教育部全國中小學 資訊安全管理系統 學校管理員 教育訓練 教育部全國中小學 資訊安全管理系統 學校管理員 教育訓練 新北市政府教育局 教育研究及資訊發展科
課程內容 時間 單元課程 介紹線上填報系統 系統平台功能說明 評量項目說明 Q&A 09:00~09:30-(13:30~14:00) 09:30~10:00-(14:00~14:30) 系統平台功能說明 10:00~11:30-(14:30~16:00) 評量項目說明 11:30~12:00-(16:00~16:30) Q&A
中小學資訊安全相關規範與要求 行政院政府機關(構)資通安全責任等級分級作業規定 教育部與所屬機關(構)及學校資通安全責任等級分級作業規定 國中小學資通安全管理實施原則 個人資料保護法 行政院政府機關(構)資通安全責任等級分級作業規定-(附件1) 教育部與所屬機關(構)及學校資通安全責任等級分級作業規定-(附件2) 國中小學資通安全管理實施原則-(附件3) ----------------------------------------------------------------------- 行政院規定(也是教育部的規定)。 跟中小學有相關: 國中小資安管理實施原則-原則來自 ISO 27001 要求。 國中小學無機密資料,最多是保護學籍資料。 地方政府的要求---統合視導指標,縣市承辦人要開始忙的部分, 中小學資安要求是甚麼? 學校單位為C級,需每年自評一次(檢視校園資訊安全)。 個資法部分需澄清,據了解:個資法部分學校端連絡窗口為資訊組長,正常來說應各處室都要遵守,例如: 教務處-註冊組-學生個資 人事室-師資個資 會計室-預算系統 保健室(健康中心)-學生病歷 輔導室-高風險家庭/中輟生/特教學生 資訊組長需把電腦照顧好,符合個資法各部份的要求,教訓總輔也需遵守。 -------------------------------------------------------------------------------
稽核 校園資訊安全管理流程 1. 教育部的要求 2. 年度稽核計畫 3. 執行資安措施 4. 資安成果查核 5. 資安改善計畫 校園資安管理的流程 紅色最重要 1、每年依教育部統合視導指導—2、縣市教育局處訂年度稽核計畫—3、再發文請學校執行—4、到校進行資安成果查核(局端找人去實地訪視)—5、查核完請學校提出改善計畫—6、再確認是否符合視導視導指標…. 資安成果查核—局端承辦人需找兩三位來學校稽核,學校派資訊組長、資訊教師、教務主任、校長等等,先開起始會議、查核一整天,結束還有改善會議…
執行的困難 學校端 縣市管理端 人力:每年資訊組長(教師)更換近1/3 經費:少子化及財政不佳 能力:學校型態差異大 執行:缺乏仿效參考的作法 縣市管理端 人力、經費、能力、執行 到校稽核—考核重於執行 學校端 人力(新北為例)---有些是代課老師、小班小校、第二年考正式教師,一個人接三個業務。 沒接教育局處專案計畫---經費只會減少不會多。 能力---少部分資訊業務承辦人無資訊技能及資安素質 執行---無參考資料,無人交接。 學校承辦人知道會碰到稽核,會有下職缺(換位子)…,交接沒人。 ---------------------------------------------------------- 縣市端 人力(縣市有些沒顧問)、能力是否符合?、經費是否夠支?(差旅費用)。 到校稽核---風險高,車程問題。(一天只能看兩校、時間少、看不到教育訓練、組長業務忙、又要花時間做其他稽核資料)。 -------------------------------------------------------------------------------------------------------------------------------
創新與突破 核心理念:執行重於稽核 創新:打造『線上稽核系統』 突破: 克服『人力、經費與時空』問題。 提升學校『資訊安全防護』能力。 符合『教育部及法令』對各級學校的資安要求。 創新和突破 (執行重於稽核) 克服---減少人力、經費、時間,不用學校單位找處室來開會… 提升學校資安防護能力,符合教育部及法令對各級學校資安要求,達到行政院當時要求「自評」 。
執行方式 訂立『可行的規範與做法』 學校線上自評(加長自評作業時間) 學校佐證資料上傳 教育局線上外審(導入教育體系稽核人員) 配合到校輔導訪視 資安評量項目參考表---(PO:106參考表) 局端可減輕審查,人力、時間、經費 第一年會比較辛苦(無中生有),第二年就有資料可以參考。 例如第一題學校訂資安規範,教育部96年發第一版,103年2月發第二版,學校之前已配合103年公告學校資安規範,今年如沒異動規範,可沿用。 佐證資料上傳—交接清楚、有之前資料可看。 教育局(處)線上外審,也可導入教育部教育體系稽核人員,教育部裡提供專業的稽核人員協助。
國中小學資通安全管理實施原則 全文分為7個安全面向,共55條資安要求。 7個安全面向,共55條資安要求。 依據27000 27001:2013—要求 教育部依據27001:2013 要求 27002—規範 行政院要求「自評」
評量項目依據 ISO 27000 ISO 27001:2013 國中小學資通安全管理系統實施原則 評量項目 教育部全國中小學資訊安全管理系統
評量主題 資通安全管理規範 網路安全 系統安全 實體安全 可攜式電腦設備與媒體 人員安全 資訊業務委外管理 法令認知 個人資料保護法 評量項目 九大題
資安評量項目及準備參考表
系統平台 正式平台:isas.moe.edu.tw 測試平台:isas.test.ntpc.edu.tw 以OpenID登入 現場有 電腦 可以點看看。
學校管理員作業流程圖
107年度期程 107年3月安排各縣市教育訓練時間、場地。 107年4月2日至107年6月8日各縣市教育訓練。 107年5月1日至107年7月13日學校端線上填報。 107年9月3日至107年11月16日審查人員線上評量。 107年12月3日至107年12月28日到校輔導訪視。
學校管理員作業 背景資料、自評、上傳佐證資料、下載評量報告書。
填寫學校背景資料
自評及佐證資料上傳
佐證資料製作 佐證資料(實施原則)只要放第一頁就好。
下載學校評量報告書 每年約12月學校端就可以下載評量報告書,內容有稽核結果、稽核員建議事項。
評定標準
效益 資安概念標準化,學校作業輕量化,提升效率。 資料電子化(少紙化)、報表自動化,具環保效益。 縮短稽核期程、降低人力、節省經費、突破時空限制。 系統開發維運集中管理,有效降低營運成本。 資料集中管理,查詢速捷,方便交接。
專案連絡窗口
謝謝 教育部全國中小學資訊安全管理系統 如有任何問題,歡迎與我們聯絡 專案助理 吳鴻志 專案助理 蔡旻諺 專案助理 林麗菱 教育部全國中小學資訊安全管理系統 專案助理 吳鴻志 電話:(02)8072-3456分機518 信箱: panvvtanl@ntpc.edu.tw 專案助理 蔡旻諺 電話:(02)8072-3456分機519 信箱: doremi125@ntpc.edu.tw 專案助理 林麗菱 電話:(02)8072-3456分機561 信箱: ca8965@ntpc.edu.tw 如有任何問題,歡迎與我們聯絡