一、教育部(以下簡稱本部)為落實推動本部資通安全管理,特訂定本要
點。
二、本部資通安全管理範圍如下:
(一)資訊資產。
(二)人員資訊資源使用權限。
(三)重要業務資訊系統建置、開發及維運。
(四)實體及環境安全。
(五)通訊及作業。
(六)資訊安全事件通報及應變。
(七)重要業務資訊系統持續營運。
三、各單位應指定副主管或專門委員以上一人兼任本部資安與個資管理會
委員,並督導單位內同仁辦理下列資通安全事項:
(一)各單位資訊資產之清點、風險評鑑作業。
(二)評估重要業務資通系統(網站)應否納入本部資通安全管理範圍,執
行必要之資通安全管控措施。
(三)遵守本部相關電腦及資通系統使用管理、資訊處理規範。
(四)電腦資通設備安全管理。
(五)各單位資通安全檢查及稽核作業。
(六)對稽核之缺失予以管制,以落實執行矯正及預防措施。
(七)資通安全事件通報及應變處置。
(八)參加資通安全教育訓練。
四、各單位指定資通安全管理專責人員,辦理下列事項:
(一)執行各單位資訊資產清點、風險評鑑作業。
(二)建立各單位資通安全管理所需程序,並予以文件化。
(三)推動及執行適當之資通安全管控措施。
(四)執行各單位資通安全檢查及稽核作業。
(五)執行資安事件通報及協助應變處置。
(六)辦理各單位同仁接受資通安全訓練。
五、各單位資通安全管理之作法如下:
(一)實施資訊資產之清點、分級及風險評鑑。
(二)評估重要業務運作之資通系統(網站)應否納入本部資通安全管理。
(三)辦理實施資通安全管理教育訓練,向本部同仁宣導相關作法及措施
。
(四)針對納管之資通系統(網站)所面臨風險,制定適當資通安全管控措
施。
(五)針對資通安全管制措施,規劃可行之管控程序,並予以文件化。
(六)各單位資通安全管理專責人員應輔導同仁,落實實施各項資通安全
管控措施。
(七)就稽核分組定期執行稽核檢查發現之缺失,各單位應對該項缺失實
施矯正及預防措施。
(八)得接受外部資安稽核認證機構及行政院之稽核,以獲取資通安全管
理認證,並持續改善。