為推動教育體系各機關、學校落實資安法令規範,並增進其所屬人員資安防護相關知能,以提供教職員生、民眾安全可信賴的資通系統及服務,教育部委託國立中興大學「教育機構資安驗證中心(ISCB)」於今(111)年辦理3場次「教育體系資通安全防護巡迴研討會」。
本次巡迴研討會邀請教育部部屬機關(構)、公私立大專校院、所管財團法人等單位的資訊(安)業務人員參加,並於111年5月3日(南部)、5月4日(中部)及5月6日(北部)以實體課程方式完成辦理,總計有97單位共113人參與。
隨著教育環境大量應用資通系統以輔助教學業務推動,且物聯網(IoT)與智慧連網設備不斷增加,教育體系各機關、學校的資通系統、服務及網路環境,已成為駭客覬覦的主要目標,並以日新月異的攻擊手法造成資安風險持續提升。依資安業者統計,臺灣在110年每週平均遭受攻擊次數,依產業別,以教育與研究機構最多,全球趨勢亦同。
本次巡迴研討會主題即為協助教育體系各機關、學校了解近期重大資安威脅、資安事件案例及教育部資安政策,並分享本部辦理資安稽核的常見缺失及未來作業規劃,以推動教育體系資安稽核員的培育作業。相關內容簡述如下:
一、考量近期重大資安威脅情資頻傳,教育部透過蒐集與教育體系相關的資安事件案例,針對事件背景、成因進行深入分析,並提供預防事件發生的改善建議,以實務案例分享,強化機關、學校人員資安防護相關知能。
二、近期重大資安事件多與人為疏失有關,突顯最大問題是在資安管理與落實面。為協助機關、學校強化資安管理持續改善,由教育機構資安驗證中心(ISCB)彙整及統計110年教育部對所屬機關、學校資安稽核的常見缺失,找出重複發生的問題,提供策略面、管理面及技術面的改善建議,並由教育部說明111年資安稽核作業的執行方式、內容及受稽方配合事項。
三、教育部因應持續擴大辦理資安稽核服務所需,已訂定資安稽核員培訓及遴選作業計畫,以培育未來教育體系所需資安稽核作業人力。除說明前述計畫內容,也邀請具實務經驗的資安稽核員說明稽核作業方式、稽核技巧及抽樣方法,並闡釋稽核員應具備的公正性、客觀性等人格特質與態度,以促進稽核服務品質。
藉由本次巡迴研討會的舉辦,使教育體系各機關、學校人員能增進互動,並透過資安事件與稽核常見缺失鑑往知來,以降低重要資訊資產喪失機密性、正確性及可用性的各項安全風險。未來教育部也將持續攜手專業團隊,增進教育體系人員專業知能,並培育管理稽核人才,以增進整體資安防護能量水準,保障教職員生與民眾權益。