資安公告事項

依111年11月28日臺教國署資字第1110165505號函規定。

加強落實資通安全及個人資料保護相關規範

一、依111年1月18日臺教國署秘字第1110007251號函規定辦理。
二、使用雲端資通服務(如Google表單等)蒐集個人資料時,可能因設定不當而增加個資外洩及資安風險,請使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者,應注意資通系統或服務蒐集及使用個人資料之注意事項,以「最小化」為原則,並請避免因系統設定錯誤或人為因素,誤將機敏個資、機密檔案公布於網路上。

有關微軟Windows之MSHTML引擎存在安全漏洞(CVE-2021-40444),請立即更新系統。

一、依教育部110年9月28日臺教國署秘字第1100125161號函轉知行政院國家資通安全會報技術服務中心(以下稱技服中心)緊急應處警訊NCCSTALT-2021-0000012通知辦理。
二、行政院110年9月17日晚間以前揭警訊通知各機關,微軟Windows之MSHTML引擎存在安全漏洞(CVE-2021-40444),允許攻擊者遠端執行任意程式碼,技服中心已發布資安訊息警訊(NCCST-ANA-2021-0000411),請儘速完成內部資訊系統更新。
關於漏洞弱點相關資訊:CVE-2021-40444 – 安全性更新導覽 – Microsoft – Microsoft MSHTML 遠端執行程式碼弱點

公開訊息勿刊載個人資訊

依教育部110年8月19日臺教資(四)字第1100101220A號函,為促進個人資料之合理利用,請各處室儘速檢視網站已發布之公告內容,是否存有特定個人之資料(例如:姓名、出生年月日、就學資料、聯絡方式或其他得以直接或間接方式識別該個人之資料);如有者,請儘速下架,並將暫存網頁之資料移除。

學校使用資通系統或服務蒐集及使用個人資料注意事項

依110年9月22日臺教國署秘字第1100116858號函規定各級學校使用資通系統或服務蒐集及使用個人資料之注意事項。
一、教育部為保護教職員、學生、家長之權益,特訂定學校使用資通系統或服務蒐集及使用個人資料注意事項(以下簡稱本注意事項)。
二、各級學校為行政目的使用資通系統或服務蒐集教職員、學生、家長之個人資料者,應遵循個人資料保護法相關規定並參酌本注意事項辦理。但各直轄市、縣(市)政府另有規定者,其所轄學校從其規定。
三、學校為行政目的使用資通系統或雲端資通服務(如Google 表單、Microsoft Forms 等問卷調查服務)涉及蒐集個人資料者,應注意下列事項:
(一)資料蒐集最小化:僅蒐集適當、相關且限於處理目的所必要之個人資料,處理及利用時,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
(二)存取控制:應注意檔案存取權限設定,應採最小權限原則,僅允許使用者依目的,指派任務所需之最小授權存取。
(三)使用雲端資通服務者,應詳閱設定內容,不宜使用者共同編輯個人資料檔案清冊,並應注意避免設定允許顯示其他使用者作答內容(如Google 表單不應勾選「顯示摘要圖表和其他作答內容」),避免使用者能瀏覽其他使用者資料,造成個人資料外洩。公佈前應確實做好相關設定檢查,並實際操作測試,確認無誤後再行發布。
(四)傳輸之機密性:網路傳輸應採用網站安全傳輸通訊協定(HTTPS)加密傳輸,並使用TLS 1.2 以上版本傳輸。
(五)資料儲存安全:如涉及蒐集個人資料保護法第6 條之個人資料或其他敏感個人資料,應以加密方式儲存。
(六)應訂定個人資料保存期限,並於期限或業務終止後將蒐集之個人資料予以刪除或銷毀,避免個人資料外洩。
四、各校或其主管機關得依本注意事項,訂定各校相關作業流程規定。

身分證號隱密原則請遵照國教署來函辦理

為落實政府資訊公開法及個人資料保護法,各機關行文及網站資料涉及國民身分證統一編號(以下簡稱身分證編號)之登載者,統一隱碼欄位為身分證編號後4碼,如另有特殊性用途則依相關規定辦理。
說明如下:
一、查現行各機關針對身分證編號遮蓋欄位不一致,民眾個人資料易遭有心人士蒐集後直接或間接識別個人資料,恐有遭不當使用之虞。
二、為強化個資保護,各機關爾後如需於函文、網站及郵件表單等顯示民眾身分證編號者,請將其後4碼(即第7碼至第10碼)進行遮蓋,並以「*」取代,如另有特殊性用途需遮蓋其他碼或顯示全碼者,則依相關規定辦理。