最新消息‎ > ‎

2016教育體系資通安全暨個人資料管理規範

張貼者:2016年8月7日 下午5:56陳文璟   [ 已更新 2016年8月7日 下午5:57 ]

一、 緣起  

網路的快速發展,改變了既有的業務處理模式,不單是業界,學校單位也感受到此股新興力量,許多行政工作藉由網路無遠弗屆的特性,加速了程序的進行,提升了整體的效率。然而,如同其他新興產業、領域碰到的問題一樣,相關 的法令制定、控制規範,往往跟不上日新月異的變化,因此,不單只是產業界,其實學校單位對於通用性資通安全規範的需求,早時有所聞。鑑於實務界已經發展成熟的資安規範,如 CNS17799 ISP Guide73:2002 BS7799 等, 此時此刻,正是為各級學校單位量身訂作規範的時機,如此才能確保各個行政程序的安全性。另外,考量到學校單位的重要性、急迫性以及可分配資源等因素,教育體系最適合進行資通安全管理規範的設計與施測;所以,本規範將 以教育體系為對象,期能設計出最適合相關單位施行的管理規範。 

 

二、 簡介  

本規範之制定乃為提供教育體系及相關單位之管理階層、資訊業務人員及一般教職人員一套有效建置與管理資訊安全管理系統 (Information Security Management System, 以下簡稱 ISMS) 模式;評估各單位資安管理上的需求、目標、結 果,並考量加入特有之作業程序、規模、架構等因素,量身訂做出有別於業界所採用之 ISMS 規範。為了讓施行資安管理單位能以花費最低成本、人力等資源,採漸進的方式逐步達成可行之規章條款,本規範強調實行度與執行效 率,期望能將此資安規範及相關之實施經驗推行到各單位,進而強化 TANet 中各連線學校單位的資通安全。 

 

三、 適用範圍 

本標準適用於教育部資訊及科技教育司、部屬館所、縣市網中心、大專院校以及高中職資訊管理單位等資訊業務相關單位 ( 或其他管理單位認為應加入 ISMS 規範範圍之部門 ) ,針對「學術網路系統」以及「行政資訊系統」兩大業務範疇,訂定教 育體系所屬機關、學校資訊安全管理規範,以提升資訊安全管理能力。有鑑於上述之單位,無論是層級、位置、規模有著不小的差異,為避免施行單位面對部分規範窒礙難行的問題,本標準將適用單位分為 - 二群,群組屬性為: 

  • 第一群:本群適用單位以教育部資訊及科技教育司、部屬館所、縣市網中心以及公私立大專院校 ( 計網中心及校務行政 ) 等為主;本群所屬單位 之特性,適用之規範須遵從較高的嚴謹度,除因規模較小或資源缺乏等限制得以轉換至第二群外,其他不得變更 ( 除了原屬第二群之單 位外 )  
  • 第二群:本群適用單位以公私立高中職學校 ( 資訊管理單位或因規模、資源因素轉至本群者及校務行政 ) 為主要對象;適用規範之嚴謹度較為寬鬆,乃為配合此群中所屬單位之規模與經費之故,但亦可根據自身的需求,轉往依循第一群之 準則。 

 

~「教育體系資通安全暨個人資料管理規範」業經教育部中華民國10585日以臺教資()字第1050094009B號令訂定發布,詳細規範請參考圖資室公告~