113 年國教署資安宣導

Post author:張智為
Post published:2024/08/12
Post category:資通安全公告

一、依個人資料保護法第50 條規定：「非公務機關之代表人、管理人或其他有
代表權人，因該非公務機關依前三條規定受罰鍰處罰時，除能證明已盡防
止義務者外，應並受同一額度罰鍰之處罰。」，爰請私立學校之校長、個資
長應善盡個資管理義務。
二、依國家發展委員會103 年12 月31 日發資字第1031501471 號函，各機關行
文及網站資料涉及國民身分證統一編號者之登載者，統一隱碼欄位為身分
證號後4 碼(即第7 碼至第10 碼)，並以「*」取代(特殊性用途除外)。
三、依教育部110 年9 月8 日臺教資(四)字第1100122001 號函，學校使用雲端
資通服務(如Google 表單等)蒐集個人資料時，可能因設定不當而增加個資
外洩及資安風險，請學校使用資通系統或雲端資通服務蒐集教職員、學生
及家長個人資料者，應注意「學校使用資通系統或服務蒐集及使用個人資
料注意事項」、Google 表單蒐集個人資料使用原則
（https://sites.google.com/email.nchu.edu.tw/g-form），以「最小化」
為原則，並請學校建置公告、資料收集審查機制，避免因系統設定錯誤或
人為因素，誤將機敏個資、機密檔案公布於網路上。
四、重申教育部109 年9 月25 日臺教資（五）字第1090135390 號函轉行政院
資通安全處109 年9 月14 日院臺護字第1090188336 號書函，即時通訊軟
體(如Line 等)使用應注意不得傳送公務敏感資料為原則。
五、依行政院112 年6 月20 日院授數資安字第1121000202 號函，重申各公務
機關使用資通訊產品原則：公務用資通訊產品(含軟體、硬體及服務)不得
使用大陸廠牌，機關若因業務需求且無其他替代方案，仍需使用危害國家
資通安全產品時，應具體敘明理由，並經機關資通安全長及其上級機關資
通安全長逐級核可，函報資通安全管理法主管機關(數位發展部)核定，產
品未汰換前，應加強下列資安強化措施：
(一) 強化資安管理措施，例如：設定高強度密碼、禁止遠端維護等。
(二) 產品遇資安攻擊導致顯示畫面遭置換，應立即置換靜態畫面，或立即關
機。
(三) 產品若為硬體，應確認其不具WiFi 等持續連網功能(非僅以軟體關
閉)。若需以外接裝置方式進行更新，須有專人在旁全程監督，於傳輸
完成後立即移除外接裝置。
(四) 產品使用屆期後不得再購買危害國家資通安全產品。
六、依「資通安全事件通報及應變辦法」，知悉資通安全事件後，學校應於一小
時內進行資通安全事件之通報；另資通安全事件有一般公務機密、敏感資
訊（個人資料等）遭輕微洩漏或竄改，為第三級資通安全事件，提供「國
立高級中等以下學校資安情資傳遞及應變處理作業流程」1 份(如附件)。
七、重申帳號權限與密碼管理原則，落實管理資通系統，以避免資安事件發生：
(一) 最高管理者權限帳號數量，原則不得超過3 個。
(二) 使用者於第一次登錄系統時，應立即更改預設密碼，並妥善保管帳號與
維持密碼之機密性。
(三) 使用者禁止共用自己或他人的帳號及密碼。
2
(四) 使用者每次存取系統时應輸入密碼登入系統，避免使用記錄密碼功能，
導致開機時自動登入系統。
(五) 密碼長度設定至少8 碼，且應符合帳號及密碼內容設置原則。
(六) 密碼内容之設定，應參雜數字、英文字母大小寫及特殊符號，至少符合
下列4 項要求中之3 項。
1、內含至少1 個大寫英文字母。
2、內含至少1 個小寫英文字母。
3、內含至少1 個阿拉伯數字。
4、內含至少1 個特殊符號。
(七) 密碼內容之設定，應盡量避免使用易猜測或公開資訊如下說明：
1、個人姓名、出生年月日、身分證字號。
2、機關、單位名稱或是其他相關事項。
3、使用者ID、其他系統ID。
4、電腦主機名稱、作業系統名稱。
5、電話號碼、空白、字典字(具有意義的英文單字，例如：password
等)。
6、禁止使用鍵盤順序鍵(如：qwer)。
7、密碼不得與帳號相同。
(八) 密碼最短使用期限為1 天，並應定期更換，90 天(含)以內必須更換密
碼一次，逾期未變更者，應暂停其系統登入之權限，以避免盗用情形;
密碼變更時不得使用與前3 次相同的密碼。
(九) 管理者及使用者帳號應避免共用，並負帳號及密碼保管之責，不得對任
何人透露或以任何形式公開自己帳號及密碼，亦避免將帳號、密碼記錄
在書面上，或張貼在個人電腦、螢幕或其他未保護且容易洩漏秘密之處
所，以避免密碼外洩。
(十) 懷疑密碼被他人知悉或發現密碼可能遭破解時，應立即更改密碼。
(十一) 帳號登入進行身分驗證失敗達5 次後，系統將自動鎖定帳號時間至
少15 分鐘不許該帳號繼續嘗試登入。
(十二) 使用者職異動或離職時，部門主管應即時通知相關單位調整或終止
使用者之存取權限。
(十三) 系統之帳戶，若超過6 個未曾登錄，則視需要清除閒置帳號。
八、國教署113 年度國立高級中等以下學校資通安全輔導計畫之實地稽核訪視
預計於5 月至9 月辦理，請各校事先備妥相關之佐證資料，俾利稽核訪視
行程順利進行，相關資訊將於後續發函通知。
九、重申教育部110 年6 月29 日臺教資(四)字第1100085899A 號函，請學校加
強檢核自身資通安全防護及相關措施：
(一) 學校因管理不當導致發生資通安全事件，本署將以不遮蔽學校方式作為
教育體系內部案例宣導。
(二) 針對發生重大資通安全事件之學校，本署將辦理或配合教育部資安專案
實地稽核，未落實稽核缺失改善者，將循相關機制予以懲處。