Skip to content- 請注意本所資安專區公告,參閱連結:本所資安專區
- 資安教育訓練:依資安法規定各單位主管及同仁每年須接受3時(含)以上之資通安全認知訓練。參閱連結:本院資安實體課程、數位學習說明
- 所有連網電腦(含伺服器)需安裝防毒軟體及端點防護(如Xensor)。參閱連結:軟體下載及說明
- 落實軟體合法使用:自主清查個人設備之軟體使用情形,移除未合法授權之軟體(軟體管理聯絡窗口:資訊室吳泓葳)。參閱連結:請落實軟體合法使用
- 資安法規遵循:請參閱並遵守本院資訊安全與個資保護相關規定。參閱連結:中央研究院各項資訊安全規章、本所資安專區
- 注意電子郵件防駭、本院同仁赴具資安疑慮國家交流等資安防護建議。參閱連結:電子郵件使用安全防護建議、社交工程防護與案例、赴具資安疑慮國家資安檢核項目清單
- 使用個人資通訊產品(包含:軟體、硬體及服務)處理公務事務原則。
- 因應防疫期間所需配合之資訊措施,落實其相關資安防護及管控作為。參考連結:防疫期間資安防護建議事項
- 禁止使用大陸廠牌資通訊產品:汰換所有大陸廠牌資通訊產品,並於汰換前不得與公務環境介接,後續不得採購大陸廠牌資通訊產品之要求。參閱連結:大陸廠牌資通訊產品清單
- 對機密與敏感性資料之儲存媒體實施防護措施:機敏資訊之傳輸、處理及留存時,應恪遵國家機密保護法及文書處理手冊等相關保密規定辦理,如發現機敏資訊有遭洩漏外洩等異常情形,應依「資通安全事件通報及應變辦法」進行通報,並依「個人資料保護法」規定辦理。
- 採用本院資訊服務採購契約範本,於需求書或規格書納入資安3 要求項目,於契約相關文件納入委外廠商資安專業資格或能力之評估機制,明列採購案投入之資安經費,並規劃廠商稽核(自評或實地稽核)。參考連結:資訊服務採購資安要求事項、參考範本
- 個資盤點並列冊管理:如因研究或行政所需而蒐集、處理或利用個人資料者,請洽本所個資保護聯絡窗口討論個資盤點相關事宜(個資保護聯絡窗口:資訊室沈穎志、程啟聖)。
- 對個人蒐集資料應以最小蒐集為原則,其無須識別當事人者,不應蒐集可識別資料。因學術研究計畫須利用個資,其無須識別當事人者應以去識別化方式為之。參閱連結:個人資料保護相關網站、中央研究院個人資料保護暨安全維護規定
- 下列跟資訊人員有關:
- 資安健診、滲透測試、弱點掃瞄發現之重大弱點應列冊追踪,於一個月內完成修補作業或採取替代防護措施並保存相關紀錄備查。
- 資訊系統通行碼是否未使用使用弱密碼或預設密碼,重要應用系統更換通行碼(密碼)週期應低於 6 個月。
- 應用系統上線前或既有系統重大變更時應進行源碼檢測、網站及主機弱點掃描,確認弱點完成修補始可上線,相關紀錄應留存備查。
- 發現資安事件時,落實資安法、本院資通安全事件通報及應變程序之規定。
- 落實資通系統盤點及分級,應涵蓋網際網路連線之系統(含網站),並依資通安全防護基準執行控制措施,且保留完整之自評紀錄。
- 委外廠商遠端維護原則禁止例外允許,例外允許者應加強防護及管理措施。
- 各單位之 Log (含 NAT IP 配發紀錄)應依照中央研究院資通安全管理規範實施要點進行保存。應定期依 Log 自動產生之綜合分析報告,進行例行性檢視,分析異常狀況,及早發現潛在的資安威脅,以維持系統正常穩定運作。
- 資通系統 log 是否已依資安法規定保留 6 個月。
- 定期辦理保有個人資料盤點及風險評鑑作業,建立清冊進行管理,並依個資法第十七條規定公開相關資訊於本院網站供公眾查閱。
- 儘速完成政府組態基準導入作業,如因套用影響學術研究等得依規定提出理由及配套措施,進行例外管理。
- 確實落實網路分區(行政服務區、對外服務區、訪客區、學術服務區)及各分區網路存取控制。
