:::
icon 您現在的位置是:首頁資訊安全管理制度 > 一、教育體系資通安全管理規範  
icon 一、教育體系資通安全管理規範 icon
教育體系資通安全暨個人資料管理規範
一、
緣起
資通訊科技的快速發展,對於作業效率之提供有所助益,惟其亦帶來了資通安全之挑戰。為能夠有效因應資通訊科技應用所帶來的資通安全挑戰,教育部(以下稱本部)於民國(以下同)96年5月30日發布「教育體系資通安全管理規範」,供教育體系機關(構)與各級學校據以建立其資通安全管理系統,綜合考量其重要性、急迫性以及可分配資源等因素,建立其資通安全管理規範的設計與施測,透過持續改善的管理機制運行,大幅強化其資通安全的有效性。
「教育體系資通安全管理規範」自施行迄今已逾九年,其間經歷資通訊環境之變遷,諸如:網路之普及、資通訊科技之進步與廣泛應用、資通訊安全最佳實務標準於102年改版、以及組織架構與運作模式轉變等,有必要重新檢視與調整。復以我國於99年將電腦個人資料保護法修改為個人資料保護法,擴大保護標的,不限於經電腦處理之個人資料,且以任何形式存在之個人資料皆有該法之適用。其次則是擴大適用範圍,舉凡涉及個人資料蒐集、處理、利用之個人、法人或團體皆為該法之適用,且各行各業皆應適用該法。第三,新增個人資料蒐集、處理與利用之行為規範,諸如:告知義務之履行,並提高損害賠償之額度且導入團體訴訟之機制。此外,我國於104年針對99年修正之個人資料保護法,因應實務運作之需求,完成第二次修法,包括:將病歷納入特種個人資料之範圍,新增當事人書面同意為特種個人資料之蒐集、處理與利用依據等。前揭法令之更迭對於教育體系造成相當程度之影響,且教育體系發生個人資料遭不當揭露或利用之情況亦曾見聞。是以,於維護資通安全之際,尤有必要考量個人資料安全之維護。
爰此,為因應資通訊環境之變化,並考量我國個人資料保護法之修正與施行,以及最佳國際實務標準之發展與普及,如ISO 27001:2013、ISO 27002:2013、ISO 29100:2011、BS 10012:2009等,自104年起著手「教育體系資通安全管理規範」之研修,歷經數次之專家討論與教育體系意見諮詢,終而於105年完成之修訂,提出新版之「教育體系資通安全暨個人資料管理規範」。(以下稱本規範)。
 
二、
簡介
本規範因應個人資料保護法之修正與施行,新增個人資料管理系統(Personal Information Management System,以下稱PIMS)之相關要求,期以PDCA (Plan-Do-Check-Act,規劃-實行-確認-行動)策略,協助教育體系機關(構)與各級學校完善其個人資料安全維護之工作,達到個人資料保護之目的,降低個人資料遭不當揭露或利用之風險。同時,本規範因應最佳實務標準102年之改版,新增資訊安全管理系統(Information Security Management System,以下稱ISMS)之相關控制措施建議,期能夠協助教育體系機關(構)與各級學校有因應資通訊科技應用所衍生之新興資通安全議題。此外,為達資源有效運用之目的,本規範特別針對結合ISMS與PIMS之「資通安全暨個人資料管理系統」進行說明,期能夠協助教育體系機關(構)與各級學校評估其組織規模、管理需求、目標、結果等因素,建置能夠同時符合資通安全維護與個人資料保護目標之管理系統。
本規範期望對教育體系機關(構)與各級學校之資通安全或個人資料管理產生引導作用,協助其有效率地建置與運行資通安全與個人資料管理系統,發揮「事前預防‧事後抑制」之效果,有效落實個人資料保護法令之施行,並達維護資通安全之目的。是以,教育體系機關(構)與各級學校於參照本規範建立管理系統時,得衡酌組織規模、業務特性、所欲達成之資通安全維護或個人資料保護目的等因素,選擇適當之實施範圍,配置適當之資源與人員,規劃適宜之管理系統,持續有效地運行該系統,並定期檢視與改善該系統。然而,值得注意是個人資料保護法令之遵循係屬全組織應遵循之事宜,且資通安全之風險非僅肇因於系統風險,故教育體系機關(構)與各級學校宜逐步擴大實施範圍,以達維護資通安全與個人資料保護之目的。
除本規範另有規定,選擇單獨建置ISMS之單位,無須執行關於PIMS之要求,反之亦然;選擇建立「資通安全暨個人資料管理系統」,應同時符合二項管理系統之要求。意即,教育體系機關(構)與各級學校得就ISMS或PIMS擇一驗證,亦可就ISMS與PIMS同時驗證。然而,本規範之驗證作業目的係為協助導入機關(構)與學校確認其所建置資通安全或個人資料管理系統之有效性,如有發生個人資料保護之爭議,仍應依個案為具體判斷,非謂經驗證通過即可謂無法律責任。
 
三、
適用範圍
本規範適用於教育體系機關(構)與各級學校,其得參照本規範所訂之管理要求與執行方法,針對資通安全與(或)個人資料安全之維護建立管理系統,就組織規模、業務特性等選擇適當之實施範圍,配置適當之資源與人員,規劃適宜之管理系統,持續有效地運行該系統,並定期檢視與改善該系統。
有鑑於教育體系機關(構)與各級學校之層級、組織規模、業務特性差異極大,為避免其因組織特性無法執行部分要求,本規範爰參考行政院國家資通安全會報訂定之「政府機關(構)資通安全責任等級分級作業規定」與教育部頒定之「教育部與所屬機關(構)及學校資通安全責任等級分級作業規定」,將適用機關(構)及學校分為A、B、C三級(各級涵蓋之對象請參閱教育部與所屬機關(構)及學校資通安全責任等級分級作業規定),並依等級建議不同之適用範圍,如下:
‧ A級: ISMS:應至少包含組織內所有資訊管理作業與流程,全部核心業務應用資訊系統與網路系統,以及受委託執行國家安全與機密資訊或技術研究單位,或試務管理單位。
PIMS:應包含組織內全部所有涉及個人資料蒐集、處理與利用之流程。
‧ B級: ISMS:應至少包含資訊管理單位、學術網路系統、核心業務資訊系統。
PIMS:應至少包含涉及核心業務之個人資料蒐集、處理與利用流程之行政單位,以及資訊管理單位。
‧ C級: ISMS:應至少包含資訊管理單位及校務行政資訊系統。
PIMS:應至少包含組織內涉及個人資料處理蒐集、處理與利用流程之行政單位,以及資訊管理單位。
   

備註:欲建立「資通安全暨個人資料管理系統」之機關(構)與學校,得分別定義兩項管理系統之適用範圍,惟PIMS適用範圍所涉及之資通安全管理議題,應完整包含於ISMS之適用範圍內。


相關下載
教育體系資通安全暨個人資料管理規範( 2016年版)
 
往上 TOP