資通安全維護計畫

國立臺南特殊教育學校資通安全維護計畫

壹、依據及目的

• 依據資通安全管理法第10條及施行細則第6條訂定資通安全維護計畫，作為資訊安全推動之依循及應符合其所屬資通安全責任等級之要求，訂定、修正及實施資通安全維護計畫(以下簡稱本計畫)。為因應資通安全管理法及資通安全責任等級應辦事項要求，以符合法令規定並落實本計畫之資通作業安全。

貳、適用範圍

• 本計畫適用範圍涵蓋國立臺南特殊教育學校全機關（以下簡稱本校）

參、核心業務及重要性

• 核心業務及重要性：

各欄位定義：
核心業務：請參考資通安全管理法施行細則第7條之規定列示。
核心資通系統：該項業務內各項作業程序的名稱。
重要性說明：說明該業務對機關之重要性，例如對機關財務及信譽上影響，對民眾影響，對社會經濟影響，對其他機關業務運作影響，法律遵循性影響或其他重要性之說明。
業務失效影響說明：當系統失效時對學校所造成的衝擊及影響。
最大可容忍中斷時間單位以小時計。
資通系統分級：依據資通安全責任等級分級辦法附件九資通系統防護需求分級原則進行分級。

• 非核心業務及說明：
• 本校之非核心業務及說明如下表：

各欄位定義：
非核心業務：公務機關之非核心業務至少應包含輔助單位之業務名稱，如差勤服務、郵件服務、用戶端服務等。
業務失效影響：說明該業務失效對機關之影響。
最大可容忍中斷時間單位以小時計。
資通系統分級：依據資通安全責任等級分級辦法附件九資通系統防護需求分級原則進行分級。

肆、資通安全政策及目標

• 依本校「資訊安全政策」如附件A-001施行。

伍、資通安全推動組織

• 依本校「資通安全組織」辦法如附件B-001成立資通安全委員會並成立資訊安全小組，由原資訊安全推動小組成員任之，「資通安全組織成員表」如附件D-001。

陸、專職(責)人力及經費配置

• 專職(責)人力及資源之配置
  • 依據行政院108年7月24日院臺護字第1080180748號函，依據資通安全責任等級分級辦法第6條辦理，並考量本校已有核心系統向上集中規劃，依同法第10條第4款調降等級為D級。在未完成向上集中前本校應設置資通安全專責人員，其業務內容如下，本校現有資通安全專責人員名單及職掌應表列於「資通安全組織成員表」如附件D-001，並適時更新。
  • 資通安全管理面業務，負責推動資通系統防護需求分級、資通安全管理系統導入及驗證、內部資通安全稽核及教育訓練等業務之推動。
  • 資通系統安全管理業務，負責資通系統分級及防護基準、安全性檢測、業務持續運作演練等業務之推動。
  • 資通安全防護業務，負責資通安全監控管理機制、資通安全防護設施建置及資通安全事件通報及應變業務之推動。
  • 本校之承辦單位於辦理資通安全人力資源業務時，應加強資通安全人員之培訓，並提升校內資通安全專責人員之資通安全管理能力。本校之相關單位於辦理資通安全業務時，如資通安全人力或經驗不足，得洽請相關學者專家或專業機關（構）提供顧問諮詢服務。
  • 資安專責人員專業職能之培養(如證書、證照、培訓紀錄等)，應參加主管機關辦理之相關專業研習，並鼓勵取得資通安全專業證照及資通安全職能評量證書。
  • 本校負責重要資通系統之管理、維護、設計及操作之人員，應妥適分工，分散權責，若負有機密維護責任者，應簽屬「保密切結書」如附件D-016，並視需要實施人員輪調，建立人力備援制度。
  • 校長及各級業務主管人員，應負責督導所屬人員之資通安全作業，防範不法及不當行為。
  • 專責人力資源之配置情形應每年定期檢討，並納入資通安全維護計畫持續改善機制之管理審查。
• 經費之配置
  • 資訊安全小組於規劃配置相關經費及資源時，應考量本校之資通安全政策及目標，並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源。
  • 各單位於規劃建置資通系統建置時，應一併規劃資通系統之資安防護需求，並於整體預算中合理分配資通安全預算所佔之比例。
  • 各單位如有資通安全資源之需求，應配合機關預算規劃期程向資訊安全小組提出需求，由資訊安全小組視整體資通安全資源進行分配，並經資通安全長核定後，進行相關之建置。
  • 資通安全經費、資源之配置情形應每年定期檢討，並納入資通安全維護計畫持續改善機制之管理審查。