大綱

資訊安全簡介

教育體系資通安全管理規範

教育機構個人資料保護工作事項

資訊安全

C

I

資訊安

全

A

何謂資訊安全

確保資訊的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)

機密性

使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。

密碼貼在螢幕上

機密文件當廢紙回收

元首乘坐的車輛

完整性

保護資產的準確度(Accuracy)和完全性(Completeness)的性質。

踩剎車但是車子卻加速

方向盤只能左轉

成績、網頁內容被竄改

可用性

經授權個體因應需求之可存取及可使用的性質。

汽車無法發動

機場塔台停電

網路訂票當機

可用性

資訊安全面向

技術管理

常見資安防禦技術

防毒軟體(Anti Virus)

防火牆(Firewall)

入侵防禦系統(Intrusion Prevention Systems ，IPS)

防毒軟體運作原理

對防毒軟體誤解

掃描未發現病毒就是安全

裝了防毒軟體就不會中毒

評比最好的防毒軟體最安全

防火牆

防火牆運作模式

來源 目的 時間 動作

教職員 校內 任何時間 通過

學生 校內 平日 禁止

學生 校內 假日 通過

廠商 校內 任何時間 通過

來賓 校內 任何時間 通過

防火牆的限制

無法防禦內部攻擊。

無法阻擋未知的威脅。

無法主動攔截病毒通過。

防火牆佈署

類型 閘道防火牆 個人防火牆

佈署地點 整體網域出入口 個人電腦

防禦內部網路攻擊 NO YES

自訂個人化規則 NO YES

降低個人系統負擔 YES NO

入侵防禦系統運作原理

行為

特徵

指紋檔

入侵防禦系統的限制

行為模式誤判

指紋檔無法即時產生

安全與時效的平衡

資安管理

管理

制度

稽核

教育

訓練

資安制度

ISO/IEC 27001:2005

教育體系資通安全管理規範

電腦病毒及惡意軟體之控制(A.10.4.1)

網路服務之安全控制(A.10.6.2)

網路服務之限制(A.11.3.1)

資安稽核

外部

主管

機關

驗證

機構

利害

團體

資安稽核

內部

管理

階層

內稽

人員

教育訓練

社交工程(Social Engineering)

以影響力或說服力來欺騙他人，以獲得有用的資訊，這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。

建立正確防範社交工程的觀念，包括人員的教育訓練與平常的宣導。

資料來源:http://www.i-security.tw/topic/topic_sg.asp?id=106

駭客社交工程競賽

駭客社交工程競賽

目標企業

英國石油（BP）、殼牌石油（Shell）

Google、PG&E、微軟、蘋果、思科

福特汽車、可口可樂、百事可樂

演練結果

50幾名企業員工中，只有3人察覺有異，沒有提供任何回答即掛斷電話，這3人都是女性

資料來源http://www.zdnet.com.tw/news/software/0,2000085678,2014

6871,00.htm

有效防範社交工程的方法

認識常見社交工程的可疑徵兆

隨時具備危機意識，惡意人士可能以任何角色或形式出現，在沒有適當的認證情況下，不應輕信他人，只要出現社交工程攻擊警訊，都應保持小心求證的戒心。認識幾個社交工程的可疑徵兆，例如對方強調是緊急事件；提出不尋常的請求；威脅對方如果不照辦會有嚴重的後果；拒絕告知回電號碼…等，遇有上述情形時應提高警覺心。

有效防範社交工程的方法

遵守安全政策與程序 確認要求者的身分

平時亦應遵守安全政策與程序，例如依資料分級制度流通資訊，不開啟來路不明的電子郵件等，在任何資訊釋出時，都要確認要求者的身分及對方經過授權。

通報作業

遇到疑似攻擊事件時應向有關單位通報。

資料來源:http://www.i-security.tw/topic/topic_sg.asp?id=106

教育體系資通安全管理規範

參考ISO/IEC 27001:2005(E) ISMS規範

依據教育體系與相關單位的特性及需求

參考文件

行政院及所屬各機關資訊安全管理規範。

ISO/IEC 27001:2005(E) 規範。

ISO/IEC 17799:2005資訊技術─安全技術─資訊安全管理之作業要點。

CNS17799資訊技術─資訊安全管理之作業要點

規範內容摘要

資訊安全管理系統(ISMS)建置步驟

ISMS之建立

ISMS之實施與操作

ISMS之監控及審查

ISMS之維持及改進

控制目標與控制措施

A.5 資訊安全政策訂定與評估

資訊安全政策制定

資訊安全政策評估

控制目標與控制措施

A.6 資訊安全組織

資訊安全組織推動與權責

施行單位外部人員存取安全管理

控制目標與控制措施

A.7資訊資產分類與管制

資訊資產分類與責任分屬

○ 資訊資產目錄建立

○ 資訊安全等級分類

建議分類

人員、文件、軟體、通訊

硬體、資料、環境

控制目標與控制措施

A.8人員安全管理與教育訓練

聘任前之處理

聘用中之處理

結束聘任或改變職務

控制目標與控制措施

A.9實體與環境安全

區域之安全

設備之安全

控制目標與控制措施

A.10通訊與作業安全管理 作業程序與責任

資訊作業委外服務之安全管理

系統規劃與驗收

電腦病毒、惡意軟體

備份作業之管控

網路安全管理

儲存媒體的處理與安全

資訊與軟體交換

系統存取及應用之監督

控制目標與控制措施

A.11存取控制安全

使用者存取控制

使用者責任

網路存取控制措施

作業系統存取控制

應用系統的存取控制

行動式電腦作業與遠距工作管理

控制目標與控制措施

A.12系統開發與維護之安全

系統安全要求

應用系統安全

加密控制措施

系統檔案安全

開發與支援作業的控制

系統弱點管理

控制目標與控制措施

A.13資訊安全事件之反應及處理

資訊安全事件與弱點之通報

○ 事件 vs 事故

資訊安全事件之管理

控制目標與控制措施

A.14業務永續運作管理

永續運作管理之規劃

○ 業務永續運作之規劃程序

○ 永續運作計畫之測詴及更新

控制目標與控制措施

A.15相關法規與施行單位政策之符合性

法規之遵守

安全政策與技術符合性之檢驗

系統稽核的考量

目的

一、本指引係依據「個人資料保護法」、「個人資料保護法施行細則」及「教育體系資通安全管理規範」等相關規定為基礎引申訂定之。

目的

二、除遵循上述法令及規範外，教育機構教、職、員、生、約聘人員及相關委外合作廠商等，應參考本工作事項之管理措施，或配合各校所修改或引用適當之項目，保護機關學校相關程序所產生或經手的書面或電子之個人資料。

目的

三、機關學校應定期執行稽核作業，以確保相關管理措施之有效性。

查核項目

1.4 個人資料之處理行為是否經權責單位核准，釐定使用範圍及調閱、存取權限？

1.5 個人資料之處理行為是否留存使用者身分與其行為紀錄以供事後稽查？

1.6 含有個人資料之紙本報表，其處理及利用行為是否有適當之授權、監督，及記錄列印、轉交等行為？

查核項目

1.7 交換紙本個人資料時，是否採取彌封或其他具備保密機制之傳遞方式？

1.8 交換個人資料時，是否記錄轉交或傳輸行為之流向？

1.9 對於個人資料之調閱，是否有申請及核准程序？

1.10 對於個人資料之調閱，是否記錄並保存調閱者身分及行為？

查核項目

1.11 若需於單位管理之網站或網頁公佈個人資料時，是否經所屬單位主管核准，並依相關法律及規範處理？

1.12 處理個人資料檔案之個人電腦，是否設置使用者代碼及通行碼？

1.13 通行碼是否至少每六個月更換一次，長度應至少8碼，且包含文數字？

1.14 是否與他人共用電腦系統帳號？

查核項目

1.15 處理個人資料是否採取權限區隔，非專責處理特定個人資料者不得具有存取或查閱個人資料之權限？

1.16 個人資料檔案是否予以加密？

1.17 是否至少每月備份電腦內個人資料檔案？

1.18 個人資料檔案使用完畢後，是否立即退出應用程式？

查核項目

1.19 電腦是否使用螢幕保護程式並設定密碼，並將螢幕保護啟動時間設定為15分鐘以內？

1.20 交換個人資料檔案時，是否對資料檔案加密，或是透過加密通道傳送？

1.21 是否禁止開啟網路芳鄰分享目錄與檔案？

1.22 是否停用作業系統Guest帳號？

1.23 是否禁止使用MSN或其他即時通訊軟體傳輸個人資料檔案？

查核項目

1.24 是否禁止使用外部網頁式電子郵件(Webmail)傳輸個人資料檔案？

1.25 是否禁止使用點對點(P2P)軟體及Tunnel相關工具下載或提供分享檔案？

1.26 是否將存放敏感性個人檔案資料的電腦與外部網路隔絕（如：防火牆）？

查核項目

1.27 存放個人資料之資訊設備是否安裝防毒軟體，並至少每日更新病毒碼，且每周執行完整掃瞄？

1.28 存放個人資料之資訊設備是否定期檢視、更新作業系統及應用程式漏洞？

查核項目

2.1 是否指定專人負責管理儲存個人資料檔案之資訊設備與其他相關設施，並檢視、處理其錯誤或異常事件等訊息？

2.2 儲存個人資料之資訊設備是否置放於實體安全區域（如：門禁控管之辦公區域、機房）？

2.3 儲存個人資料檔案之磁碟、磁帶，及紙本等相關儲存媒體，是否指定專人管理，並置於實體保護之環境？

查核項目

2.4 儲存個人資料檔案之儲存媒體，是否建立備援機制？

2.5 儲存個人資料檔案之媒體是否有攜出、拷貝或複製的管控機制，並留存紀錄？

2.6 外部團體或個人更新或維修儲存個人資料檔案之電腦設備時，是否指派專人在場確保資料安全？

2.7 儲存個人資料檔案之電腦或相關設備如需報廢或移轉他用，是否刪除其所儲存之個人資料檔案？

查核項目

3.1 機關學校是否對處理個人資料檔案之人員施予資訊安全與個資隱私保護之教育訓練，並定期於單位內宣導個資隱私保護之重要性？

3.2 處理個人資料檔案之人員職務異動時，是否依規定列冊移交相關儲存媒體及資料？

查核項目

3.3 處理個人資料檔案之人員職務異動時，接替人員是否於相關系統重置通行碼，並視需要更換使用者識別帳號？

3.4 處理個人資料檔案之人員，是否簽訂保密切結書？

3.5 處理個人資料檔案之人員離職或合約終止時時，是否依規定取消或停用其使用者識別帳號並收繳通行證件？

查核項目

4.1 處理個人資料檔案之資訊系統，是否在將個人資料檔案的安全需求納入系統開發考量（如：邏輯測試）？

4.2 處理個人資料檔案的資訊系統之維護、更新、上線、及版本異動等作業，是否有安全管控措施？

4.3 維護人員或系統服務廠商以遠端登入方式進行牽涉個人資料的資訊系統維護或其他有關之運作時，是否透過加密通道進行（如：HTTPS、SSH等）？

查核項目

4.4 處理個人資料檔案資訊系統之開發，是否避免以真實個人資料進行測試？如需使用，是否於完成測試作業後立即移除，或將可辨識之個人資料修改為無法辨識之模糊資訊？

4.5 委外建檔的個人資料檔案，是否於委外合約中載明所處理之個人資料保密義務、資訊安全相關責任及違反之罰則？