500 likes | 726 Views
教育部提昇校園資訊安全服務計畫 專案工作報告. 報告單位:專案執行團隊 參與單位:安侯企管公司、 NII 產業發展協進會、精誠資訊公司 97 年 8 月 21 日. 簡報大綱. 教育體系資安現況分析 專案規劃摘要與執行單位簡介 校園資安技術策略規劃 各級學校 20 個單位資訊安全稽核訪視 八所導入教育機構資訊安全管理制度種子學校 教育體系 ISMS 建置課程 校園資安推廣活動. 2. 2. 教育體系資安現況分析. 教育機構資訊風險管理需求來源 教育體系網路架構與應用 TANet 骨幹資訊安全現況.
E N D
教育部提昇校園資訊安全服務計畫專案工作報告教育部提昇校園資訊安全服務計畫專案工作報告 報告單位:專案執行團隊 參與單位:安侯企管公司、 NII產業發展協進會、精誠資訊公司 97年8月21日
簡報大綱 教育體系資安現況分析 專案規劃摘要與執行單位簡介 校園資安技術策略規劃 各級學校20個單位資訊安全稽核訪視 八所導入教育機構資訊安全管理制度種子學校 教育體系ISMS建置課程 校園資安推廣活動 2 2
教育體系資安現況分析 教育機構資訊風險管理需求來源 教育體系網路架構與應用 TANet骨幹資訊安全現況
教育機構資訊風險管理需求來源 學校師生 家長 主管機關 教育 機構 教 教學執行 鏈 研究開發 教學資料 個人資料 行政資訊 研究機密 育 政策執行 行政服務 法令依循與教育品質提升
教育體系網路架構與應用 • Internet資源: • 研究資源 • 教學資源 • 學習資源 • 行政管理 • 溝通平台 • 數位傳遞 • …Many Hinet Seednet Other ISPs Internet GSN • TANet提供: • 網路傳輸平台 • 多媒體整合教育服務 • 教育科技應用 • 校務行政 • 遠端學習 • 合作研究 • ..其他多元創新服務 縣市教育網路 高中職校園網路 縣市教網中心 • TANet主幹 • 區網中心 • 大專校園網路 縣市教網中心 國中小校園網路 本圖為示意圖
TANet骨幹資訊安全現況 • 超過20個縣市TANet網路中心已完成教育版ISMS建置,並執行內部稽核活動 • 所有TANet區域網路中心均正進行教育版ISMS建置
專案規劃摘要與執行單位簡介 專案規劃摘要與期程安排 專案管理組織 專案管理與執行團隊簡介 專案預期成果
專案規劃摘要與期程安排 第三期:期末報告(簽約後13月) 第二期:期中報告(簽約後9月) 第一期:專案執行規劃(簽約後3月) 專案分期 資安法令 法規與政策 教育部相關主管訪談 受輔導單位訪談 現有規範 與草案 新技術與新科技 其他單位 參考經驗 專家與 單位人員 意見 執行績效 量測結果 資料來源 第 一 期 檢 查 點 第 二 期 檢 查 點 第 三 期 檢 查 點 100% 75% 25% 工作進度 專案管理與駐點人員 成立並營運教育體系資通安全推動委員會 試辦教育體系資訊安全管理制度導入及推廣服務,與文件製作教育訓練課程 國中小學資安認知推廣活動 校園資安技術教育訓練與服務及規劃建置營運本方案專屬網站 工作步驟 本圖為示意圖,工作進度規劃詳專案任務規劃底稿 Cost/BenefitAnalysis 主要 產出項目 • 推動組織會議紀錄 • 資安推動工作方針 • 驗證規範與執行標準 • 宣導與課程規劃 彙總 與 審查 分期報告 期末報告 各項工作細部 內容規畫 各項工作執行 產出紀錄 Actions 工作計畫書 Current Gap Analysis Target State
專案管理組織-架構與獨立性說明 教育機構 資安驗證機制 KPMG教育訓練中心 計畫主持人與協同主持人 專案管理辦公室 (PMO) 資安管理輔導團隊 資安技術與網站建置團隊 資訊服務管理輔導團隊 駐點預選人員 提供指導意見 專案策略諮詢與重要成果報告
Responsible Accountable Consulted Informed 專案管理組織-責任分工明細
專案管理與執行團隊簡介 ISO 27001 LA CISA CIA IRCA Course CISSP Security+ CCNA MCSE CCND DCSE OCP MCP PMP ITIL Manager ISO 20000 LA Project+ ITIL Foundation
校園資安技術策略規劃 區縣網資安環境參訪 資安技術課程規劃 弱點掃描
區縣網資安環境參訪-校園資安防禦技術整合規劃執行步驟區縣網資安環境參訪-校園資安防禦技術整合規劃執行步驟 15 • 步驟一: 現況分析與訪談(抽樣訪談區縣網與學校) • 步驟二: 規劃與測試(現況重整、現有設備強化、未來規劃) • 步驟三: 規劃報告撰寫與審查 • 技術教育訓練規劃(結合本案技術課程) • 報告草案審核(送部與TANet委員會審核) • 報告修正與結案 15
區網中心訪談大綱說明 16
資安技術課程規劃-資安技術教育訓練課程規劃時程表資安技術課程規劃-資安技術教育訓練課程規劃時程表 18 18
From Tech to Exec 弱點掃描報告內容 Reporting • 量化的安全係數 • 網路安全架構圖 • 主機使用分布狀況 • 作業系統分布狀況 • 網路服務使用狀況 • 漏洞說明與修補建議 • Web網站安全性檢查報告
執行方式與效益 本計畫將配合教育部辦理教育體系各級單位之資訊安全外部稽核作業: 由教育部自各部屬館所、學院、專科、高中職、國中小學校,挑選出 20 個單位。 預計稽核辦理時間為97年底或98年初。 進行稽核活動前將提供各單位 ISMS 自我檢查表,以為各校提前準備。 稽核訪視目的 透過稽核訪查方式,協助各單位了解現況,並提供改善建議 使主管機構了解各單位資安資源配置與執行狀況,以供決策與後續規劃參考 23
八所導入教育機構資訊安全管理制度種子學校 八所種子學校入選名單 資訊安全管理制度導入試辦內容 資訊安全管理制度輔導活動進行圖示 八所種子學校資訊安全管理制度建置輔導與遴選四校參 加驗證工作執行步驟與時程表
八所種子學校入選名單 中山醫學大學 正修科技大學 明道大學 國立彰化師範大學 國立聯合大學 崑山科技大學 萬能科技大學 輔仁大學 25 25
資訊安全管理制度導入試辦內容 八校分兩區進行聯合輔導與各校差異化執行 聯合輔導: 輔導單位選定區域之適當輔導地點,由各校專案執行人員配合到場進行專案活動。 活動內容包含教育訓練、工作研討、制度實作練習、交付項目確認、專案會議等。 各校差異化執行: 輔導單位之顧問人員每週以通訊工具,針對各校專案執行工作,與專案負責人員進行溝通會議及交付項目確認。 定期赴各校,針對差異與實際需求進行分析,協助各校調整資安管理制度,並進行管審會輔導與提供內稽活動協助等。 七月份由教育部遴選出八所學校,並於八月十九日召開專案啟動會議。 將從八個種子學校中評選出四所績優學校,由教育部提供資安驗證費用。 26 26
八所種子學校資訊安全管理制度建置輔導與遴選四校參加驗證工作執行步驟與時程表八所種子學校資訊安全管理制度建置輔導與遴選四校參加驗證工作執行步驟與時程表 28 28
關於教育體系資安制度的常見問題 • 教育單位一定要現在推動資安制度嗎? • 要通過ISO 27001還是教育體系資安規範驗證? • 聽說要有數百萬預算才可以進行專案? • 校園資安制度的建置範圍為何? • 專案效益為何?對教育單位有何幫助? • 只要買ISMS工具,就可以通過驗證嗎? • 只要寫一寫制度文件,就可以通過驗證嗎? • 除了管理制度,還需要另外花大筆經費購置資安設備才能符合要求? • 單位資安/資訊人員經常異動,如何建立資安制度? • 單位資源有限(例如資訊人員不足、備援/備份場地不足) ,如何滿足資安諸多要求?
教育體系ISMS 建置課程 ISMS建置課程工作執行步驟與時程表 課程梯次規劃說明 ISMS建置課程說明
ISMS 建置課程 工作執行步驟與時程表 (視報名狀況延伸至專案結束為止) 31 31
課程梯次規劃說明 32 32
ISMS建置課程說明 33
校園資安推廣活動 校園資安專屬網站建置規劃 國中小學資安認知推廣活動 本部份報告所提之網站說明內容為專案執行團隊產出規劃結果,正式網站將於教育部評估定案後上線
校園資安專屬網站建置規劃 35
以Web2.0概念提供RSS訂閱,以達資訊的即時分享 網站主要功能單元 資安相關網站與宣導活動連結專區 36
校園資安專屬網站建置規劃-資安宣導 網站整體規劃 第一階段已完成項目 單元概述 介紹資安相關政策與管理制度的內容。
校園資安專屬網站建置規劃-公告訊息 網站整體規劃 第一階段已完成項目 單元概述 即時公布資安最新消息與活動資訊,並以Web2.0概念提供RSS訂閱,以達資訊的即時分享,另建立本站的常見問答的供使用者瀏覽。
校園資安專屬網站建置規劃-資安驗證機制 網站整體規劃 第一階段已完成項目 此單元將在第二階段完成 單元概述 資安驗證機制專區
以字母分類方便查詢 校園資安專屬網站建置規劃-學習園地 網站整體規劃 第一階段已完成項目 單元概述 提供資訊安全相關內容,從校園通用資安管理原則至實用的資安小字典,豐富的分類與內容為本站的應用知識庫
校園資安專屬網站建置規劃-資訊交流 網站整體規劃 第一階段已完成項目 單元概述 從相關連結可瀏覽其他網站,以延伸閱讀更多的資安資訊。下載專區統整各項文件供使用者下載參考。
校園資安專屬網站建置規劃-會員專區 網站整體規劃 第一階段已完成項目 單元概述 會員由此登入,以登入會員網頁會透過SSL機制加密開啟。
校園資安專屬網站建置規劃-線上報名系統 網站整體規劃 第一階段已完成項目 單元概述 登入會員後即可以其身份使用「線上報名系統」,唯部分課程因屬特定對象才可參加,因此報名者只要符合資格並輸入文號,且文號比對正確者,即可報名此項課程。
校園資安專屬網站建置規劃-挑戰資訊安全達人校園資安專屬網站建置規劃-挑戰資訊安全達人 網站整體規劃 第一階段已完成項目 此單元將在第二階段完成 單元概述 資安建檢測驗題庫資料庫,以遊戲式的測驗方式,以增加測驗的趣味性
國中小學資安認知推廣活動 宣導網站規劃 加入會員 線上學習輔助教材 資安建檢測驗題庫 海報比賽徵求與線上投票 45
簡報完畢,敬請指教。 46 46