移到主要內容
  • :::
  • 回首頁
  • 網站導覽
  • 學程舊網站
:::

請周知本校教職員工生留意資訊安全及個人資料保護

資訊安全宣導事項

  • 大陸廠牌資通訊設備宣導
    • 公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體。
    • 大陸廠牌認定方式:由機關「從嚴認定」,所有屬大陸廠牌者,
      無論其原產地於我國、大陸地區或第三地區等,渠等產品均須納入其範圍,
      附件之清單僅供參考,若無法認定時,建議請廠商提供說明或文件證明其非大陸廠牌
    • 資通訊設備產品定義:參考資通安全管理法第3條用詞定義,包含軟體、硬體及服務等項,
      • 軟體:資通系統,如應用軟體、系統軟體、開發工具、客製化套裝軟體、APP及電腦作業系統等。
      • 硬體:具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品如無人機、網路攝影機、印表機等
      • 服務:資通服務,如客服服務及軟硬體資產維護服務等。
    • 公務用資通訊產品(含軟體、硬體及服務)不得使用大陸廠牌,
      若因業務需求且無其他替代方案,仍需使用危害國家資通安全產品時,應具體敘明理由
      並經本校      資通安全長(陳副校長)及上級機關(教育部)資通安全長逐級核可,並函報資通安全管理法主管機關(數位發展部)核定
      產品未汰換前,應加強下列資安強化措施
      • 強化資安管理措施,例如:設定高強度密碼(長度建議10碼以上,複雜度建議包含大小寫英文、數字、符號)、禁止遠端維護等。
      • 產品遇資安攻擊導致顯示畫面遭置換,應立即置換靜態畫面,或立即關機。
      • 產品若為硬體,應確認其不具WiFi等持續連網功能(非僅以軟體關閉)。若需以外接裝置方式進行更新,須有專人在旁全程監督,於傳輸完成後立即移除外接裝置。
      • 產品使用屆期後不得再購買危害國家資通安全產品
    • 各單位出租場域時應於合約中註記本校場域禁止使用大陸廠牌設備,若無其他替代產品仍應禁止大陸產品連接至本校公務網路,並加強管控。
  • 使用FTP服務傳輸資料(通常用於印表機掃描後傳輸至電腦)時,務必注意資料外洩之情形,關閉匿名模式或透過防火牆限制IP範圍以達到限制未經允許之設備存取。
  • 微軟公司(Microsoft)預計於2025年10月14日之後停止Windows10及以下版本之安全性更新,建請各單位留意所屬電腦之作業系統更新,並盡快排定相關更新流程,詳情請閱覽微軟官方說明(https://www.microsoft.com/zh-tw/windows/end-of-support)
  • 處理公務應使用機關提供之資訊設備、網路,及規定之軟體,勿任意安裝不明軟體、連結不明網站或開啟不明電子郵件,以免感染電腦病毒、木馬或惡意程式。
  • 作業系統應經常更新,修補程式漏洞,避免被駭客攻擊(例如:勒索病毒)
  • 一般使用者及主管,每年應接受3小時以上之資通安全通識教育訓練,以維持並強化個人對資通安全的新知新見。
  • 個人電腦應安裝掃毒軟體,定期更新病毒碼,防堵可能中毒的網路管道,隨身碟或外接式硬碟等儲存設備,放入電腦讀取前應先進行掃毒再使用。
  • 公務資料應定期備份,可以在中毒或遭受攻擊時將損失風險降到最低。
  • 不使用公務電子信箱帳號登記做為非公務網站的帳號,如社群網站、電商服務等。
  • 公務資料傳遞及聯繫應使用公務電子郵件帳號,不使用非公務電子郵件傳送或討論公務訊息。
  • 應注意不使用即時通訊軟體傳送帳號、密碼或公務敏感資料。
  • 傳送公務資訊或個人資料等,應有適當保護,例如加密傳送
  • 公務使用之物聯網設備(如網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等)帳號密碼必須妥善保存,並遵守機關規定,密碼設定應注重複雜度物聯網設備請使用虛擬IP10.X.X.X),防止實體IP易受駭客攻擊致產生資安事件,如有疑慮,請聯絡資安窗口分機:7259電算中心網路組。
  • 帳號密碼必須妥善保存,並遵守機關規定,密碼設定應注重複雜度,禁止使用與帳號名稱相同、身分證字號、學校代碼、易猜測之弱密碼或其他公開資訊,如有外洩疑慮,除了儘速更換密碼外,應通報資安窗口。特別是主管等級密碼,務必留意安全設定,避免電子郵件被盜用,成為單位詐騙工具。
  • 業務承辦人接獲指示交辦之郵件,應小心求證,確認為長官或業務相關對口之本意,方可配合辦理。
  • 委外辦理資通系統時,應將資通系統依防護基準要求之安全需求,明定委外契約,並於上線前落實安全檢測。
  • 資通系統存取控制,應採最小權限原則,非業務需要,不得提供授權。
  • 有資安疑慮或異常時,應即時通報資安窗口
  • 應遵守個人資料保護法及資通安全管理法之相關要求。

個人資料保護宣導事項:

  • 各單位(包含行政單位、教學單位、學生社團)處理教職員工生之個人資料時,應依據「個人資料保護法」及相關規定處理,不可違反個資法,蒐集、洩漏個資或進行非公務以外之用途
  • 各單位須公告資料時,請再三確認是否有包含個人資料,並適當進行遮蔽(常見的個資遮蔽不完全範例請參考國立臺灣大學-淺談個資遮罩),建議完稿前對於原稿要進行截圖處理(用「Print Screen + 小畫家」或「剪取工具」),刪掉原稿上的要遮罩的文字與圖像,貼上截圖即可
  • 遇有學校以外單位索取個資時,主管單位應依據「個人資料保護法」及相關規定嚴予審查,並簽奉校長核可方能提供資料。
  • 個人資料之傳遞,應採安全可靠之機制,如以電子檔傳送,應對資料檔案壓縮加密後方可傳輸;如以實體文件(紙本)傳遞,應裝袋並彌封,所有傳遞行為應加以記錄流向備查。
  • 業務承辦人所持有之個人資料檔案應加密保護,使用完畢後,應立即退出應用程式。
  • 承辦各項活動時,應採用最少個資方式陳列,勿將不相關之敏感個資(如身分證號、出生日期、電話...)公開於活動資料、海報或簽到簿。
  • 為行政目的使用資通系統或雲端資通服務(Google表單、Microsoft Forms等問卷調查服務)涉及蒐集個人資料者,應注意資料蒐集是否最小化,也要留意各項存取控制及詳閱設定內容,以維護個人資料之安全性。
  • 資訊設備應設有螢幕保護程式,並設定密碼,承辦人離開座位時應啟動螢幕保護
  • 各項密碼建議每三個月應更換一次,應注重提升密碼之長度及複雜度,以有效保護個人資料。
  • 禁止使用各項即時通訊軟體(LINESKYPEWECHAT、Discord..)傳遞個資。
  • 處理個資檔案之資訊設備如需報廢或移轉他用時,應確實銷毀設備內之個人資料檔案。
  • 應遵守個人資料保護法及資通安全管理法之相關要求。

請參考本校資安及個資保護專區:https://www.ncyu.edu.tw/pims

檔案下載
點閱 點閱:5 更新時間 更新時間:2024-12-03 20:24 發佈時間 發佈時間:2024-12-03 20:24 發佈單位 發佈單位:農場管理進修學士學位學程