跳到主要內容區

教育體系電子郵件服務與安全管理指引

教育部訂定「教育體系電子郵件服務與安全管理指引」公告宣導

說明:
一、教育部109年3月2日臺教資(四)字第1090008789號函辦理。
二、旨案係教育部為確保各級學校電子郵件服務安全使用,減少不當使用及降低資通安全威脅,特訂定教育體系電子郵件服務與安全管理指引(以下簡稱本指引)。
三、本指引規範重點簡述如下:
(一)各校辦理公務業務或核心業務時,應使用單位配發之電子信箱收發公務所需資訊,不得使用非公務信箱進行公務郵件收發等事宜。
(二)各校建立電子郵件服務時,應明確規範電子郵件服務對象、申請方式、使用用途範圍及使用期限,且不得提供服務對象以外者使用電子郵件服務。
(三)各單位建立前項電子郵件服務,應訂定電子郵件服務使用相關規範,明確規範使用者之權利、責任及相關安全原則。
(四)使用者辦理公務、及重要(或敏感)專案使用之電子郵件信箱(可規劃專用電子郵件信箱),不得轉至外部私人信箱收發公務資訊。
(五)教職員如轉任或借調至公務機關服務者,不得使用學校電子郵件信箱收發公務機關相關電子郵件。
(六)各校委外辦理電子郵件服務系統建置,應考量受委託者之專業能力與經驗,選任適當之受託者,監督其資通安全維護情形,並注意資通安全管理法施行細則第四條第一項各款事項。
(七)各校應提供適當之加密或認證相關機制(或工具),作為公務郵件傳送敏感性資訊時採用。
(八)各級學校應將應用於學校校務行政及教學等重要業務之電子郵件服務納入核心資通系統,辦理業務持續運作演練及網站安全弱點檢測,並導入資訊安全管理系統。
(九)各校視資源能力設置適當之安全防護系統及設備,並應注意資通安全管理法相關規定。
(十)各校自行開發或委外開發建置電子郵件服務系統,應辦理資通安全責任等級分級作業辦法附表十資通系統防護基準至少「中」以上之控制措施。
(十一)前項之電子郵件伺服器應強化安全性檢測及防護基準如下:
1、每半年辦理一次網站安全弱點檢測並完成弱點修補。
2、落實資通安全責任等級分級作業辦法附表十資通系統防護基準有關「系統與通訊保護」構面之「高」等級控制措施。
(十二)各校應配合教育部每年定期辦理防範惡意電子郵件社交工程之演練作業,進行單位人員教育訓練,並勿過濾測試郵件,以加強使用者之安全警覺意識。
(十三)各校應針對前項演練不合格人員加強資安訓練及宣導。
(十四)各校應持續監控電子郵件服務效能及通信紀錄,當前述紀錄發生異常情形時,應依臺灣學術網路各級學校資通安全通報應變作業程序規定,即時至臺灣學術網路危機處理中心(TACERT)通報資安事件,分析遭攻擊情況、攻擊管道,採取必要之損害管控及防護措施。
(十五)各校電子郵件服務提供與使用,本指引未規定者,依資通安全管理法及教育部相關資通安全規定辦理。

瀏覽數: