2022年8月31日 为因应资通安全管理法之要求，落实本校资通安全管理制度，请各单位配合以下说明事项 ，请查照。 一、各单位自行开发或委外开发资通系统时，应遵循「国立阳明交通大学资通系统安全管 理规范」之要求。 （一）评估资通系统之安全等级，并依据资通安全管理法之资通安全责任等级分级办法的 分级原则与防护基准确实落实执行。 （二）各单位自行开发公务资通系统须提供系统开发安全之文件与弱点扫描报告，经确认 无高、中风险者始可正式启用；若审查不合格，资讯中心将提供弱点验证结果，通知系统 管理单位限期改善。 （三）若委外资通系统，需与厂商签订适当的资讯安全协定，确实遵守本校对资讯相关服 务之安全要求及应负的责任，相关内容请参照「国立阳明交通大学资通系统安全管理规范 之附件一、委外服务资讯安全责任契约附加条款」。 二、委外厂商进行远端维护资通系统，应采「原则禁止、例外允许」方式办理（参考行政 院资通安全处110年3月2日院台护字第1100165761号函），开放远端存取期间原则以短天 期为限，连线控制应由主机管理员从主机端或VPN进行管控，并填写「委外厂商连线纪录 表」纪录厂商之连线时间、用途说明，作业完毕应即关闭连线；并应定期送权责主管审查 。 三、使用中之中国厂牌资通讯产品（含网路设备、电子看板、跑马灯、门禁监控、监视器 等），因存有潜在的资安风险，请尽速规划替代方案或汰换。 四、各单位若发生资安事件或接获资安事件，应尽速解决并回报资讯中心。 五、各单位应依据资通安全管理法之要求，配合资讯中心推动於个人电脑安装政府组态基 准（GCB）之设定。 六、为落实资安管理政策，资讯中心将订定周期性稽核计画，请各单位配合资讯中心之资 安稽核作业。 七、依据资通安全管理法之要求，本校教职员工每年每人须完成三小时的资通安全教育训 练。若为资讯人员（包含委外资通系统之承办人）， 每人每二年至少接受三小时以上之 资通安全专业课程训练或资通安全职能训练。 https://it.nycu.edu.tw/news/8797 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.194.181.20 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NYCU/M.1662214525.A.A87.html