落實校園資安管理機制

強化並精進資通安全維護計畫

在教育部函示參考指標之資安長配置、資安推動組織工作的執行策略與方法，請參考本資安專章附錄之附表1-2(一)，項目編號1-1、1-2的說明。

在資通系統及資訊之盤點、資通安全風險評估、內部資通安全稽核及委外稽核、業務持續運作演練工作上，參考附錄之附表1-2(一)，項目編號1-3、1-4、1-5、1-6的說明。

本校另將設置各單位資安、個資業務窗口，除針對人員賦能(強化教育訓練)，並協同各單位辦理全校各單位資通系統、資產及個人資料檔案之盤點，盤點範圍包含全校各單位，並產製「資通系統資產清冊」及「個人資料檔案清冊」包含落於本校IP網段內、或使用本校各校網域名稱之資通系統及「物聯網設備管理清冊」包含學校採購、公務使用之物聯網設備及「具危害資通安全產品管制清冊」包含政府要求管制具危害國家資通安全產品。

本計畫將分年分批完成全校所有單位資通安全與重要流程的個人資料保護之內部稽核，並完成矯正與預防性改善。

分階段全校導入資訊安全管理系統

參考附錄之附表1-2(一)，項目編號1-7。

核心業務逐期導入個人資料保護管理系統(PIMS)

以關鍵業務流程為範圍，將搭配資安個資管理制度專業教師(具ISCB主導稽核員身分)的規劃與輔導，逐年導入個人資料保護管理系統(PIMS)。

建置智慧化的資安管理支援系統

規劃依照資安管理作業整體需求，開發並應用一套支援文件管理、簽核管理、資訊／個資資產盤點、風險管理、資安專案工作排程與催稽、資安目標關鍵指標的自動化測量等功能的資安管理支援平台，以做到資安管理無紙化、無痛文件化管理。

此平台將可降低人員業務負擔與行政的成本，並藉平台輔助，將資安日常運作、監控、紀錄與稽核的作業成本有效降低。

優化資安防護能力

貫徹安全資通系統發展運作(SSDLC)

1. 資通系統內部開發上，在專案開始的各階段過程加入安全的軟體發展生命週期的思維，以降低後續系統維護的成本及遭受攻擊的損失。

2.資通系統委外開發上，將參考技服中心資通系統委外範本、公共工程委員會資訊服務契約範本，依學校需求，修改相關程序書，作為本校資訊服務採購的契約依據，並訂定查察供應商的標準化作法。

3.委外廠商稽核：每年挑選委外廠商辦理抽樣稽核或其他適當方式確認資通服務委外供應商之業務執行情形。對於本校因業務需求而須將系統開發及維運等相關作業或個資業務委外時，查核對於合約上約定資通安全及個資保護相關遵守事項執之執行情形。

確保資通系統管理量能

參考附錄之附表1-2(一)，項目編號3-1、3-2。

落實管理危害國家資通安全產品

參考附錄之附表1-2(一)，項目編號4-1、4-2。

增強組織資安運作效能

提升資訊專職與種子人員的資安職能

參考附錄之附表1-2(一)，項目編號2-1。

提升教職員資安意識

參考附錄之附表1-2(一)，項目編號2-2。

強化組織資安精進能量與獎勵制度

建立適宜之獎勵制度，鼓勵人員不斷參與教育訓練並取得相關職能證照，以發揮組織效益。