112學年度校內資安暨個資稽核-共通不符合事項
資安稽核
- 單位未確實盤點使用本校IP或網域名稱之資通系統,建立清冊。
改善建議:各單位應落實盤點單位內系統(含網站),系所官網若非使用本校統一採購之模組化網站,則必須納入單位系統清冊。若網站委由學生開發亦歸屬於本校自行開發之網站。
- 針對物聯網設備未採取適當管控機制,如連線控管、變更廠商預設帳密、禁止使用弱密碼、修補安全漏洞。
本次稽核發現不符合設備多為印表機,常見情形是雖單位印表機已經設定需使用密碼登入並限制僅校內IP可連線,但設備後臺畫面無須登入即可查看工作紀錄(工作檔案名稱:可能包含學生姓名及申請文件名稱)、掃描影像檔案(可能包含個資)、使用者IP等資訊。
改善建議:
- 建議各單位可透過校內WIFI或手機行動網路校外IP測試,在瀏覽器輸入物聯網設備IP連線至設備後台,自行檢查在設備未登入畫面是否揭露過多資訊。
- 若受限於設備型號,無法更改未登入時的顯示畫面,則應更限縮可連線的IP範圍,例如:僅辦公室電腦IP的網段可連線,避免不法人士透過校內WIFI網路或校內已中毒的電腦連線。
- 一般使用者或主管未完成每年3小時以上之資安通識教育訓練。
改善建議:單位內所有同仁(含主管)每年皆應完成3小時以上的資安通識教育訓練,可多利用線上免費課程資源或電算中心辦理之實體課程。
- 資訊人員未完成額外每2年接受3小時以上之資安專業課程訓練。
改善建議:資訊人員包含業務單位負責系統委外業務的人員,除了每年3小時的資安通識教育訓練,需額外完成2年3小時的資安專業課程訓練,且兩種課程性質及目的不同,時數不可相抵。(擷取自資安法QA說明)
- 公務電腦未落實安全管理,如設定螢幕保護程式並設定密碼保護、非必要勿開啟遠端桌面連線等。
改善建議:公務電腦不使用時,應設置螢幕保護程式(應確實勾選「顯示登入畫面」),並以密碼保護、鎖定或登出離線等安全控制措施。
- 公務電腦防毒軟體未維持最新授權更新。
發現部分電腦因作業系統未升級至最新版本,導致防毒軟體無法自動更新維持最新授權。
改善建議:公務電腦應維持作業系統及防毒軟體為最新版本,可多善用學校提供之校園授權軟體。
- 資通服務委外合約未附加「國立政治大學資通服務委外合約書附則」或相關資通安全規範。
改善建議:業務單位委託廠商執行系統開發或維護業務,除提出功能性需求,亦應該針對系統安全性有所要求,業務單位可依承攬金額彈性調整或擷取「國立政治大學資通服務委外合約書附則」內容,納入委外合約規範,且廠商團隊成員應簽署並提交保密切結書。
- 對於資通系統之委外廠商,未針對其人員(如能力、背景等)及開發維運環境之資通安全管理進行評估。
改善建議:
- 業務單位擇定委外廠商前,可利用「國立政治大學資通服務委外合約書附則」之附件1「廠商資安管理作業自我評估表」針對委外廠商及人員、開發環境等資安管理進行評估,若已為長期合作廠商,應於下次簽約(如維護約)前進行評估,以瞭解廠商資安管理措施。
- 本次稽核發現少數單位廠商回復之「廠商資安管理作業自我評估表」內容顯示廠商無資安管理措施,業務單位應審慎評估委託該廠商之安全風險。
- 針對自行或委外開發資通系統,未定期執行弱點掃描。
改善建議:可申請本校提供之弱點掃描服務(https://cc.nccu.edu.tw/p/426-1001-82.php)
- 針對安全性檢測結果「高」風險(含)以上弱點執行修補作業,或提出改善計畫。
改善建議:本校弱掃平台目前每月定期執行一次掃瞄作業,應針對弱掃報告中「critical」、「high」風險項目進行改善,若無法短期內完成修補,應有改善或規劃修補紀錄,並經單位主管核准。
個資稽核
- 使用雲端表單蒐集個人資料時,未設定截止期限;蒐集的資料(回應) ,共用之設定為「知道連結的任何人」。
改善建議:
- 雲端表單務必設定回覆期限。
- 表單(回應)之共用設定,請指定與業務相關且需讀取資料之同仁帳號,勿設定「知道連結的任何人」。
- 人員異動時,請同步更新共用帳號之設定,並留意帳號資料之轉移、交接或是刪除。
- 雲端表單蒐集之個人資料(含研討會、計畫案等)於蒐集之特定目的結束後,未將資料刪除。
改善建議:
- 原蒐集資料之特定目的消失,資料也達保存年限,請將資料刪除。
- 若資料不再使用但未達保存年限,請妥善保存資料,關閉共用設定,或是進一步將雲端資料存回本機後,刪除雲端資料。
- 人員異動時,請確認雲端資料之轉移、交接或是刪除;本機或單位儲存空間之資料亦同。
- 同仁(一般使用者及主管)未完成當年度之個人資料保護教育訓練。
改善建議:
https://reurl.cc/kOE9Lq。