110年資安宣導事項

為符合本院資訊安全及個資保護相關規定,敬請配合下列事項:

  • 落實軟體合法使用:自主清查個人設備之軟體使用情形,移除未合法授權之軟體(軟體管理聯絡窗口:資訊室吳泓葳)。參閱連結:請落實軟體合法使用
  • 資安教育訓練:依資安法規定各單位主管及同仁每年須接受3時(含)以上之資通安全認知訓練。
  • 資安法規遵循:請參閱並遵守本院資訊安全與個資保護相關規定。參閱連結:本院各項資訊安全與個資保護規章本所資安專區
  • 電子郵件使用:請注意防範電子社交工程,使用電子郵件應依公私領域而使用不同的郵件服務與地址,以降低公務資料洩漏風險。自110年9月1日起實施之院外使用收信軟體之資安加強措施。參閱連結:防範電子郵件社交工程之系統安全設定
  • 赴具資安疑慮國家之資安檢核:同仁如赴具資安疑慮國家交流,攜出之筆電型電腦或智慧型手機,請檢核下列資安防護建議。參閱連結:赴具資安疑慮國家資安檢核項目清單
  • 禁止使用大陸廠牌資通訊產品:於110年底前汰換所有大陸廠牌資通訊產品,並於汰換前不得與公務環境介接,後續不得採購大陸廠牌資通訊產品之要求。參閱連結:大陸廠牌資通訊產品清單
  • 物聯網裝置之資安防護:NVR、NAS、印表機等物聯網裝置應關閉不必要網路連線及服務、不使用預設密碼及隨時注意漏洞修補。
  • 帳號使用:遵守本院公用資訊系統使用者帳號申請及使用要點之規定。帳號持有人應選擇高安全性通行碼,妥善保管、避免洩漏並定期更新。參閱連結:中央研究院公用資訊系統使用者帳號申請及使用要點
  • 個資盤點並列冊管理:如因研究或行政所需而蒐集、處理或利用個人資料者,請洽本所個資保護聯絡窗口討論個資盤點相關事宜(個資保護聯絡窗口:資訊室沈穎志、程啟聖)。
  • 遵守本院「個人資料保護暨安全維護規定」,蒐集個人資料時,採以最小蒐集為原則。因學術研究計畫須利用個資,其無須識別當事人者應以去識別化方式為之(指藉由代碼替換、刪除或隱藏部份個資欄位,使該個資紀錄無法直接識別當事人)。
  • 機敏資訊之傳輸、處理及留存時,應恪遵國家機密保護法及文書處理手冊等相關保密規定辦理,如發現機敏資訊有遭洩漏外洩等異常情形,應依「資通安全事件通報及應變辦法」進行通報,並依「個人資料保護法」規定辦理。
  • 倘不慎發生個資外洩情事,遵循本院資訊安全事件通報及處理要點處置。
  • 如有開發應用系統或權管主機:
  • 上線前或既有系統重大變更時應進行源碼、網站及主機弱點掃描,確認弱點完成修補始可上線,相關紀錄應留存備查。
  • 應配合定期弱點檢測,於檢測完成後3個月內完成漏洞修補並通過複測,相關紀錄應留存備查。
  • 安全性更新應於該更新發佈後1個月內完成;外部單位通報之弱點應於通報後1周內完成有效管控措施,並於通報後1個月內完成弱點修補;若未依限完成修補,應限制網路連線。
  • 不需使用時應立即下架。
  • 開放外界連線作業之應用系統,應視資料及系統之重要性及價值,採用不同安全等級之技術或措施進行保護,並保存系統存取紀錄。
  • 應用系統登入管理訂有相關管制措施,重要應用系統應啟動系統紀錄功能,系統管理人員應保存系統紀錄檔並定期備份。並定期辦理存取控管作業查核。
  • 應用系統之測試資料不應含有個人真實訊息、機密性或敏感性內容;若需使用真實資料進行測試時,應採行相關保護措施。
  • 依資安法相關規定,確實自行盤點之資通系統;列為核心系統者,須配合資安法完成核心系統資安防護要求。