資安稽核

• 單位未確實盤點使用本校IP或網域名稱之資通系統，建立清冊。

改善建議：各單位應落實盤點單位內系統（含網站），系所官網若非使用本校統一採購之模組化網站，則必須納入單位系統清冊。若網站委由學生開發亦歸屬於本校自行開發之網站。

• 針對物聯網設備未採取適當管控機制，如連線控管、變更廠商預設帳密、禁止使用弱密碼、修補安全漏洞。

本次稽核發現不符合設備多為印表機，常見情形是雖單位印表機已經設定需使用密碼登入並限制僅校內IP可連線，但設備後臺畫面無須登入即可查看工作紀錄(工作檔案名稱：可能包含學生姓名及申請文件名稱)、掃描影像檔案(可能包含個資)、使用者IP等資訊。

改善建議：

1. 建議各單位可透過校內WIFI或手機行動網路校外IP測試，在瀏覽器輸入物聯網設備IP連線至設備後台，自行檢查在設備未登入畫面是否揭露過多資訊。
2. 若受限於設備型號，無法更改未登入時的顯示畫面，則應更限縮可連線的IP範圍，例如：僅辦公室電腦IP的網段可連線，避免不法人士透過校內WIFI網路或校內已中毒的電腦連線。

• 一般使用者或主管未完成每年3小時以上之資安通識教育訓練。

改善建議：單位內所有同仁（含主管）每年皆應完成3小時以上的資安通識教育訓練，可多利用線上免費課程資源或電算中心辦理之實體課程。

• 資訊人員未完成額外每2年接受3小時以上之資安專業課程訓練。

改善建議：資訊人員包含業務單位負責系統委外業務的人員，除了每年3小時的資安通識教育訓練，需額外完成2年3小時的資安專業課程訓練，且兩種課程性質及目的不同，時數不可相抵。(擷取自資安法QA說明)

• 公務電腦未落實安全管理，如設定螢幕保護程式並設定密碼保護、非必要勿開啟遠端桌面連線等。

改善建議：公務電腦不使用時，應設置螢幕保護程式（應確實勾選「顯示登入畫面」），並以密碼保護、鎖定或登出離線等安全控制措施。

• 公務電腦防毒軟體未維持最新授權更新。

發現部分電腦因作業系統未升級至最新版本，導致防毒軟體無法自動更新維持最新授權。

改善建議：公務電腦應維持作業系統及防毒軟體為最新版本，可多善用學校提供之校園授權軟體。

• 資通服務委外合約未附加「國立政治大學資通服務委外合約書附則」或相關資通安全規範。

改善建議：業務單位委託廠商執行系統開發或維護業務，除提出功能性需求，亦應該針對系統安全性有所要求，業務單位可依承攬金額彈性調整或擷取「國立政治大學資通服務委外合約書附則」內容，納入委外合約規範，且廠商團隊成員應簽署並提交保密切結書。

• 對於資通系統之委外廠商，未針對其人員(如能力、背景等)及開發維運環境之資通安全管理進行評估。

改善建議：

1. 業務單位擇定委外廠商前，可利用「國立政治大學資通服務委外合約書附則」之附件1「廠商資安管理作業自我評估表」針對委外廠商及人員、開發環境等資安管理進行評估，若已為長期合作廠商，應於下次簽約（如維護約）前進行評估，以瞭解廠商資安管理措施。
2. 本次稽核發現少數單位廠商回復之「廠商資安管理作業自我評估表」內容顯示廠商無資安管理措施，業務單位應審慎評估委託該廠商之安全風險。

• 針對自行或委外開發資通系統，未定期執行弱點掃描。

改善建議：可申請本校提供之弱點掃描服務（https://cc.nccu.edu.tw/p/426-1001-82.php）

• 針對安全性檢測結果「高」風險(含)以上弱點執行修補作業，或提出改善計畫。

改善建議：本校弱掃平台目前每月定期執行一次掃瞄作業，應針對弱掃報告中「critical」、「high」風險項目進行改善，若無法短期內完成修補，應有改善或規劃修補紀錄，並經單位主管核准。

個資稽核

• 使用雲端表單蒐集個人資料時，未設定截止期限；蒐集的資料(回應) ，共用之設定為「知道連結的任何人」。
  改善建議：

1. 雲端表單務必設定回覆期限。
2. 表單(回應)之共用設定，請指定與業務相關且需讀取資料之同仁帳號，勿設定「知道連結的任何人」。
3. 人員異動時，請同步更新共用帳號之設定，並留意帳號資料之轉移、交接或是刪除。

• 雲端表單蒐集之個人資料（含研討會、計畫案等）於蒐集之特定目的結束後，未將資料刪除。
  改善建議：

1. 原蒐集資料之特定目的消失，資料也達保存年限，請將資料刪除。
2. 若資料不再使用但未達保存年限，請妥善保存資料，關閉共用設定，或是進一步將雲端資料存回本機後，刪除雲端資料。
3. 人員異動時，請確認雲端資料之轉移、交接或是刪除；本機或單位儲存空間之資料亦同。

• 同仁（一般使用者及主管）未完成當年度之個人資料保護教育訓練。
  改善建議：
  https://reurl.cc/kOE9Lq。