112年5月31日新增公告
主旨:[公告]修正本校辦理資通系統(網站)委外建置或維運簽案自主檢核表(v11205),請查照。
摘要:
一、為協助各單位提昇資通系統(網站)委外履約管理能力,以確保所管系統(網站)資安防護能量,避免個資外洩及本校名譽損害。
二、為協助各單位系統(網站)承辦人填寫資料,規劃辦理線上說明時間如下:
(一)時間:112年6月6日(二)下午2時。
(二)線上會議室網址:https://meet.google.com/gfb-qrqj-azc,若該時段無法上線,請至 https://drive.google.com/drive/folders/1RWc9eegxJ6SfqAV8FOQ1bs7yA8ewv8CU?usp=sharing,須以@mail.ntcu.edu.tw帳號登入,自行瀏覽錄影檔。
三、有關會辦計網中心之系統(網站)簽案,請承辦人自主檢核並核章,以避免案件多次往返,影響公文時效。請將本表(簽案自主檢核表)及資通系統安全等級評估表等各項次所敘相關附件附於卷宗左側內頁併陳,供核稿主管參考。
四、本次修正重點略以:
(一)加入各單位依據工程會發布之最新版「資訊服務採購契約範本」草擬契約條款相關提醒事項。
(二)系統維護案,且未遠端連線;廠商應依本校ISMS程序書「ISMS-2-005實體與環境安全管理程序書」規定,將至本校實地連線之個人電腦、筆記型電腦、系統(網站)主機依據「ISMS-2-005-06個人電腦安全檢查表」(如附錄12)中之各項檢查項目進行自評,並調整至符合規定。
(三)修正資通系統防護基準檢核表,加入本校資訊安全管理制度(ISMS)相關表單。
(四)增加依資安法規定,資通系統日誌應包含項目。
(五)增加第18-2項,廠商每次請款,應檢附切結書,確認所交付文件(如:系統維護紀錄、系統管理者操作手冊/使用者操作手冊、檢核表相關佐證資料) ,如內有個資或系統本身機敏資料(如:IP、使用帳號、密碼、資料庫名稱、資料表名稱、欄位名稱),已去識別化或部分遮蔽,違者願無條件依本校要求,依個人資料保護法第28條規定賠償損失。
備註:依據本校112年第1次資通安全暨個人資料保護推動委員會管理審查會議決議,重點略以:
(一)全校資通系統之盤點( 填寫網址: https://forms.gle/Y4gtNMk8g9c45QPA9 ,盤點範圍包含主機使用本校網路,或使用本校網域名稱之資通系統(網站),如:XXX.ntcu.edu.tw,將於112年5月30日之後,如發現未在盤點清冊內之資通系統(網站),計網中心將關閉校外連線,如須開放,請敘明原因並簽奉本校資通安全長同意後,始可開放校外連線。
(二)針對高風險項目資產(如已停止支援的作業系統,如Window7、Server2003及Server2008),將於112年5月30日之後關閉校外連線,如須開放,請敘明原因並簽奉本校資通安全長同意後,始可開放校外連線。
(三)物聯網設備調查( https://forms.gle/3xnALCkTHQK39Xg97 ),各單位物聯網若於112年5月30日後未在盤點清冊內,計網中心將關閉校外連線。
相關檔案請至本校IMS雲端空間下載(須以本校帳號mail.ntcu.edu.tw登入)
https://drive.google.com/drive/folders/1KC1h-t7CyPkF5r4GzF5JbZ10jRxY-zA2?usp=sharing
