轉知數位發展部於115年1月7日以數授資法字第1145000416號令修正發布「資通安全責任等級分級辦法」，並自同日施行。（法規全文連結）

本次「資通安全責任等級分級辦法」修正重點以及與本校相關修正條文摘述如下：

• 【修正】本校之資通安全責任等級，由教育部每三年提報數位發展部核定。（第三條第一項）
• 【修正】附表五應辦事項所載「資通安全專責人員」修正為「資通安全專職人員」。（附表五 資通安全責任等級C級之公務機關應辦事項）
• 【新增】本校知悉資通安全弱點時，應適時修補或採行緩解措施。（附表五 資通安全責任等級C級之公務機關應辦事項）
• 【新增】於附表五應辦事項之備註七，訂定應辦事項辦理期限。（附表五 資通安全責任等級C級之公務機關應辦事項）
• 【新增】防護需求等級為「普」（含以上）之資通系統，新增下列控制措施，並應於二年內完成（117年1月7日前）：（附表十 資通系統防護基準）
  
  • 存取控制－帳號管理：已逾期之臨時或緊急帳號應刪除或禁用。
  • 存取控制－帳號管理：資通系統閒置帳號應禁用。
  • 存取控制－帳號管理：定期審核資通系統帳號之申請、建立、修改、啟用、停用及刪除。
  • 存取控制－最小權限：採最小權限原則，僅允許使用者依機關任務及業務功能，完成指派任務所需之授權存取。
  • 存取控制－遠端存取：遠端存取之來源應為機關已預先定義及管理之存取控制點。
  • 事件日誌與可歸責性－時戳及校時：系統內部時鐘應定期與基準時間源進行同步。
  • 營運持續計畫－系統備援：訂定資通系統從中斷後至重新恢復服務之最大可容忍中斷時間要求。
  • 系統與服務獲得－獲得程序：識別資通系統使用之第三方軟體、服務、函式庫或其他元件。
  • 系統與資訊完整性－軟體及資訊完整性：使用者輸入資料合法性檢查應置放於應用系統伺服器端。
• 【新增】防護需求等級為「中」（含以上）之資通系統，新增下列控制措施，並應於二年內完成（117年1月7日前）：（附表十 資通系統防護基準）
  • 存取控制－帳號管理：機關應定義各系統之閒置時間或可使用期限與資通系統之使用情況及條件。
  • 存取控制－帳號管理：逾越機關所許可之閒置時間或可使用期限時，系統應自動將使用者登出。
  • 營運持續計畫－系統備援：應定期測試原服務中斷時，於最大可容忍中斷時間內，由備援設備或其他方式取代並提供服務。
• 【新增】防護需求等級為「高」之資通系統，新增下列控制措施，並應於二年內完成（117年1月7日前）：（附表十 資通系統防護基準）
  • 營運持續計畫－資料備份：應建立資料異地備份機制。
  • 營運持續計畫－系統備援：應將備援啟動作為營運持續計畫演練之一部分。