資訊安全管理概述

為確保本校資訊資產的機密性、完整性及可用性，並遵循相關法令與規範要求，本校自98年起導入資訊安全管理體系（ISMS），全面加強資通安全防護。經過多次外部審核與驗證，我們在資安領域的保護措施已獲得充分認可：

1. 98年起，資圖處引入 ISMS 資訊安全管理體系。
2. 99年7月，通過教育機構資安驗證中心的第三方外部稽核。
3. 102年、105年及108年，依最新資安標準通過資安驗證。

這些成就證明本校具備穩固的資訊資產保護能力，並持續維護資安驗證證書，確保資安管理水準不斷提升。

資訊安全管理系統(ISMS)的推動

自 112年起，本校全面導入 ISMS，並積極配合教育部推動的資訊安全強化績效指標。我們成立了 「資通安全推動委員會」，專責審議資通安全管理目標與政策，並監督全校執行相關規範。此委員會同時負責確保學校資安措施的持續改進，並依據政策法令與資安強化要求，推動資安管理精進與完善。

以下為本校在推行便利資訊服務的同時，對資訊安全主要措施說明如下：

主要資安措施

本校持續依據教育部政策與國際資安標準，建置並強化資通安全管理機制，確保校內資訊系統與數位服務的穩定與安全。

資安管理與政策

• 建置資訊安全管理系統（ISMS），取得教育體系資安驗證證書。
• 配合教育部「TANet 資安管理規範計畫」，制定並落實校內資安政策。
• 落實「原則禁止、例外允許」政策，僅開放必要的網路服務與協定。
• 針對校外維護廠商，須經申請與防護設備承辦人核可後方可連線。
• 依行政院政策，禁止使用大陸廠牌之軟硬體及服務，並納入教育訓練宣導。
• 於委外契約與場地租借規範中，明定不得使用危害國家資安之產品。

網路與系統防護

• 透過自動化網管系統即時偵測與阻斷惡意攻擊。
• 建構雙層防火牆體系，防止外部入侵。
• 採用 SSL VPN 加密通訊，保障校外連線安全。
• 升級骨幹網路至 10Gbps，建置高階防火牆與入侵偵測防禦設備。
• 異地備援與備份機制，確保伺服器與資料庫安全。
• 持續汰換與整併校內資通系統網站，降低系統數量並強化管理。
• 針對閒置或臨時性網站，實施下架或限制存取之資安管控。

設備與環境安全

• 依教育部資安管理作業規範，重要資通系統原則集中至資圖處機房統籌管理。
• 自建私有雲提供全校教學與行政使用資訊設備與網路服務。
• 電腦機房設置智慧卡門禁、錄影監控與溫濕度監測機制。
• 提供遠端環境監控與控制，確保機房穩定運作。
• 校內核心資通系統日誌保留至少 6 個月，並定期備份與演練。

資訊服務安全

• 建置個人資訊入口系統，整合校內服務並採用 SSL 與單一簽入機制。
• 設置垃圾郵件與病毒防制系統，保障電子郵件平台安全。
• 推廣 SSH 加密遠端連線，避免帳號與資料外洩。
• 建立防毒軟體自動更新機制，提高防護效率。
• 設計自動化密碼管理與重設機制，加強帳號安全。

資安教育與演練

• 每年定期舉辦資安講習，提升師生的資安意識與自我防護能力。
• 定期進行社交工程演練，並針對被誘騙者加強教育訓練。
• 將資安相關政策與規範納入新進人員及全校教育訓練課程。
• 新進人員簽署「新進人員資訊安全宣導須知」。