東海大學強化校園資通安全,落實資安管理制度與提升資安意識
執行單位:圖書暨資訊處
近年來資安事件威脅頻仍,本校為建立永續的教研暨學習環境,自112年起執行教育部高教深耕計畫積極推動資安強化專章,建立全校資通安全管理制度,提升師生資安意識,降低資安風險,並舉辦多場次資安訓練,確保並提醒全校各單位同仁重視資安及落實管理,在大家的齊力合作下逐步建立更完善的資通安全校園環境,同時以五大構面輔以PDCA機制,持續強化校園資通安全能量。
一、建立跨單位並由副校長擔任召集人的校級資通安全組織
由本校張嘉修副校長擔任資安長,楊朝棟圖資長為執行秘書,以及由各一級教學及行政單位主管擔任「資通安全暨個人資料保護委員會」委員。組織的成立確保了資安議題不再僅限於資訊單位,而是全校各部門所共同關切,亦意味著校內各部門的意見都能被納入資通安全政策制定和執行作業範圍。這樣的多元參與不僅提高了整體的資安風險識別和管理,還增強了組織的安全文化。推動至113年12月以來,已召開多場委員會議與工作小組會議,並陸續完成本校ISMS程序文件及諸多政策議題之討論與推動。
二、強化全校教職員生資通安全認知與訓練
為持續提升與培養資訊、資安人員資安職能,本校已先後有超過10位同仁取得資通安全ISO 27001或個資ISO 27701、BS 10012等相關專業證照,執行資通安全業務。本校也透過多元管道包括實體和線上iLearn教學平台,每年均安排至少10場資安與個資保護訓練,以建立和提升教職同仁資安意識。不僅如此,連同工讀生也納入資安認知訓練參與人員中,課程內容包含防範數位、網路性別暴力宣傳、行動裝置安全管理、社交工程與案例宣導…等,以盡可能確保校園資通安全環境。
三、盤點全校資訊資產(含物聯網設備)
透過完成全校各單位資通系統及資訊資產盤點包含物聯網設備,以及進行風險評估,分析可能資安風險,選取適當控管措施,本校得以藉此識別各項資訊資產風險,避免包含物聯網裝置等資產設備所可能導致的資安漏洞,並且持續改善,確保資料和系統安全。112年已完成全校第1次的盤點作業,並針對高風險項目擬定風險處理計畫,113年5月亦已完成第2次全校資產盤點,以及進行風險評估與風險處理計畫。
四、落實管理危害國家資通安全產品
依國家政策要求,為強化資通安全防護並降低資通安全風險,本校公告規範禁止公務使用中國廠牌資通訊產品,範圍並擴及出租場域亦應遵守此規範限制;同時也透過資產盤點,將現有危害國家資通安全設備列入逐步汰換時程,預計115年達到清零目標,以確保本校資通設備不受來自危害國家資通安全產品的威脅,同時也減少不必要的資安風險與疑慮。
五、強化校園資安防禦整體架構
因應網路駭客攻擊方式層出不窮,本校規劃113-114年新增導入VANS (Vulnerability Analysis and Notice System)資通安全弱點通報機制與MDR (Managed Detection and Response)威脅偵測與應變服務等,以及結合現有DNS網域名稱系統防護、IPS入侵偵測防禦系統、垃圾郵件過濾、網路流量分析與管理機制,建構出多層次網路資安防禦網,以阻擋內外部資安漏洞,有效降低資安威脅。
這兩年來本校資安委員會、工作小組、圖資處與各單位因積極與務實的執行教育部高教深耕計畫資安強化專章,獲得許多成效,不僅是藉由推動上述五大資安發展構面的執行細項,確保本校資通安全環境的持續精進,提高全校資安意識和落實管理制度能力,同時也提供了更安全的師生教與學和同仁工作環境。相信在全校教職員生的共同努力與合作下,東海將持續建構更完善的校園資通安全制度與環境。
※東海大學資通安全管理制度專區:https://isms.thu.edu.tw/