法規內容:
第一章 總則
一、教育部(以下簡稱本部)為落實電腦處理個人資料保護法、國家機密
保護法、行政院及所屬各機關資訊安全管理要點及本部資訊安全管理
規範等相關規定,特訂定本要點。
二、各單位應將本要點以書面、電子傳輸或其他方式通知員工及與本部連
線作業之有關機關(構)及廠商。
三、本部資訊業務委外時,應於事前審慎評估可能之潛在安全風險(如資
料或使用者通行碼被破解、系統被破壞或資料損失等風險),並與廠
商簽訂適當之資訊安全協定,課予相關之安全管理責任,並納入契約
條款。
第二章 綜合管理
四、廠商應配合本部資訊安全規定,執行相關工作(登載於教育部網站
下方之資訊安全宣告)。
五、補助單位或廠商系統維護管理人員應填寫資訊安全保密合約書(一式
三份,一份交予本部承辦人員、一份交予資安人員、一份廠商自留)
。
六、廠商應配合本部進行資訊安全事件處理、演練及緊急應變措施等相關
安全工作事項。廠商與本部簽訂之契約條款中,應包含營運持續管理
(BCM, Business Continuity Management)計畫,並要求服務水準協
議(SLA, Service Level Agreement),並定義相關RTO(Recover
Time Objective)、RPO(Recover Point Objective)。
七、資安事件發生時,廠商及業務承辦人應於資安事件分級處理程序規範
之最小處理時限內完成事件排除。
八、本部承辦單位辦理應用系統(網站)委外開發時,應於契約中明定承
辦廠商須完成相關資安檢測與維護及智慧財產權歸本部所有等相關事
宜,並於專案契約內明定相關作業規定及經費委由承辦廠商執行,若
無預先規劃時,得由電算中心執行,費用由承辦單位負責。
九、應用系統(網站)委外之承辦單位,應每年定期維護應用系統(網站
)業務負責人、應用系統負責人及維護廠商等相關通訊及聯絡資料,
並告知電算中心資訊安全業務承辦人。
十、應用系統(網站)委外,其所申請之網域(domain)、網路位址(IP
)之使用期間,以三年為限,期滿應用系統(網站)委外承辦單位應
重新提出申請。
十一、下列資訊安全事項,應納入資訊業務委外之服務契約:
〈一〉涉及機密性、敏感性或是關鍵性之應用系統項目。
〈二〉應經核准始得執行之事項。
〈三〉廠商如何配合執行機關營運持續運作(BCM, Business Continuity
Management)計畫。
〈四〉廠商應遵守之資訊安全規範及標準,以及評鑑廠商遵守資訊安全標
準之衡量及評估作業程序。
〈五〉廠商處理及通報資訊安全事件之責任及作業程序。
十二、應用系統(網站)開發,應預作下線或停止服務等退場機制,及保
留所有原始契約和源碼(SOURCE CODE),並於契約中詳述本部及廠
商個別之權利與義務。
十三、應用系統(網站)委外承辦單位未依本辦法落實應用系統(網站)
資訊安全管理,致發生資安事件,依本部職員懲處要點相關規定議
處。
第三章 作業系統管理
十四、伺服主機應安裝主機型防火牆,阻絕不使用之網路通訊埠,及定期
檢視防火牆策略清單是否符合資安要求。
十五、所有伺服器應安裝防毒軟體,並隨時更新病毒碼及檢查運作是否正
常。
十六、伺服主機應即時進行作業系統及相關軟體更新及修補,並定期或不
定期進行主機弱點掃描。
十七、主機、系統維護時,應於加密管道進行(如SSH,SSL等),並限制
維護來源IP。
十八、廠商及系統維護人員不得使用任何遠端遙控軟體進行系統管理、維
護或更新。但有警急狀況必須使用時,應於防火牆與伺服主機內限
定維護來源IP及MAC address並設定時限。
十九、管理者不在場時,主控台(Console)應置於登出狀態,並設置密
碼管理。
二十、系統不得提供網路芳鄰功能,若單位建置完成系統、網路、主機等
安控措施則不在此限。
二一、主機系統每半年/不定期依人事組織進行實際使用權限之調整,變
更使用者權限,協助本部業務負責人檢查各系統之使用者存取權限
(利用應用系統存取權限清單)。
二二、系統管理者應隨時注意及觀察分析系統之作業容量,以避免容量不
足而導致主機當機或資料毀損。
二三、系統管理者應進行電腦系統作業容量之需求預測,以確保足夠之電
腦處理及儲存容量。
二四、業務單位應特別注意系統之作業容量,預留預算及採購行政作業之
前置時間,以利進行前瞻性之規劃,並及時獲得必要之作業容量。
二五、系統管理人員應隨時注意及觀察分析系統資源使用狀況,包含處理
器、主儲存裝置、檔案儲存、印表機及其他輸出設備及通信系統之
使用狀況。
二六、管理人員應隨時注意前項設備之使用趨勢,尤應注意系統在業務處
理及資訊管理上之應用情形。
二七、系統管理者應隨時掌握及利用電腦及網路系統容量使用狀況之資訊
,分析及找出可能危及系統安全之瓶頸,預作補救措施之規劃。
二八、系統管理者應準備適當及足夠之備援設施,定期執行必要之資料與
軟體備份及備援作業,以於災害發生或是儲存媒體失效時,得迅速
回復正常作業。
二九、系統資料備份及備援作業,應符合機關業務永續運作之需求。
三十、電腦作業人員應忠實記錄系統啟動及結束作業時間、系統錯誤及更
正作業等事項,並依實際需求保留所有紀錄檔。
三一、電腦作業人員之系統作業紀錄,應定期交由客觀之第三者查驗並律
訂保留期限,以確認其是否符合機關規定之作業程序。
第四章 機密性及敏感性資料(含個資)之管理
三二、業務單位應建立機密性及敏感性資料(含個資)之處理程序,防止
洩漏或不法及不當之使用。
三三、業務單位應研訂處理機密性及敏感性資料(含個資)之輸入及輸出
媒體之安全作業程序(如文件、磁帶、磁片、書面報告及空白支票
、空白收據等項目)。
三四、機密性及敏感性資料(含個資)之安全處理作業,應包括下列事項
:
〈一〉輸出及輸入資料之處理程序及標示。
〈二〉依授權規定,建立收受機密性及敏感性資料之正式收文紀錄。
〈三〉確保輸入資料之真確性。
〈四〉儘可能要求收受者提出傳送之媒體已送達之收訖證明。
〈五〉分發對象應以最低必要之人員為限。
〈六〉為提醒使用者注意安全保密,應於資料上明確標示資料機密等級。〈七〉應定期評估機密性及敏感性資料之發文清單,及檢討評估內容。
〈八〉應確保資訊系統內部資料與外部資料之一致性。
三五、系統流程、作業流程、資料結構及授權程序等系統文件,業務單位
應予適當保護,以防止不當利用。
三六、業務單位應保護重要之資料檔案,以防止遺失、毀壞、被偽造或竄
改。重要之資料檔案應依相關規定,以安全之方式保存。
三七、儲存機密性及敏感性資料(含個資)之電腦媒體,當不再繼續使用
時,應以安全之方式處理(如燒毀或是以碎紙機處理,或將資料從
媒體中完全清除)。
三八、資訊業務委外處理之電腦文具、設備、媒體蒐集及委外處理資料,
應慎選有足夠安全管理能力及經驗之機構作為委辦對象。
三九、機關間進行資料或軟體交換,應訂定正式之協定,將機密性及敏感
性資料(含個資)之安全保護事項及有關人員之責任列入。
四十、機關間資料及軟體交換之安全協定內容,應考量下列事項:
〈一〉控制資料及軟體傳送、送達及收受之管理責任。
〈二〉控制資料及軟體傳送、送達及收受之作業程序。
〈三〉資料、軟體包裝及傳送之最基本之技術標準。
〈四〉識別資料及確定軟體傳送者身分之標準。
〈五〉資料遺失之責任及義務。
〈六〉資料及軟體之所有權、資料保護之責任、軟體之智慧財產權規定等
。
〈七〉記錄及讀取資料及軟體之技術標準。
〈八〉保護機密或敏感性資料之安全措施(如使用加密技術)。
第五章 應用系統(網站)管理
四一、依本部資訊安全規定,網站及應用程式於上線前應定期完成弱點掃
描並完成弱點修補,應用系統(網站)委外承辦單位並應於合約中
明訂相關執行事宜及經費,以利承辦廠商執行。但未能預先規劃或
現行已上線系統未規劃執行者,可由電算中心執行,經費並由委外
承辦單位自行吸收。
四二、應用系統(網站)資安管理之執行作業,得參考下列規定:
〈一〉上線前:
1.應用系統應即時進行相關程式、服務軟體、資料庫系統等軟體弱
點掃描,並針對所有弱點、漏洞更新修補。廠商應提供原始碼以
供檢查。
2.應用程式所有輸入及輸出欄位應完成過濾及編碼(encode)排除
特殊字元(如'"!$%^&*_|-><;等)或跳脫字元,以避免被進行跨
網站(XSS)及資料庫注入攻擊(SQL-injection)。(相關防護
可參考OWASP Encoding Project)
3.針對應用系統程式、資料及資料庫應進行定期備份及配合本部執
行業務持續運作(BCM)演練。
〈二〉上線後:
1.應用系統應定期進行相關程式、服務軟體、資料庫系統等軟體弱
點掃描並依掃描報告要求完成弱點、漏洞更新修補。廠商應提供
原始碼以供檢查。
2.系統程式變更應依本部資安規範填具版本更新表,並保留所有版
本原始碼於系統負責人處。
3.個人資料及機敏性資料提供填報或資料上載應提供加密機制(如
SSH,SSL,SFTP等)。其因維護不當造成資料外洩者,依電腦處
理個人資料保護法負法律責任。