教育部全國中小學 資訊安全管理系統 學校管理員 教育訓練

Presentation on theme: "教育部全國中小學 資訊安全管理系統 學校管理員 教育訓練"— Presentation transcript:

1 教育部全國中小學 資訊安全管理系統 學校管理員 教育訓練
教育部全國中小學 資訊安全管理系統 學校管理員 教育訓練 新北市政府教育局 教育研究及資訊發展科

2 課程內容 時間 單元課程 介紹線上填報系統 系統平台功能說明 評量項目說明 Q&A 09:00~09:40-(13:30~14:10)
09:40~10:00-(14:10~14:30) 系統平台功能說明 10:00~11:30-(14:30~16:00) 評量項目說明 11:30~12:00-(16:00~16:30) Q&A

3 國內外資安時事 資料來源:YAHOO電子新聞網站

4 10大可能風險 極端氣候 自然災害 網路攻擊(2017年排名第6) 資料詐欺或盜竊(2017年排名第5) 氣候變化調節與適應機制失效
大規模非自願移民 人為環境災害 恐怖攻擊 非法貿易 主要經濟體的資產泡沫化

5 全球資安威脅趨勢

6 我國政府資安 現在/未來 資安威脅 設備微型 管理不易 模式翻新 應變不易 社交工程 防不勝防 認知不足 警覺不夠 資安人才 供不應求
設備微型 管理不易 模式翻新 應變不易 社交工程 防不勝防 認知不足 警覺不夠 資安人才 供不應求 資安自主能力待提升 技術更快速 資安威脅 不易掌握 物聯網資安 風險增加 我國政府資安 現在/未來 資安威脅

7 政府機關資安事件發生原因 107年政府機關資安事件通報，其中以網頁攻擊事件類型為主，占40%以上，其中前三大事件發生原因依序為網站設計不當、應用程式漏洞及弱密碼

8 中小學資訊安全相關規範與要求 資通安全管理法 資通安全管理法施行細則 資通安全責任等級分級辦法 資通安全維護計畫

9 校園資訊安全管理流程 1. 教育部的要求 2. 年度稽核計畫 3. 執行資安措施 4. 資安成果查核 5. 資安改善計畫 稽核

10 執行的困難 學校端 縣市管理端 人力：每年資訊組長(教師)更換近1/3 經費：少子化及財政不佳 能力：學校型態差異大
執行：缺乏仿效參考的作法 縣市管理端 人力、經費、能力、執行 到校稽核—考核重於執行

11 創新與突破 核心理念：有效執行重於稽核 創新：打造『線上管理系統』 突破： 克服『人力、經費與時空』問題。 提升學校『資訊安全防護』能力。
符合『資通安全管理法』、『資通安全維護計畫』對各級學校的資安要求。 符合教育部對各級學校資安要求，讓學校每年完成一次校內資安「自評」。

12 執行方式 訂立『可執行的規範與做法』 學校線上『自評』(加長自評作業時間) 學校佐證資料上傳 教育局(處)線上外審(導入教育體系稽核人員)
配合到校輔導訪視

13 資安新聞 參考網址:

14 立法目的與規範對象 為積極推動國家資通安全政策，加速建構國家資通安全環境，以保障國家安全，維護社會公共利益。
中央與地方機關(構) 規範對象 公務機關 公法人 以對人民生活、經 濟活動及公眾或國 家安全有重大影響 者為納管對象。 關鍵基礎設施提供者 特定非公務機關 公營事業 政府捐助之財團法人

15 資通安全管理法管理架構 資通安全管理法 對 象 事 前 風 險 管 理 事 中 後 公務機關資通安全管理 特定非公務機關資通安全管理
訂定資安維護計畫 接受稽核 提出改善報告 提出實施情形 訂定通報應變機制 通報資安事件 提出調查、處理 及改善報告 事 前 事 中 後 對 象 風 險 管 理

16 資安管理法子法架構 先期 規劃 持續 運作 協助 通報 改善 應變 風險管理 機關資安責任等級 分級提報 提出資安維護計劃實施情形
協助 通報 改善 應變 風險管理 提出資安維護計劃實施情形 進行稽核 特定非公務機關資 通安全維護計畫實 施情形稽核辦法 人員獎懲 公務機關所屬人員資通安全 事項獎懲辦法 訂定資安事件通報 應變機制 通報資安事件 提出事件調查改善 報告 資通安全事件通 報及應變辦法 提出稽核改善報告 情資分享 資通安全情資分享 辦法 機關資安責任等級 分級提報 資通安全責任等級 分級辦法 訂定資安維護計劃 資通安全管理法 施行細則

17 資通安全管理法 依據:

18 資通安全管理法施行細則

19 資訊安全管理系統之導入及通過公正第三方之驗證
各責任等級應辦事項(管理面) 責任等級 資通系統分級及防護基準 資訊安全管理系統之導入及通過公正第三方之驗證 資通安全專責人員 內部資通安全稽核 業務持續運作演練 資安治理成熟度評估 A 公務 機關 1年內完成 2年內導入CNS 27001資訊安全管理系統國家標準 3年內完成公正第三方驗證 4人 2次/年 1次/年 特定非公務機關 -- B 2人 1次/2年 C 1年內完成資通系統分級 2年內完成防護基準 1人

20 各責任等級應辦事項(技術面) 責任等級 安全性檢測 資通 安全 健診 資通安全監控管理 機制 政府組態基準 資通安全防護 網站安全弱點檢測
系統滲透測試 防毒軟體 防火牆 郵件過濾 入侵偵測及防禦機制 應用 程式 防火牆 進階持續性威脅攻擊防禦 措施 A 公務 機關 2次/年 1次/年 √ 特定非公務機關 -- B 1次/2年 C D

21 各責任等級應辦事項(認知與訓練面) 責任等級 資通安全教育訓練 資通安全專業證照及職能訓練證書 資通安全及資訊人員 一般使用者與主管
資通安全專業 證照 資通安全職能訓練證書 A 公務 機關 12小時/年(4名) 3小時/年(每人) 4張 特定非公務機關 -- B 12小時/年(2名) 2張 C 12小時/年(1名) 1張 D

22 填報評量題目依據 評量項目 資通安全管理法 資通安全管理法施行細則 資通安全維護計畫實施情形參考表 資通安全維護計畫
參考國中小學資通安全管理實施原則(控制項題目) 參考ISO 27001:2013資訊安全管理系統(控制項題目) 評量項目　　　　　　　　　 資通安全維護計畫實施情形參考表

23 評量主題 核心業務及其重要性網路安全 資通安全政策及目標 設置資通安全推動組織 人力及經費之配置
資訊及資通系統之盤點及核心資通系統、相關資產之標示 資通安全風險評估 資通安全防護及控制措施(資安控制項題目) 資通安全事件通報、應變及演練相關機制 資通安全情資之評估及因應機制 資通系統或服務委外辦理之管理 資通安全教育訓練 公務機關(構)所屬人員辦理業務涉及資通安全事項之考核機制 資通安全維護計畫及實施情形之持續精進及績效管理機制 評量項目 九大題

24 108年度資通安全維護計畫實施情形參考表

25 系統平台 網址： 以OpenID登入 現場有 電腦 可以點看看。

26 學校管理員作業流程圖

27 108年度期程 108年4月1日至108年6月21日各縣市教育訓練。 108年4月1日至108年7月26日學校端線上填報。
108年9月2日至108年10月31日審查人員線上評量。 108年11月1日至108年12月20日到校輔導訪視。

28 學校管理員作業 背景資料、自評、上傳佐證資料、下載評量報告書。

29 填寫學校背景資料

30 自評及佐證資料上傳

31 佐證資料製作 佐證資料(實施原則)只要放第一頁就好。

32 下載學校評量報告書 每年約12月學校端就可以下載評量報告書，內容有稽核結果、稽核員建議事項。

33 評定標準

34 效益 資安概念標準化，學校作業輕量化，提升效率。 資料電子化(少紙化)、報表自動化，具環保效益。
縮短稽核期程、降低人力、節省經費、突破時空限制。 系統開發維運集中管理，有效降低營運成本。 資料集中管理，查詢速捷，方便交接。 符合教育部對各級學校資安要求，讓學校每年完成一次校內 資安「自評」。

35 專案連絡窗口

36 課程問卷及意見回饋

37 謝謝 教育部全國中小學資訊安全管理系統 如有任何問題，歡迎與我們聯絡 專案助理 吳鴻志 專案助理 蔡旻諺 專案助理 李旻哲
教育部全國中小學資訊安全管理系統　 專案助理 吳鴻志 電話：(02) 分機518 信箱: 專案助理 蔡旻諺 電話：(02) 分機519 信箱: 專案助理 李旻哲 電話：(02) 分機561 信箱: 如有任何問題，歡迎與我們聯絡