資訊安全與校園安全

資訊安全

一、資訊安全管理制度

為確保所屬資訊資產之機密性、完整性及可用性,並符合相關法令、法規之要求,避免遭受內、外部之威脅與攻擊,依據「資通安全管理法」與其相關子法規定,以及參考「教育體系資通安全暨個人資料管理規範」,制訂本校資通安全維護計畫與相關資通安全防護及控制措施,透過規劃-實行-確認-行動(PDCA)之循環式品質管理,逐年落實本校資訊安全管理制度。2021年更將資通安全與個人資料保護整合,制訂「資通安全暨個人資料保護管理要點」,成立跨單位資通安全暨個人資料保護推動委員會,由行政副校長擔任資通安全長、校內各單位一級主管為當然委員,每年至少開會一次,負責本校資安暨個資保護政策、計畫、資源調度等之統籌、協調與研議。2024年完成資訊安全管理制度ISO27001:2022轉版導入,以符合最新之規範要求、強化校園資訊安全。

二、2024年資訊安全具體作為及成果

項次

工作項目

成果

1

召開資通安全暨個人資料保護推動委員會
    1. 審核、發布本校資訊安全政策。
    2. 管審會議報告。
    3. 確認人員編組。
    4. 推動流程確認 。

2

資安教育訓練

共舉行六場全校性資安教育訓練,共計324人次參加。

3

資訊資產清查與風險評鑑

合計共45個行政/教學單位執行完畢。

4

日常維運執行

各單位依各階程序書執行:

  1. 執行機房管理工作。
  2. 系統與網路檢查。
  3. 備份執行與檢查。
  4. 安全系統發展週期(SSDLC)檢核。
  5. 異常事件、通報流程處理。

5

弱點掃描

完成191台設備弱點檢測。

6

系統營運持續演練
  1. 完成學籍系統與ICT及公文系統業務永續運作計畫演練。
  2. 執行全校各單位「網頁遭竄改」業務持續運作演練,共計40個行政/教學單位完成。

7

內部稽核

完成行政/學術共計21個單位內部稽核作業。

8

深耕計畫資安強化專章

完成高等教育深耕計畫第二期資安強化專章第一階段(112至113年),續提第二階段(114至116年)計畫。


三、2024年重要資訊安全措

  • 白名單政策:為降低校外網路對校內網路位址之攻擊風險,推動全面限制校內未被授權之資訊設備對外提供服務,未被授權之資訊設備,僅能由校內連線到校外,無法對校外提供連線服務。未被授權外部直接存取之網路位址,另提供虛擬專用網路(VPN)供使用者經過認證後存取校內公有IP範圍之設備及服務。
  • 持續推廣虛擬主機服務:為提升計算機資源應用效益、減少各單位建置及維運成本,同時落實節能減碳政策,依據「國立高雄大學虛擬主機使用服務管理要點」,優先提供行政單位虛擬主機服務。截至2024年12月止共計有共 8 單位總計 12 台虛擬機。

四、資訊安全事件處理程序

 

依據「資通安全事件通報及應變辦法」,制定明確資通安全事件處理通報流程(如下方流程圖)及應變措施,並成立跨單位資安應變任務編組,以降低事件造成之損害,從而建立學習機制,以預防類似事件重複發生,近五年資安入侵事件數量統計如下圖。

校園危機管理與成效

一、學校危機管理機制與運作情形

本校危機管理分為預防、處理及復原。財務審慎編列、分配及降低風險。

(一)危機預防

  1. 訂定應變作業要點及處理流程:訂定「校園災害緊急應變作業要點」及「校園緊急應變流程表」,確定流程及各權責;並設置緊急應變小組。

  2. 建立發言人制度:本校發言人由學術副校長擔任,經秘書室彙集各單位應處情形撰擬新聞稿或聲明稿,循程序核定後由發言人統一發言。

  3. 建構通報系統與緊急網絡:本校駐警隊設「緊急連絡中心」,學校官網首頁有24小時緊急聯絡電話全天候受理緊急事件,復依序向校安中心通報。

  4. 辦理教育訓練、宣導及演練:透過各類集會、電子媒體,對全校教職員生宣導,定期辦理危機模擬演練,提昇全體危機意識及危機處理能力。

  5. 完善校園環境與設備:對於校園空間、設施設備定期進行檢視與修繕;另外,輔以現行科技,建置校園安全防護網,強化安全設施防範未然。

  6. 建立自我檢核機制,依權責職務分工辦理:配合教育部校園安全檢核表,辦理協調分工會議,依各處室權責,確實管理校園風險,以避免危機肇生。

  7. 審慎編列年度預算並妥善分配學校經費:依「國立大學校院校務基金管理及監督辦法」第30條規定,審慎編列年度預算,復經預算分配會議,衡酌各業務審慎分配經費,以降低可能發生決算實質短絀財務風險。

每年度辦理防震防災演練項目

災害事件類別

地點

演練時機

辦理單位

實驗室安全維護訓練

會議廳

每學年新生週舉行

總務處

消防演練

宿舍

每學年新生入住後

學務處、總務處

檔案庫房緊急應變演練

文書組

每學年一次

總務處、圖資館

 

(二)危機處理

依據「校園災害緊急應變作業要點」以降低傷害解除危機。若遇財務重大事件,由主計室啟動經費節約相關措施降低財務危機。

(三)事後復原

當危機結束,恢復正常運作,並從中學習、檢討及改進。對於危機事件中人員所受影響,本校仍持續予以關懷與輔導。修正應變計畫以更加完善。

二、學校危機管理之成效

(一)危機預防方面

持續辦理教育訓練及宣導活動,定期辦理危機演練,提升危機意識及應處力。另於教職員工生之身心理健康促進,見微知著及早撲滅危機。每年推動急救訓練,相關傷病處理課程。完善校園環境與設備,進行檢視與修繕,降低環境因素的危險因子,以符合該設施設備基準規定。

(二)危機處理方面

2020年2月3日教育部召集大學代表研商並公布新冠疫情因應原則後,即啟動應變小組,於2月4日決議2019學年第二學期延至2月25日開學,減少群聚風險;於2021年5月19日成立「高大防疫行動」LINE群組,傳達指揮中心及教育部指示,預計於2023年5月1日依據教育部防疫指引政策進行退場。為避免因新冠疫情影響就學,訂有「因應嚴重特殊傳染性肺炎疫情學生安心就學措施彈性學習修業規則」,線上教學,保障學習權益。

(三)事後復原與加強因應危機方面

有關事後復原,除編列年度修繕經費,更積極對外爭取教育部或各界募款之經費,以致力打造友善安全之綠色空間。