南寧高中 106 學年第 1 學期期末校務會議提案
提案一
提案單位:圖書館
案由:有關資通安全本校之分級判定,圖書館提議本校宜認列為D級,請討論!
說明:
以下說明有關資通安全本校之分級判定,圖書館提議本校宜認列為「D 級:配合資訊資 源向上集中計畫,核心資通系統由其上級或監督機關兼辦或代管或未維運資通系統「公 立高級中等以下學校」。」此項判定擬提請學校行政會議(主管會報)決議。
依下列分析、節省人力經費、及教育部鼓勵中小學向上集中之緣故,圖書館提議本校認 列為「D 級」。
說明一:
http://tnit.tn.edu.tw/modules/tadnews/index.php?nsn=33
零、學校行政作為 & 概念宣導
0.0 舊法規:教育部與所屬機關(構)及學校資通安全責任等級分級作業規定,之前台南 市國中小應為C級第二類,目前私立學校仍適用。舊法規只是行政規定,現在提升到法 的層級。
0.1 新法規:中華民國107年6月6日制定公布之「資通安全管理法」及107年11月 21日訂定發布之「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資 通安全事件通報及應變辦法」、「特定非公務機關資通安全維護計畫實施情形稽核辦 法」、「資通安全情資分享辦法」、「公務機關所屬人員資通安全事項獎懲辦法」,行 政院定自108年1月1日施行。(行政院原函文)
1. 教育部與本局資訊中心的立場:希望國中小所有資通系統向上集中,都能認列D級。
2. 現行台南市立中小學沒有資安專責人員編制,資訊組長或網管 "不等於" 資安專責人 員。
3. 各校行政(主管)會報討論:
(1) 判定校內各系統是否為 "學校" 維運的 "核心" 資通系統,是否符合"向上集中"。
如:學校首頁、成績輸入、儲存體(NAS)、雲端(G suite) ...等。
核心系統的定義參考 資通安全管理法施行細則 第七條
第七條 前條第一項第一款所定核心業務,其範圍如下:
一、公務機關依其組織法規,足認該業務為機關核心權責所在。
二、公營事業及政府捐助之財團法人之主要服務或功能。
三、各機關維運、提供關鍵基礎設施所必要之業務。
四、各機關依資通安全責任等級分級辦法第四條第一款至第五款或第五條第一款 至第四款涉及之
業務。
前條第一項第六款所稱核心資通系統,指支持核心業務持續運作必要之系統,或 依資通安全責任等級分級辦法附表九資通系統防護需求分級原則之規定,判定其 防護需求等級為高者。
學校維運可參考 附表五 資通安全責任等級C級之公務機關應辦事項.PDF 備註1 備註:1. 資通系統之性質為共用性系統者,由該資通系統之主責設置、維護或開 發機關判斷是否屬於核心資通系統。
向上集中則以集中到本局資訊中心的系統為主。
(2) 決議學校責任等級為何 (C、D、E 其中之一)
教育部來函規範
C級:有維運自行或委外開發核心資通系統「公立高級中等以下學校」。
D級:配合資訊資源向上集中計畫,核心資通系統由其上級或監督機關兼辦或代 管或未維運資通系統「公立高級中等以下學校」。
E級:其他分校、分部,全部資通業務由其本校兼辦或代管者。
(3) 機關首長指派資通安全長:國中小通常為校長,有職權調配資源以利資安業務推 動
依據 資通安全管理法 第11條
第十一 條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,
負責推動及監督機關內資通安全相關事務。
(4) 擬定「資通安全維護計畫(下載範本pdf、odt、docx)」及「學校資通安全事件通
報及應變管理程序(下載範本pdf、odt、docx)」,C 級請函覆本局,D、E 級請配合教 育部資安線上自評計畫提交。
依據 資通安全管理法 第10條 每個等級都要訂定資通安全維護計畫,唯分校E 級可由本校維護計畫涵蓋(計畫內的範圍制定)
第 10 條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處 理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施 資通安全維護計畫。
PS:D、E級請配合教育部資安線上自評計畫提交,目前先暫訂如此,若行政院不接受,
可能還是需要各校繳交,屆時將提供相關範本和製作說明。
4. 校務會議宣導
(1) 通過學校新的資通安全維護計畫
(2) 請勿隨意安裝架設網站或系統,資安法的罰則已加入相關考核規定。
(3) 其他相關公文或法規條文。
說明二:
本文相關附件另以教育局公告 135005 號公告
( https://bulletin.tn.edu.tw/ViewDetail.aspx?bid=135005 )送達 相關公文及附件節錄如下:
(一)C 級:有維運自行或委外開發核心資通系統「公立高級中等以下學校」。
(二)D 級:配合資訊資源向上集中計畫,核心資通系統由其上級或監督機關兼辦或代管 或未維運資通系統「公立高級中等以下學校」。
(三)E 級:其他分校、分部,全部資通業務由其本校兼辦或代管者。
三、請依上開責任等級及資通安全責任分級辦法附表應辦事項,於 108 年 1 月 18 日前 至本局線上填報 9743 號回復貴校所屬資安責任等級、已整備之資安專責人力數及其人 員類別,俾利本局彙辦。
四、請認列 C 級的學校參考附件範本訂定「資通安全維護計畫」及「學校資通安全事件 通報及應變管理程序」,於 108 年 1 月 25 日前送本局彙整審查。
五、各校應於 108 年 3 月 31 日前依「公務機關所屬人員資通安全事項獎懲辦法」規定 修正內部平時考核規定。
另外公告附件內容重點節錄請參閱
http://tnit.tn.edu.tw/modules/tadnews/index.php?nsn=33
依上述文件本校需於『主管會議』議決本校是否有維運『核心資通系統』,若有則需列 為 C 級,若無則列為 D 級
圖書館盤點本校目前使用系統,及建議是否為核心資通系統及理由如下(本校國 中核心業務為教師教學與學生學習)
1.學生學籍/成績/輔導系統(非核心資通系統) 由上級維運。
2.學生健康中心健康管理系統(非核心資通系統):由上級維護.主機在健康中心,但 系統暫停時不影響學校核心業務運作
3.會計系統:(非核心資通系統) 由上級維運。
4.人事系統:(非核心資通系統) 由上級維運。
5.學校校網(非核心資通系統):軟體由開源計畫者維護.主機在學校,但系統暫停時 不影響學校核心業務運作
6.學校 Google 雲端儲存系統(非核心資通系統):由 GOOGLE 公司維運,但系統暫 停時不影響學校核心業務運作
7.學校區網儲存系統(非核心資通系統):由本校維運,但不對外開放,系統暫停時 不影響學校核心業務運作
8.學校薪資系統(非核心資通系統)由委外廠商維護,但系統暫停時不影響學校核 心業務運作。
9.公文系統(非核心資通系統)由上級維運。
10.出納領據及規費系統(非核心資訊系統)由上級維運。
圖書館提議本校認列為「D 級」。
另依上述規範,若經會議討論仍要列為 C 級(有自行維運核心資通系統),學校需配置資 通安全專責人員(非兼任人員,教師兼資訊組長屬兼任人員),並編列相關經費。依以上 分析、節省人力經費、及教育部鼓勵中小學向上集中之緣故,圖書館提議本校認列為「D 級」。
相關經費之參考:
陸、專職(責)人力及經費配置
一、專職(責)人力及資源之配置1. 本機關依資通安全責任等級分級辦法之規定,屬資通安全責任等級○級,最低應設置 資通安全專職(責)人員 1 人,其分工如下,本機關現有資通安全專責人員名單及職掌應 列冊,並適時更新 5。
(以下分工供例示 C 級單位參考,請機關考量實務需求列出)
(1) 資通安全管理面業務 1 人,負責推動資通系統防護需求分級、資通安全管理系統導 入及驗證、內部資通安全稽核、機關資安治理成熟度評估及教育訓練等業務之推動。
(2) 資通系統安全管理業務 1 人,負責資通系統分級及防護基準、安全性檢測、業務持
續運作演練等業務之推動。
(3) 資通安全防護業務 1 人,負責資通安全監控管理機制、政府組態基準導入,資通安 全防護設施建置及資通安全事件通報及應變業務之推動。
(4) 資通安全管理法法遵事項業務 1 人,負責本機關對所屬公務務機關或所管特定非公 務機關之法遵義務執行事宜。
2. 本機關之承辦單位於辦理資通安全人力資源業務時,應加強資通安全人員之培訓,
並提升機關內資通安全專業人員之資通安全管理能力。本機關之相關單位於辦理資通安 全業務時,如資通安全人力或經驗不足,得洽請相關學者專家或專業機關(構)提供顧 問諮詢服務。
3. 資安專職(責)人員專業職能之培養(如證書、證照、培訓紀錄等),應依據資通安全責 任等級分級辦法之規定。
(1) 資安專職(責)人員總計應持有 1 張以上資通安全專業證照。
(2) 資安專職(責)人員總計應持有 1 張以上資通安全職能評量證書。
4. 本機關負責重要資通系統之管理、維護、設計及操作之人員,應妥適分工,分散權 責,若負有機密維護責任者,應簽屬書面約定,並視需要實施人員輪調,建立人力備援 制度。
5. 本機關之首長及各級業務主管人員,應負責督導所屬人員之資通安全作業,防範不 法及不當行為。
6. 專業人力資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改善機制 之管理審查。
二、經費之配置
1. 資通安全推動小組於規劃配置相關經費及資源時,應考量本機關之資通安全政策及 目標,並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源。
2. 各單位於規劃建置資通系統建置時,應一併規劃資通系統之資安防護需求,並於整 體預算中合理分配資通安全預算所佔之比例。
3. 各單位如有資通安全資源之需求,應配合機關預算規劃期程向資通安全推動小組提 出,由資通安全推動小組視整體資通安全資源進行分配,並經資通安全長(資通安全管 理代表)核定後,進行相關之建置。
4. 資通安全經費、資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改 善機制之管理審查。