資安管理與服務辦理事項

資安管理

以提供連線單位具安全性之網路服務為基礎,進一步加強與整合資安管理技術(Technology)、人員(People) 與流程(Process),以導入有效之縱深防禦與安全偵測技術,透過教育訓練使區網中心及人員之運作能符合相關法規之要求,建立持續改善之風險管理制度,並將資安管理經驗與各連線單位分享。

資安管理

服務辦理事項

A. 提供具安全性之網路服務

(1) 推動導入ISMS,以維持網路服務之安全性。

(2) 本中心4人取得ISO 27001:2013主導稽核員認證、1人取得CISSP資安系統專家認證。

B. 加強與整合資安管理技術(Technology)、人員(People) 與流程(Process)

B-1. 技術:導入有效之縱深防禦與安全偵測技術

(1) 以教育機構資安通報平台通進行資安事件之偵測、通報、應變處理與審核。

(2) 依資安機構發布之資安訊息所派送之ANA預警事件單(如:病毒或漏洞預警),通知相關人員進行相應之應變與預防。

(3) 建置入侵偵測防禦系統與SPAM Mail檢舉處理機制。

(4) 提供網站應用程式弱點監測平台與防洩露個資掃瞄平台。

(5) 依教育部與所屬機關(構)及學校資通安全責任等級分級作業規定

  • 10/1411/14委由成大資通安全研究與教學中心協助進行「教育單位網站安全防護滲透測試檢測」。
  • 11/811/9完成國立臺東大學與臺東區網中心兩年一次之資安健診作業

B-2. 人員:透過教育訓練提升區網中心及人員運作之法令合規性

(1) 1/14() 14:00 ~ 17:00 辦理105年度資安與個資保護宣導研習課程(1)

(2) 1/26() 13:30 ~ 16:30 辦理105年度資安與個資保護宣導研習課程(2)

(3) 派員參加6/136/17之資訊安全管理制度(ISO27001:2013)主導稽核員證照訓練課程並取得證照。

(4) 分別於9/89/911/111/2派員參加資訊安全管理制度(ISO27001:2013)主導稽核員轉版證照訓練課程並取得轉版證照。

(5) 針對外部單位辦理之研習訓練皆有指派人員參加,如政府資通安全防護巡迴研討會、臺灣網際網路研討會、技服中心/TACERT/教育機構資安驗證中心之課程等。

(6) 於臺東區網中心FB社團提供每週之重要資安事件回顧新聞標題及連結。

(7) 提供資安人科技網帳號及密碼登入查閱完整資安知識庫,並轉寄彙整每兩個月最新精彩文章供連線單位閱讀與參考。

B-3. 流程:建立持續改善之風險管理制度

(1) 依教育機構資安通報應變標準作業流程,處理資安事件單通報應變與審核以及資安預警(EWA)事件單,本年度通報與事件處理平均時數皆為0.70小時,事件完成率為100%,通報審核平均時數為0.24小時,皆已在1小時內,已比往年進步許多。

(2) 以電話通知資訊安全事件,並透過E-mail聯繫,加強化資安通報作業流程。

(3) 收到ANA事件單(如:病毒或漏洞預警)後,立即轉寄給連線單位並公告於區網首頁。

(4) 資通安全通報應變平臺之所屬學校及單位的聯絡相關資訊完整度: 100 %

(5) 依「105年教育部學術與部屬機關()分組資通安全通報演練計畫」完成資安通報演練作業。

(6) 區網中心符合防護縱深及稽核要求,有4人員有資安專業證照,且維護之主要網站之安全弱點檢測比率為100 %

(7) 105年度TANet BCP演練競賽計畫提交業務持續運作計畫與模擬測試演練規劃資料,於6/3進行BCP演練,並提供演練結果與相關紀錄。

(8) 配合今年8月發布之新版規範,已取得校內經費,預計明年(106)上半年前完成新版導入及教育機構資安驗證轉版。

C. 與各連線單位分享資安管理經驗

(1) 11/8執行資安健診時,同時進行半天區網IPv4網路流量之側錄分析,資安健診報告於12月會由廠商提供,屆時若連線單位相關之IP有發現可疑之資安議題,將提供相關資訊,並協助處理。

(2) 以區網今年發生之資安案例,於11/4之第2次區網連線單位座談會分享:WordPress XML-RPC Pingback DDoS攻擊原理與建議採取措施。

(3) 協助釐清及處理教育機構資安通報平台寄送資安事件單之通報與應變處理。