111年資安宣導事項

  • 請注意本所資安專區公告,參閱連結:本所資安專區
  • 資安教育訓練:依資安法規定各單位主管及同仁每年須接受3時(含)以上之資通安全認知訓練。參閱連結:本院資安實體課程數位學習說明
  • 所有連網電腦(含伺服器)需安裝防毒軟體及端點防護(如Xensor)。參閱連結:軟體下載及說明
  • 落實軟體合法使用:自主清查個人設備之軟體使用情形,移除未合法授權之軟體(軟體管理聯絡窗口:資訊室吳泓葳)。參閱連結:請落實軟體合法使用
  • 資安法規遵循:請參閱並遵守本院資訊安全與個資保護相關規定。參閱連結:中央研究院各項資訊安全規章本所資安專區
  • 注意電子郵件防駭、本院同仁赴具資安疑慮國家交流等資安防護建議。參閱連結:電子郵件使用安全防護建議社交工程防護與案例赴具資安疑慮國家資安檢核項目清單
  • 使用個人資通訊產品(包含:軟體、硬體及服務)處理公務事務原則
  • 因應防疫期間所需配合之資訊措施,落實其相關資安防護及管控作為。參考連結:防疫期間資安防護建議事項
  • 禁止使用大陸廠牌資通訊產品:汰換所有大陸廠牌資通訊產品,並於汰換前不得與公務環境介接,後續不得採購大陸廠牌資通訊產品之要求。參閱連結:大陸廠牌資通訊產品清單
  • 機密與敏感性資料之儲存媒體實施防護措施:機敏資訊之傳輸、處理及留存時,應恪遵國家機密保護法及文書處理手冊等相關保密規定辦理,如發現機敏資訊有遭洩漏外洩等異常情形,應依「資通安全事件通報及應變辦法」進行通報,並依「個人資料保護法」規定辦理。
  • 採用本院資訊服務採購契約範本,於需求書或規格書納入資安3 要求項目,於契約相關文件納入委外廠商資安專業資格或能力之評估機制,明列採購案投入之資安經費,並規劃廠商稽核(自評或實地稽核)。參考連結:資訊服務採購資安要求事項參考範本
  • 個資盤點並列冊管理:如因研究或行政所需而蒐集、處理或利用個人資料者,請洽本所個資保護聯絡窗口討論個資盤點相關事宜(個資保護聯絡窗口:資訊室沈穎志、程啟聖)。
  • 對個人蒐集資料應以最小蒐集為原則,其無須識別當事人者,不應蒐集可識別資料。因學術研究計畫須利用個資,其無須識別當事人者應以去識別化方式為之。參閱連結:個人資料保護相關網站中央研究院個人資料保護暨安全維護規定
  • 下列跟資訊人員有關:
    • 資安健診、滲透測試、弱點掃瞄發現之重大弱點應列冊追踪,於一個月內完成修補作業或採取替代防護措施並保存相關紀錄備查。
    • 資訊系統通行碼是否未使用使用弱密碼或預設密碼,重要應用系統更換通行碼(密碼)週期應低於 6 個月。
    • 應用系統上線前或既有系統重大變更時應進行源碼檢測、網站及主機弱點掃描,確認弱點完成修補始可上線,相關紀錄應留存備查。
    • 發現資安事件時,落實資安法、本院資通安全事件通報及應變程序之規定。
    • 落實資通系統盤點及分級,應涵蓋網際網路連線之系統(含網站),並依資通安全防護基準執行控制措施,且保留完整之自評紀錄。
    • 委外廠商遠端維護原則禁止例外允許,例外允許者應加強防護及管理措施。
    • 各單位之 Log (含 NAT IP 配發紀錄)應依照中央研究院資通安全管理規範實施要點進行保存。應定期依 Log 自動產生之綜合分析報告,進行例行性檢視,分析異常狀況,及早發現潛在的資安威脅,以維持系統正常穩定運作。
    • 資通系統 log 是否已依資安法規定保留 6 個月。
    • 定期辦理保有個人資料盤點及風險評鑑作業,建立清冊進行管理,並依個資法第十七條規定公開相關資訊於本院網站供公眾查閱。
    • 儘速完成政府組態基準導入作業,如因套用影響學術研究等得依規定提出理由及配套措施,進行例外管理。
    • 確實落實網路分區(行政服務區、對外服務區、訪客區、學術服務區)及各分區網路存取控制。