因應資通安全管理法,AZURE平台虛擬機之相關法規適用性參考。

石岡國小洪老師(ad***)
文章: 8
註冊時間: 2018年 1月 2日, 08:33

因應資通安全管理法,AZURE平台虛擬機之相關法規適用性參考。

文章石岡國小洪老師(ad***) » 2019年 10月 2日, 15:49

先給結論:學校端是否在AZURE平台使用虛擬機,非判斷資通安全責任等級依據,需查證虛擬機內建置之服務,是否為核心資通系統、是否包含個人資料而定。

疑問:一樣是向上集中,為何學校使用雲端校務系統,資通安全責任等級可以算D級,使用AZURE虛擬機服務,還要看建置的服務內容來判斷?
釋疑:關鍵在【維運】,學校端沒有雲端校務系統主機的root權限,AZURE虛擬機的root或admin權限則歸各校管理者所有。

依據資通安全責任等級分級辦法
第六條 各機關維運自行或委外開發之資通系統者,其資通安全責任等級為 C 級。
第七條 各機關自行辦理資通業務,未維運自行或委外開發之資通系統者,其資通安全責任等級為 D 級。

資通安全管理法施行細則
第七條 核心資通系統,指支持核心業務持續運作必要之系統,或依資通安全責任等級分級辦法附表九資通系統防護需求分級原則之規定,判定其防護需求等級為高者。

附表九
圖片 5.jpg
圖片 5.jpg (527.76 KiB) 已瀏覽 1703 次


資通安全管理法教育體系之法遵說明
核心資通系統:指資通安全管理法施行細則 第七條第二項之核心資通系統( 如官方網站 、應用於全校校務行政及教學等重要業務之電子郵件服務系統、網域名稱系統、公文系統、校務行政系統或其他涉及持有學生或教職員個人資料檔案資通系統等)。
非核心資通系統:需與核心資通系統有明確區隔,不得直接存取。

臺南市教育局見解,教育部與行政院資安處討論高中(職)以下學校分級,討論後建議方案如下:
一、公立高中以下學校,其全部核心資通系統已向上集中為共用性資通系統,且其餘系統滿足下列條件者,得依第10條第4款調整等級為D級,惟仍應辦理應辦事項配套。
1.不含個人資料
2.與核心系統明確區隔

二、考慮現況向上集中需要時間過渡,且分級辦法規定每2年重新核定等級一次,故擬給予2年之過渡時間。
本次提報等級時,有配合向上集中之規劃之學校,可暫列D級,惟2年後重新分級時則回到前述原則。
另針對"暫列"及"得調整為"D級的學校,應辦事項配套措施,除原D級應辦事項外,尚需進行
1. 資通系統分級及防護
2. 配合學校內部管理,辦理一次資通安全稽核 (教育體系版)
3. 配置資安專責人員1名,並接受12小時教育訓練 (可用線上教育訓練)
4. 資通安全健診 (2年1次)(進行之方式,將再與教育部討論)

參考資料
資通安全責任等級分級辦法.pdf
(395.65 KiB) 已下載 25 次




臺南市教育局資訊組長業務專區
最後由 石岡國小洪老師(ad***) 於 2019年 10月 3日, 08:04 編輯,總共編輯了 2 次。


石岡國小洪老師(ad***)
文章: 8
註冊時間: 2018年 1月 2日, 08:33

Re: 因應資通安全管理法,AZURE平台虛擬機之相關法規適用性參考。

文章石岡國小洪老師(ad***) » 2019年 10月 9日, 10:16

補充:C級、D級單位該做的事,差異比較。
2019-10-09 (3).png
2019-10-09 (3).png (405.07 KiB) 已瀏覽 1662 次

2019-10-09 (4).png
2019-10-09 (4).png (126.64 KiB) 已瀏覽 1662 次


回到「資網中心訊息公告」

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 5 位訪客