資安相關公告與宣導 2023-01-13 08:22:00

資安宣導:

*【斷線公告】2023/1/30~2/2 08:00~18:00基隆市教網中心調整核心設備影響教網中心提供之對外網路服務
事由:2023/1/30~2/2 08:00~18:00基隆市教育網路中心調整核心設備,期間致教網中心提供之對外服務有中斷之情形,對外服務及相關下轄單位將受影響,預計於2/2日18:00前恢復。

本次斷線分2階段
1.1/30-2/1 08:00~18:00
下轄市立學校輪流調整線路,調整中之學校將會斷線調整,其他學校暫不影響。
2.2/1-2/2 08:00~18:00
核心設備調整。調整期間核心網路中斷,學術網路將停止服務。

說明:
1.本次影響核心網路服務,及所有提供之對外網路連線服務。
2.調整核心服務可能需多次系統重啟運作,每次重啟過程將會中斷連接於核心服務設備之電路。
3.作業若提前完成則提前恢復服務。

·         2022/07/15 臺教國署秘字第1110089333號來文重申加強落實資通安全及個人資料保護相關規範:

※ 110年教育體系重大資安事件相關根因分析及建議措施下載

教育體系資安事件案例宣導1110112下載

·         2022/01/18 臺教國署秘字第1110007251號來文加強落實資通安全及個人資料保護相關規範:

o    因教育體系近期發生多起因管理不當導致重大資通安全事件,請加強檢核自身資通安全防護及相關措施:

§  因管理不當導致發生資通安全事件,將以不遮蔽學校名稱方式作為教育體系內部案例宣導。

§  針對發生重大資通安全事件之學校,將辦理或配合教育部資安專案實地稽核,未落實稽核缺失改善者,將循相關機制予以置處。

o    使用雲端資通服務(Google表單等)蒐集個人資料時,可能因設定不當而增加個資外洩及資安風險,請使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者,應注意資通系統或服務蒐集及使用個人資料之注意事項,以「最小化」為原則,並建置公告、資料收集審查機制,避免因系統設定錯誤或人為因素,誤將機敏個資、機密檔案公布於網路上。

o    請全體同仁踴躍參加資安及個資相關教育訓練,加強資安及個資保護意識。

·         2021/12/08 為強化各級學校師生遠距教學軟體與設備之資安防護,教育部訂定 「教育體系遠距教學之資訊安全指引」,以作為各校實施遠距教學時考量網路安全因素與預防措施之參考原則。

教育體系遠距教學之資訊安全指引下載

·         2021/10/05 各級學校使用資通系統或服務蒐集及使用個人資料之注意事項:

o    鑒於使用雲端資通服務(Google表單等)蒐集個人資料時,可能因設定不當而增加個資外洩及資安風險,請使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者,應注意旨揭事項,以「最小化」為原則,降低風險。

o    另提醒教職員工在處理個人資料時,應注意以下法規:

§  ()個人資料保護法第28條第1項「公務機關違反個人資料保護法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。」。

§  ()個人資料保護法第41條第1項「違反個人資料保護法有關特種資料的蒐集、處理或利用規定,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。」。

學校使用資通系統或服務蒐集及使用個人資料注意事項下載

·         2021/09/29 行政院國家資通安全會報技術服務中心緊急應處警訊通知:

o    行政院以前揭警訊通知各機關,微軟WindowsMSHTML引擎存在安全漏洞(CVE-2021-40444),允許攻擊者遠端執行任意程式碼,技服中心已發布資安訊息警訊(NCCST-ANA-2021-0000411),請各機關儘速完成內部資訊系統更新。

o    請下載更新作業檔案儲存至桌面後開啟執行→ https://drive.google.com/file/d/1GzG9at2HNVYO9AgFBS-uMhJf7hqOJQyc/view?usp=sharing

·         2021/09/16 建立網站公告內容審查機制,避免個人資料公開或外洩:

o    為強化對教職員工、學生個人資料之保護,請本校各處室建立網站公告內容審查機制,避免個人資料公開或外洩。

o    為促進個人資料之合理利用,請本校各處室儘速檢視網站已發布之公告內容,是否存有特定個人之資料(例如:姓名、出生年月日、就學資料、聯絡方式或其他得以直接或間接方式識別該個人之資料);如有者,請儘速下架,並將暫存網頁之資料移除。檢視流程請參閱本連結說明。

o    另請本校各處室依上揭審查流程,確實檢視每次規劃發布之網站公告是否涉及個人資料,以避免發生個人資料外洩之情事;如發生個人資料外洩時,亦應依「臺灣學術網路各級學校資通安全通報應變作業程序」規定,於知悉後1小時內,至臺灣學術網路危機處理中心完成資通安全事件通報。

·         2021/09/01 教育部辦理「全民資安素養自我評量」活動教育部自11091日至1031止舉辦「全民資安素養自我評量」活動,活動網站(https://isafeevent.moe.edu.tw),請師生於活動期間內踴躍上網觀看動畫教材及檢測資訊安全素養認知程度,並有機會參與抽獎。本活動為「校園資訊基礎環境110年執行成果」辦理項目之一,活動同時提供學習資源,答題結果亦可作為檢測資安素養程度之參考。本活動採用「教育雲端帳號」登入

·         2021/03/02 行政院資通安全處加強遠端存取控制機制相關事宜:

o    委外廠商進行遠端維護資通系統,應採「原則禁止、例外允許」方式辦理。

o    開放遠端存取期間原則以短天期為限,並建立異常行為管理機制。

o    於結束遠端存取期間後,應確實關閉網路連線,並更換遠端存取登入密碼。

o    未依前述規定辦理遠端存取控制措施,致機關發生資安事件,情節重大者,機關應依「公務機關所屬人員資通安全事項獎懲辦法」規定予以懲處。

·         2021/01/20 109學年度第一學期期末校務會議:

o    本校教職員生電子郵件改由教育部校園雲端電子郵件https://mail.edu.tw)提供服務。

o    校園網路認證改用教育雲(@mail.edu.tw)帳號登入。

o    校務會議簡報-MAIL向上集中

·         2020/10/08 行政院資通安全處有關辦理新進人員資安宣導相關事宜:

o    推廣簡易之資安行為準則,訂定資安宣導口號「密碼換新、程式更新、下載要當心」,以推展資安防護人人有責之觀念。

·         2020/08/28 109學年度第一學期期初校務會議:

o    公務機關個人電腦非經核准,不可安裝非公務用軟體。

o    為防止公務資料外洩,公立學校兼任行政職務之教師處理公務所需資訊,應使用學校配發之電子信箱收發公務所需資訊,不得使用非公務信箱進行公務郵件收發。教師教學使用之電子郵件服務尊重教師專業自主。

·         2020/07/14 108學年度第二學期期末校務會議:

o    因應「資通安全管理法」及相關子法於民國107年公告後,公立學校納入資安法所規範之對象,依據教育部國民及學前教育署109年度校園資通安全業務管理輔導團工作會議主席裁示錄製宣導影片,協助各校校長及教職員工瞭解本法之內容進行資安意識宣導,達成校園資通安全自主管理永續發展之目標。

·         2020/01/16 108學年度第一學期期末校務會議:

o    資通安全責任等級 D 級之各機關應辦事項:一般使用者及主管每人每年接受三小時以上之資通安全通識教育訓練。

o    公務電腦:(1)作業系統及軟體應定期更新。(2)安裝防毒軟體,將軟體設定為自動定期更新病毒碼。(3)個人電腦應設定螢幕保護機制。

o    密碼安全:(1)使用者應該對其人所持有密碼盡保密責任。(2)使用者的密碼設定應該包含大小寫英文、數字及符號,長度為8碼(含)以上。

·         2019/08/29 108學年度第一學期期初校務會議:

o    資通安全管理法10811日起施行。一般使用者及主管每年3小時以上資通安全通識教育訓練。

o    近期屢有使用雲端硬碟服務導致受害之資安案例發生,對機關影響重大,請檢視使用之必要性,倘確有使用需求,請依下列事項配合辦理:(1)公務機密或敏感資料請勿放置於雲端硬碟。(2)使用雲端硬碟時,請勿安裝使用自動同步程式,應以瀏覽器存取的方式,避免惡意程式侵入校園網路。

o    近期發現多起利用社交工程郵件夾帶微軟Office文件並開啟巨集功能下載惡意程式之攻擊手法,請預設關閉微軟Office文件巨集功能,避免遭有心人士利用進行攻擊。


教育訓練(一般使用者及主管):

每年3小時以上之資通安全通識教育訓練(下面有線上課程)

·         2022/08/29 111學年度第一學期期初校務會議:

o    透視網路詐騙與防範(教師e學院)(課後評量

·         2022/06/30 110學年度第二學期期末校務會議:

o    智慧型手機安全管理(教師e學院)(課後評量

·         2022/01/20 110學年度第一學期期末校務會議:

o    社群服務使用的個資保護(教師e學院)(課後評量

·         2021/10/15 資安向上集中Google轉移內容。

·         2021/10/13 資安向上集中公版網站編輯。

·         2021/10/12 資安向上集中公版網站編輯。

·         2021/08/12 資安向上集中公版網站轉移。

·         2021/07/02 109學年度第二學期期末校務會議:

o    國立基隆高級中學教職員工資通安全線上研習說明

·         2021/01/25 資安驗證中心資安教育訓練數位課程:

o    https://reurl.cc/bzR8zd

o    3個主題:「資安數位課程」、「個資數位課程」、「資通安全管理法數位教育訓練」。每個主題有6個單元,每單元20分鐘的影片、講義,完成1個主題課程後可以線上進行測驗。

o    通過測驗後將產出教育訓練時數2小時證明PDF檔至信箱。

·         2021/01/20 109學年度第一學期期末校務會議:

o    校務會議簡報-MAIL向上集中

o    用身份證取回教育雲端帳號…YouTube

·         2020/08/28 109學年度第一學期期初校務會議:

o    防範電子郵件社交工程

o    疾管署「最終通知」假郵件 小心遭駭!

·         2020/07/14 108學年度第二學期期末校務會議:

o    談資安法要求

·         2020/01/16 108學年度第一學期期末校務會議:

o    網路犯罪掀資安隱憂

·         2019/08/29 108學年度第一學期期初校務會議:

o    資安法上路!建構資通安全新時代

教育訓練(資安人員):

每年12小時以上資安專業課程訓練或資安職能訓練

·         2022/04/14 教育部國民及學前教育署111年度校園資通安全專責人員知能研習:

o    資安現況(資安六法與個資法)與未來趨勢

o    行政院國家資通安全會報資通安全作業管考系統填報、110年實地稽核重要缺失說明

o    111年實地稽核暨社群運作說明

·         2022/03/13 DNSWEB向上集中111年度公版網頁第1次工作會議

·         2022/03/08 DNSWEB111年度國立高級中等以下學校DNS、學校網頁及電子郵件向上集中資通安全視訊研習

·         2022/01/11 111年度國立高級中等以下學校電子郵件系統向上集中說明會

·         2021/10/06 DNSWEB向上集中期末交流會議暨資通安全教育訓練

·         2021/09/14 DNSWEB新任業務承辦人員教育訓練

·         2021/08/20 個資防護暨資通安全作業方式簡介研討會

·         2021/08/12 利用多層次縱深防禦確保資料安全

·         2021/08/10 從資安防護論個資保護重要性

·         2021/08/02 運作一個以人為本的傳染病營運持續實務

·         2021/07/29 疫情下的資安威脅與轉機

·         2021/07/26 疫情風暴下的個資管理

·         2021/07/06 資訊學科中心資訊安全研習

·         2021/05/17 DNSWEB向上集中期中交流會議暨公版網頁說明會

·         2021/04/14 教育體系資通安全事件通報應變及預防研討會:

o    資通安全事件通報、處理及鑑識前準備

o    資通安全事件預防及法規遵循

·         2021/03/16-17 110年度校園資通安全專責人員知能研習:

o    110年資通安全政策及推動

o    資通安全維護計畫填報與實地稽核訪視說明

o    110年度維護計畫查核表演練說明與資產盤點及風險評鑑

o    資安健檢、弱點掃描與滲透測試

o    資安事件通報與應變、惡意程式檢測與數位鑑識與處理

o    校園資訊機房維運管理

o    行政院109年資通安全維護計畫填寫

·         2020/09/25 109年度校園資通安全專責人員知能研習:

o    109年度資通安全維護計畫實施情形線上查核及實地稽核訪視說明

o    資通系統服務委外管理

o    校園網路安全防護

·         2020/08/05 109年第1次政府資通安全防護巡迴研討會數位課程:(e等公務園

o    資安威脅趨勢與案例分享

o    資通安全管理法施行情形說明

o    GCB推動與VANS機制說明

·         2020/07/06 校園資通安全業務管理輔導團:

o    校園機房管理與安全簡報檔案

·         2020/04/27 校園資通安全業務管理輔導團:

o    資產盤點與風險評鑑簡報檔案

·         2020/04/27 校園資通安全業務管理輔導團:

o    談資安法要求簡報檔案

·         2020/04/27 校園資通安全業務管理輔導團:

o    資通安全維護計畫撰寫簡報檔案

教育訓練(線上課程):

我的e政府公務帳號者,建議使用「e等公務園+學習平臺」:https://elearn.hrd.gov.tw

·         關鍵字搜尋「資安」,推薦課程:

o    資通安全管理法介紹1小時)

o    5G網路、應用與資安議題1小時)

o    重大政策議題-資訊科技1小時)

o    最佳密碼建議1小時)

o    智慧政府發展與資訊安全3小時)

教育雲帳號,建議使用「教師e學院https://ups.moe.edu.tw

·         熱門標籤搜尋「資訊安全」,推薦課程:

o    資訊安全的意涵與防範1小時)

o    智慧型手機安全管理1小時)

o    社群服務使用的個資保護1小時)

o    透視網路詐騙與防範1小時)

o    網路社群的隱私與保護1小時)

其他資源:

·         資安驗證中心資安教育訓練數位課程:

o    https://reurl.cc/bzR8zd

o    111年度:「資通安全管理法:各單位因應之道」。

o    109年度:「資安數位課程」、「個資數位課程」、「資通安全管理法數位教育訓練」。

o    通過測驗後將產出教育訓練時數2小時證明PDF檔至信箱。

·         教育部辦理「全民資安素養自我評量」活動

o    教育部每年舉辦「全民資安素養自我評量」活動,110年度時間:110/9/1~10/31

o    活動網站(https://isafeevent.moe.edu.tw),請師生於活動期間內踴躍上網觀看動畫教材及檢測資訊安全素養認知程度,並有機會參與抽獎。

o    本活動為「校園資訊基礎環境110年執行成果」辦理項目之一,活動同時提供學習資源,答題結果亦可作為檢測資安素養程度之參考

o    本活動採用「教育雲端帳號」登入


公務環境:

·         資安宣導口號「密碼換新、程式更新、下載要當心

·         設定密碼:大小寫英文字母/數字/符號,長度8碼()以上。最長期限180天。錯誤3次鎖定。

·         更改密碼:(每6個月更新一次,忘記密碼請聯絡後的管理單位)

o    教職員工信箱、無線網路認證→ 教育雲

o    線上差勤管理→ 人事室

o    電子公文系統→ 文書組

·         設定螢幕保護:設定個人化鎖定畫面螢幕保護程式設定→10分鐘+登入密碼

·         作業系統更新:設定更新與安全性→Windows Update

·         安裝防毒軟體,更新病毒碼(本校購置 Dr. Web,最新授權至20236月),設定排程定期掃描。

·         更新應用程式:、7-zip(檔案解壓縮:下載最新)、LibreOffice(文書處理自由軟體:下載最新)。

·         非經核准,不可安裝非公務用軟體。

·         電子郵件附件及下載檔案在使用前需檢查有無惡意軟體。

·         重要資料備份:至少每月一次。

·         機密性資料妥善保存於上鎖的櫃子,下班後將經辦之機密性或敏感性資料妥善收藏。

https://www.klsh.kl.edu.tw/wp-content/uploads/sites/36/2021/10/desktop-043-1024x576.png

社交工程:

·         使用Outlook收信軟體,請務必關閉郵件預覽功能。

·         陌生郵件不開附件檔!不點入連結!

·         不轉發非業務相關郵件。

·         常見的社交工程攻擊方式有哪些?應如何防範?(行政院資通安全處)

·         疾管署「最終通知」假郵件 小心遭駭!(華視新聞)

防毒防駭:

·         防毒軟體:

o    校內電腦授權更新請至總務處(全校)或設備組(教學)登記,由維護廠商協助安裝更新。

o    個人使用電腦推薦安裝 Avira(小紅傘)免費版。(只能安裝一個,多裝無益)

·         漏洞修補:

o    TACERT-ANA-2020101602100606

o    行政院國家資通安全會報技術服務中心(漏洞警訊)

o    TACERT台灣學術網路危機處理中心(漏洞通告)

o    台北第二區網中心(資安預警)

遠端連線:

·         2021/03/02 行政院資通安全處加強遠端存取控制機制相關事宜:

o    委外廠商進行遠端維護資通系統,應採「原則禁止、例外允許」方式辦理。

o    申請表在本網頁最下方附件區:D-049遠端連線申請表。

o    開放遠端存取期間原則以短天期為限,並建立異常行為管理機制。

o    於結束遠端存取期間後,應關閉網路連線,並更換遠端存取登入密碼。

·         校外電腦不得使用AnyDeskTeamViewer等資安高風險遠端桌面軟體連線校內電腦。

個資保護:

·         依教育部11098日臺教資()字第1100122001號函,使用雲端資通服務(Google表單等)蒐集個人資料時,可能因設定不當而增加個資外洩及資安風險,請使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者,應注意資通系統或服務蒐集及使用個人資料之注意事項,以「最小化」為原則。

學校使用資通系統或服務蒐集及使用個人資料注意事項下載

·         建置網站公告審查機制,避免因系統設定錯誤或人為因素,誤將機敏個資、機密檔案公布於網路上。如發生資通安全事件,應依資安法規範辦理資安通報。

·         請全體同仁踴躍參加資安及個資相關教育訓練,加強資安及個資保護意識。

·         委外單位受機關委請蒐集、處理或利用個人資料及檔案時,依個人資料保護法、個人資料保護法施行細則及教育部所訂定之規定訂定保密條款,共同遵守。教育部委外專案個人資料保護條款(範本)


資安通報:

·         教育機構資安通報平台

資安通報流程

資安機構:

·         國家資通安全通報應變網站

·         行政院國家資通安全會報

·         行政院國家資通安全會報技術服務中心

·         TACERT台灣學術網路危機處理中心

·         台北第二區網中心(資安預警)

·         教育部國教署校園資通安全業務管理輔導團

資安網站:

·         教育部全民資安素養網站

·         教育部全民資安素養自我評量(每年9/1-10/31實施資安素養程式檢測)

·         165全民防騙網

管理法規:

·         資通安全管理法

·         資通安全管理法施行細則

·         資通安全責任等級分級辦法

·         資通安全事件通報及應變辦法

·         教育部個人資料保護管理要點

教育體系因應資安管理法之策略作為下載

學校使用資通系統或服務蒐集及使用個人資料注意事項下載

教育體系遠距教學之資訊安全指引下載