級作業規定
一、依據:行政院一百零四年一月二十日院臺護字第一0四0一二一一一六號函頒之政府機關(構)資通安全責任等級分級作業規定。
二、目的為明確規範資安全責任等級分級作業,透過資安全管理,以防範潛在資安威脅,進而提升資安防護水準,訂定。對象
(一)本部及所屬機關(構)。
(二)各級學校及其附設醫院(包括醫學中心、區域及地區分院)。
(三)臺灣學術網路各區域網路中心、各直轄巿及縣(巿)教育網路中心。
(四)辦理各類考試、甄選、招生、評鑑等工作之試務機關(構)及評鑑機構。
四、分級原則
(一)依行政院函頒之政府機關(構)資通安全責任等級分級作業規定,
(二)A級機關(構)及學校:
1.本部、臺灣大學醫學院附設醫院、成功大學醫學院附設醫院、國立陽明大學附設醫院。
2.承接具國家安全機密性或敏感性業務或技術研究之學院或系所,其研究領域如下:
(1)涉及國家安全資訊、國家機密資訊之領域:
國土調查資訊。
水域調查資訊。
災害防救資訊。
大陸及外交情資。
軍事計畫、軍事行動資訊。
(2)涉及國家安全技術、國家機密技術領域:
國防科技、軍事武器及元件製造技術。
航太關鍵技術。
衛星遙測關鍵技術。
核子工程技術。
資通安全、光電、IC、資通訊及精密機械等自主研發或關鍵技術。
關鍵材料之製造技術。
能源科技之關鍵技術。
農業品種改良、栽培及繁養殖之關鍵技術。
醫學、藥學及生物科技之關鍵技術。
3.辦理大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構(詳如附表一) 。
(三)B級機關(構)及學校:
1.本部所屬機關。
2.本部所屬機構。
3.辦理專科學校、十二年國教入學考試、甄選、招生工作等輪流辦理之試務機構與學校(詳如附表二)、各項評鑑工作之評鑑機構。
4.臺灣學術網路各區域網路中心。
5.各直轄巿及縣(巿)教育網路中心。
6.各公私立大學。
7.大學附設醫院之區域分院及地區醫院。
(四)C級學校:
1.第一類:各公私立專科學校、各公私立學院。
2.第二類:各公私立高級中等學校、各公私立國民中學、各公私立國民小學。
五、資訊安全管理及防護具體作法初期以新建或改版完成之資訊系統資訊系統如已通過資訊安全管理驗證(例如:ISO/IEC 27001、CNS 27001等),準用已採行之風險評鑑方法,轉換為本機制之普、中、高三個安全等級。防毒、防火牆、郵件過濾裝置。
IDS/IPS、Web應用程式防火牆。
APT攻擊防禦設備或系統。
(2)承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構,應將試務相關資訊系統納入學校整體網路環境之資安縱深防護架構中。
7.監控管理:結合臺灣學術網路資安監控系統(北區SOC、南區SOC、Mini-SOC、TACERT)或本部資安監控系統機制,進行資安預警情資、事件通報及應變處置。
8.安全性檢測:
(1)每年至少辦理二次安全弱點檢測作業,視資源能力優先選擇核心業務資訊系統(網站),並對弱點進行修復作業。
(2)每年至少辦理一次滲透測試作業,視資源能力優先選擇核心業務資訊系統,並依測試結果強化網路及系統資安防禦能力。
(3)每年對重要核心資訊網路、設備及系統,至少辦理一次資安健診作業,實施網路架構檢視、有線網路惡意活動檢視、使用者端電腦檢視、伺服主機檢視及安全設定檢視等,並依檢測結果進行修復、調整作業。
(4)承辦大學、技專校院及高級中等學校等入學考試、甄選、招生等工作之常設試務機構,應於辦理試務作業前對資訊網路環境、設備及資訊系統實施資安健診及網站安全弱點檢測作業,並依檢測結果進行修復、調整作業。
9.資安教育訓練:
(1)資安人員或資訊人員應至少二員接受十二小時資安專業課程訓練(包括行政院、教育部、各級教學機構、各區網中心及各直轄巿及縣(巿)教育網路中心等辦理之資安課程、訓練、講習等),並獲得研習證明,以增進資安專業知識與能力。
(2)一般使用者及主管至少須接受三小時資安宣導課程(包括機關自辦資安宣導講習、上級機關辦理之資安宣導課程),並通過課程評量,以提升資安防護認知。
10.專業證照:每年至少維持二張資安專業證照。
11.承接具國家安全機密性或敏感性業務或技術研究之學校(或系所),對承接之研究相關資訊系統,應依照各委託機關(如國家安全局或國防部等)之資安規定辦理。
(二)B級機關(構)及學校具體作法如下:
1.資訊系統分類分級:
(1)參考行政院國家資通安全會報頒訂之資訊系統分類分級與鑑別機制參考手冊,對核心業務應用資訊系統就機密性、完整性、可用性及法律遵循性等影意構面,進行分類、鑑別及分級,建立相對應之防護基準:
初期以新建或改版完成之資訊系統資訊系統如已通過資訊安全管理驗證(例如:ISO/IEC 27001、CNS
文档评论(0)