资讯安全管理概述

为确保本校资讯资产的机密性、完整性及可用性，并遵循相关法令与规范要求，本校自98年起导入资讯安全管理体系（ISMS），全面加强资通安全防护。经过多次外部审核与验证，我们在资安领域的保护措施已获得充分认可：

1. 98年起，资图处引入 ISMS 资讯安全管理体系。
2. 99年7月，通过教育机构资安验证中心的第三方外部稽核。
3. 102年、105年及108年，依最新资安标准通过资安验证。

这些成就证明本校具备稳固的资讯资产保护能力，并持续维护资安验证证书，确保资安管理水准不断提升。

资讯安全管理系统(ISMS)的推动

自 112年起，本校全面导入 ISMS，并积极配合教育部推动的资讯安全强化绩效指标。我们成立了 「资通安全推动委员会」，专责审议资通安全管理目标与政策，并监督全校执行相关规范。此委员会同时负责确保学校资安措施的持续改进，并依据政策法令与资安强化要求，推动资安管理精进与完善。

以下为本校在推行便利资讯服务的同时，对资讯安全主要措施说明如下：

主要资安措施

本校持续依据教育部政策与国际资安标准，建置并强化资通安全管理机制，确保校内资讯系统与数码服务的稳定与安全。

资安管理与政策

• 建置资讯安全管理系统（ISMS），取得教育体系资安验证证书。
• 配合教育部「TANet 资安管理规范计画」，制定并落实校内资安政策。
• 落实「原则禁止、例外允许」政策，仅开放必要的网络服务与协定。
• 针对校外维护厂商，须经申请与防护设备承办人核可后方可连线。
• 依行政院政策，禁止使用大陆厂牌之软硬件及服务，并纳入教育训练宣导。
• 于委外契约与场地租借规范中，明定不得使用危害国家资安之产品。

网络与系统防护

• 透过自动化网管系统即时侦测与阻断恶意攻击。
• 建构双层防火墙体系，防止外部入侵。
• 采用 SSL VPN 加密通讯，保障校外连线安全。
• 升级骨干网络至 10Gbps，建置高阶防火墙与入侵侦测防御设备。
• 异地备援与备份机制，确保服务器与数据库安全。
• 持续汰换与整并校内资通系统网站，降低系统数量并强化管理。
• 针对閒置或临时性网站，实施下架或限制存取之资安管控。

设备与环境安全

• 依教育部资安管理作业规范，重要资通系统原则集中至资图处机房统筹管理。
• 自建私有云提供全校教学与行政使用资讯设备与网络服务。
• 电脑机房设置智慧卡门禁、录影监控与温湿度监测机制。
• 提供远端环境监控与控制，确保机房稳定运作。
• 校内核心资通系统日志保留至少 6 个月，并定期备份与演练。

资讯服务安全

• 建置个人资讯入口系统，整合校内服务并采用 SSL 与单一签入机制。
• 设置垃圾邮件与病毒防制系统，保障电子邮件平台安全。
• 推广 SSH 加密远端连线，避免帐号与资料外洩。
• 建立防毒软件自动更新机制，提高防护效率。
• 设计自动化密码管理与重设机制，加强帐号安全。

资安教育与演练

• 每年定期举办资安讲习，提升师生的资安意识与自我防护能力。
• 定期进行社交工程演练，并针对被诱骗者加强教育训练。
• 将资安相关政策与规范纳入新进人员及全校教育训练课程。
• 新进人员签署「新进人员资讯安全宣导须知」。