資訊安全政策
資安韌性是組織永續營運的關鍵指標,本校因應層出不窮之資安威脅,針對資訊委外安全、人員資安認知、系統向上集中及災難備援等問題分析,就管理面、技術面及認知與 訓練面等制度面向強化具體作法,透過持續精進的資安管理機制與風險評估流程,不斷強化資安治理成熟度,以降低資通系統之威脅及風險,進一步維護教職員工生之權益。 建置完善的資通安全政策,全校導入資訊安全管理制度是本校治理的重要指標,本校由上而下設置資通安全推動委員會及資通安全推動小組,進行資通系統及資訊之盤點及資通安全風險評估,定期內部稽核管審並持續檢討改進,以鞏固本校優質教育成為永續發展的基礎。為落實全校導入資訊安全管理制度,建立全校單位資通系統自我檢核制度, 強化全校資安觀念降低資通訊系統風險,全力辦理資安教育訓練及推動說明會,盡力達到全校性導入資訊安全管理制度之要求,以遵循主管機關和政府及資安法相關規範。
資安推動組織
______________________________________________________________________________________________________________________________________________________________
資通安全政策
______________________________________________________________________________________________________________________________________________________________
為使本校業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、 破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity) 及可用性(Availability), 特制訂本政策如下,以供全體同仁共同遵循:
1 | 應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化, 檢討資通安全風險管理之有效性 |
2 | 應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改 |
3 | 應強固核心資通系統之韌性,確保機關業務持續營運 |
4 | 應因應資通安全威脅情勢變化,辦理資通安全教育訓練, 以提高本校同仁之資通安全意識,本校同仁亦應確實參與訓練 |
5 | 針對辦理資通安全業務有功人員應進行獎勵 |
6 | 勿開啟來路不明或無法明確辨識寄件人之電子郵件 |
7 | 禁止多人共用單一資通系統帳號 |
8 | 健全資訊安全管理架構,提供安全信賴資訊服務 |
資通安全執行成效
______________________________________________________________________________________________________________________________________________________________
資安可用性之永續發展 |
本校建置企業級規模之雲端機房,將校內所有行政單位資訊系統向上集中且雲端虛擬化,並啟用高負載備援機房,避免主要機房發生異常時服務中斷,以確保業務持續運作無虞 | ||
為確保資安相關法規之確實落實,針對資通安全網路存取控制逐步進行管控作為,並依照人員與資訊系統面相分別落實,以提升資訊安全永續發展 | |||
為落實人員之資訊安全,採以行政、研究與學術網段區分作業,將行政與研究人員及學術單位之行政體系人員納入管控,以提升個資與機敏感資料之保護。採用各項資安控管軟體防火牆之橫向整合,配合資通安全弱點通報機制 (VANS),並利用端點控管軟體一併導入政府組態基準 (GCB),以全面提升人員、電腦裝置與軟體之安全性 | |||
資安機密性之永續發展 |
針對強化資訊系統之資訊安全,本校落實資訊系統向上集中之範疇,將一般電信網路進行全面清查與中斷,並針對校外連入作業進行全面管控,透過防火牆限制,僅允許納管之資訊 系統網路連入服務,藉以將所有資訊系統確實納管,並落實資通安全管理法應辦事項 | ||
對外服務之網站要求全面導入HSTS,並全面啟用 HSTSPreload 機制,以確保本校所有網站均以 HTTPS 安全連線作業,並統一管理憑證私鑰降低風險。此外,亦全面導入 SSL/TLS 解 密作業,使資安設備防護功能效益最大化,透過解密機制可進一步檢視封包安全性,並導入網頁應用程式防火牆進一步強化防護基準 | |||
資安完整性之永續發展 |
除人員與資訊系統以防火牆控管進行政策之導入外,為落實資安稽核與管考作業,結合各項自由軟體與 Open Source 系統、網路管理與日誌分析系統,包括:自動化控制 (Airflow)、 日誌收容與分析 (Graylog、Elastic、Kibana、Grafana)、網路監控 (LibreNMS、Cacti) 與憑證管理系統 (EJBCA)…等,並採用其他商業分析軟體進行即時監控,並進行各項橫向整合與串接,以達到自動化管理最大化之效益 | ||
資訊單位資料庫稽核 (DB Audit) 導入,針對資料庫存取行為與交易紀錄 (Transation Log) 逐筆紀錄追蹤,監測並告警資料庫異常存取。此外,本校針對危害國家安全產品與有資安外洩疑慮之廠牌與產品訂定相關規範並進行採購之限制,避免有風險之產品造成個資或機敏感資料之危害與風險 | |||
112 年機關經費比例 |
名稱 | 經費 | 占比 |
機關實際執行經費 | 4,382,710,000 | - | |
資訊經費 | 132,549,000 | 3.02% | |
資安經費 | 5,510,000 | 4.15% | |
資訊機房備援架構 |
本校各大樓間透過光纖網路連接,校內骨幹網路頻寬達到 Giga Ethernet 之服務等級,且於共同科館機房與先鋒國際研發大樓機房建置兩部核心骨幹交換器、次世代防火牆以及流量可 視性套件,並採用星狀網路架構連接科技大樓、綜合科館、億光大樓及周圍大樓網路交換器,形成核心骨幹網路雙主動 (Active-Active) 備援機制,任一核心骨幹交換器故障均不影響網 路連線 | ||
聯外網路透過中華電信光纖網路 (5Gb) 連結臺北區網中心 ( 臺灣大學 ) 進入臺灣學術網路 (TANet),及建置連接中華電信數條企業光纖線路直接連線至網際網路 (Internet)(500Mb*5),藉由聯外線路負載平衡設備,達到臺灣學術網路與網際網路流量分流及互相備援之架構 |
資安認知與訓練辦理情形
______________________________________________________________________________________________________________________________________________________________
為輔導及培養本校資訊安全管理制度之種子團隊,計網中心資訊人員目前有 25 位成員取得 ISO/IEC 27001: 2013 最新版主導稽核員 (Lead Auditor) 證書,並持有 6 張資安職能評量證書,以利用其專業知識教育種子團隊,養成資安稽核基礎。
為強化學校人員資通安全認知與訓練,辦理公務人員終身學習時數規範,將資安課程納入本校業務相關 3 小時 之必要課程。並將相關訓練列入內部稽核要項,定期彙整統計資料,以確實掌握本校資通安全教育訓練情形與成效。