近期發生幾起重大資安事件. 均和GOOGLE 表單 設定不當 和 密碼不夠安全有關. 請各位同仁加強資安和個資安全工作.
請參閱附件案例宣導, 並落實資訊取得和授權以最小化為原則.
不取得/不傳遞/不儲存不必要的機敏資訊和個人資料.
機敏資訊和個人資料儲存必須要加密儲存.
以電子郵件傳遞機敏資訊和個人資料必須以加密檔案傳送. 密碼另以其他方式傳遞不可以同一電子郵件信箱(含另以第二封信件傳送密碼)
請貴校(會)加強落實資通安全及個人資料保護相關規範,
請查照。
說明:
一、近期接獲通知學校網站發生個資外洩之資安事件,爰請貴
校(會)落實資通安全及個人資料管理相關規範如下:
(一)依據資通安全管理法之資通安全責任等級分級辦法,經
行政院核定貴校(會)為C或D級,應辦理相應之資安應
辦事項。
(二)考量國立高級中等以下學校(以下簡稱學校)因人力、
物力不足,經教育部向行政院爭取,基於五大核心資通
系統向上集中之前提,得報請行政院核定為D級。貴校
(會)應加強配合五大核心資通系統向上集中作業,提
升整體資通安全防護能量。
(三)重申教育部110年6月29日臺教資(四)字第1100085899A號
函,因教育體系近期發生多起因管理不當導致重大資通
安全事件,請貴校(會)加強檢核自身資通安全防護及
相關措施如下:
1、貴校(會)因管理不當導致發生資通安全事件,本署
將以不遮蔽學校名稱方式作為教育體系內部案例宣
導。
2、針對發生重大資通安全事件之學校,本署將辦理或配
合教育部資安專案實地稽核,未落實稽核缺失改善
者,將循相關機制予以懲處。
(四)依教育部110年9月8日臺教資(四)字第1100122001號函,
貴校(會)使用雲端資通服務(如Google表單等)蒐集個
人資料時,可能因設定不當而增加個資外洩及資安風
險,請貴校(會)使用資通系統或雲端資通服務蒐集教
職員、學生及家長個人資料者,應注意資通系統或服務
蒐集及使用個人資料之注意事項,以「最小化」為原
則,並請貴校(會)建置公告、資料收集審查機制,避
免因系統設定錯誤或人為因素,誤將機敏個資、機密檔
案公布於網路上。
(五)貴校(會)如發生資通安全事件,應依資安法規範辦理
資安通報。
(六)請貴校(會)全體同仁踴躍參加資安及個資相關教育訓
練,加強資安及個資保護意識。
二、檢送「110年教育體系重大資安事件相關根因分析及建議措
施」、「教育體系資安事件案例宣導」及「資安事件通報
流程說明」各1份。