隱私保護與資訊安全
|
● 完成 ISO 27001 資安國際驗證
● 完成 BS 10012 個資國際驗證
● 2022 年資訊安全相關教育訓練參與人數為 1,568 人次
|
● 導入資訊安全管理系統(ISMS)、個人資訊管理系統(PIMS)
● 發展智慧校務系統、提升校園資訊設備環境
● 舉辦資訊安全教育訓練
|
|
資訊安全管理政策
為建立資料、系統、設備及網路通訊的資訊安全環境,本校圖書資訊處訂有「資訊安全政策」,並導入資訊安全管理系統(Information Security Management System, ISMS)設置資訊安全委員會,每年定期召開管理審查會議,針對前次管理審查之結果、內部議題及外部議題之變更、資訊安全成效回饋及趨勢、利害關係人之回饋、風險評鑑結果等面向進行討論,並根據實際情況與趨勢確認資訊安全政策是否適切。
資訊安全管理系統推動流程圖
資訊安全事故管理與行動
若有疑似資安事件發生時,由圖書資訊處人員依據「資訊安全事故管理程序書」判斷及通報相關單位。2022 年本校共計資安事件1 件,原因為本校能源管理系統具有弱密碼與權限控制失效之弱點,由HITCON ZeroDay 漏洞提報平台發出資安通報。此事件已立即委請廠商修補,並未造成資料外洩之情形。
為提升本校資訊系統的運作效率,並持續提高系統安全層級,圖書資訊處透過發展智慧校務系統、提升校園資訊環境,並藉由弱點掃描與滲透強化整體系統安全,為本校打造全方位的資安保護網。
|
建構智慧校務系統
|
擴展校務系統功能
|
翻新系統提升效能
|
強化校務系統安全
|
|
依據全校各行政處室與教學單位需求,開發高品質非數量化之智慧校務系統。
|
漸進式擴展與新增現有校務系統功能,以符合規範及行政流程,並提升效率。
|
翻新老舊 FoxPro 校務系統,導入主流應用技術提升開發與維護效能。
|
遵循資訊安全規範,逐年改善系統,藉由弱掃與滲透強化整體系統安全。
|
|
|
|
持續更新老舊網路設備與線路、無線網路環境,並強化網路機房營運管理
|
擴建教學研究與專題虛擬平台及正修雲桌面,推廣公有雲服務應用。
|
|
本校定期進行教育訓練、內外部稽核,強化教職員生對於資訊安全及個人資料保護之意識。2022 年本校圖書資訊處辦理資訊安全相關教育訓練,因疫情影響以線上方式辦理,共 5場次,參加總人數為 1,568 人。
2022 年資訊安全相關教育訓練名稱 |
參與人數 |
個資清查作業 |
376人 |
個資衝擊分析 |
430人 |
風險評估 |
343人 |
個資風險處理 |
324人 |
成效指標評估 |
95人 |
個人資料保護
本校為保障教職員工及學生之個人資料保護及管理,依據「個人資料保護法」、「個人資料保護法施行細則」、「私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法」及相關法令法規之要求,訂定個人資料保護管理政策及規範。導入個人資訊管理系統(Personal Information Management
System, PIMS)進行個資資料之保存、追蹤及管理,並設置個資委員會,專門統籌個資保護作業原則規劃及相關制度推行。2022 年未發生任何教職員工及學生個資外洩,導致組織或個人權益受損情事。
個人資料保護控制重點:
- 對於個人資料之保護是否符合相關法規之要求
- 對於個人資料之蒐集、處理、利用是否逾越相適用範圍
- 個資組織是否依規定組成
- 每年檢視個人資料檔案留存是否符合規定;定期維護個資盤點資料正確性並進行風險評估
- 跨單位之資料流通,是否經權責單位審核並留存紀錄
- 個人資料蒐集、保存與銷毀是否依管理辦法辦理
- 是否依「當事人權力管理辦法」維護個資當事人應有之權利
- 委託外部單位處理個人資料服務,是否簽訂書面合約;是否遵循個資蒐集與處理法定告知事項
- 發生個人資料安全事件,是否進行緊急因應措施
資安與個資管理系統驗證
本校亦針對資安與個資管理系統定期進行第三方驗證,建立符合國際標準的管理程序以確保校園資料的機密性、可用性與完整性。
ISO 27001 資訊安全
管理系統(ISMS)驗證
|
● 2018 年以「學籍管理系統和員工差勤管理系統、運作與維護,
以及相關機房和網路基礎設施支援活動之管理」之範圍於取得ISO 27001:2013 國際驗證證書
● 2021年納入「進修部獨招系統和工讀保險系統之開發、運作與維護」
● 2022 年度持續進行重審四個核心系統以確保該範圍內之認證有效性
|
BS 10012 個人資訊
管理系統(PIMS)驗證
|
● 自 2017年起以全校為範圍導入個人資訊管理系統(PIMS),並取得 BS10012:2017 國際驗證證書
● 2020 年以教務處註冊及課務組、學務處生活輔導組、人事處、總務處出納組、會計處等校內五大高個資
風險單位進行驗證稽核
● 2023 年將以進修部教務組、學務處課外活動組、人事處、招生處、資訊工程系、電子工程系為範圍進行
驗證稽核並取得證書
|