教育部以下简称本部为落实推动本部资讯安全管理

教育部（以下简称本部）为落实推动本部资讯安全管理，特设教育部资讯安全推动管理会(以下简称本会)，并订定本要点。

一、教育部（以下简称本部）为落实推动本部资讯安全管理，特设教育部资讯安全推动管理会(以下简称本会)，并订定本要点。

(三)重要业务资讯系统建置、开发及维运。

(一)本部资讯安全管理政策之研议。

(二)本部资讯安全管理制度之推展及分配适当资源。

(三)本部资讯安全风险评鉴及管理。

(四)本部资讯安全管理措施有效性检视及审议。

(五)本部资讯安全管理稽核结果检视及审议。

本会置委员十九人，其中一人为召集人，由本部次长 (资安长)兼任，其余委员由本部各单位(以下简称各单位)指派资讯安全督导人员(副主管或专门委员以上)一人及国教署、青年署与体育署 (以下简称部属机关)指派资讯安全督导人员(副署长或专门委员以上)一人兼任。 本会置执行秘书及副执行秘书各一人，由本部资讯及科技教育司(以下简称资科司)司长及副司长兼任，承召集人之命办理本会有关业务。 本会幕僚工作由资科司办理，为强化幕僚功能，得邀请各单位人员参与幕僚作业。

本会由召集人定期召开会议，并担任主席，召集人因故不能主持会议时，得指定委员代理；各单位及部属机关兼任之委员如不克出席会议，得指派相当层级代表出席。 前项会议开会时，得邀请本部所属机关(构)、相关机关代表、学者专家出（列）席。

六、各单位资讯安全督导人员，应督导单位内同仁办理下列资讯安全事项：

(一)各单位资讯资产之清点、风险评鉴作业。

(二)评估重要业务资讯系统(网站)应否纳入本部资讯安全管理范围，执行必要之资讯安全管控措施。

(三)遵守本部相关电脑及资讯系统使用管理、资讯处理规范。

(四)电脑资讯设备安全管理。

(五)各单位资讯安全检查及稽核作业。

(六)对稽核之缺失予以管制，以落实执行矫正及预防措施。

七、各单位指定资讯安全管理专责人员，办理下列事项：

(一)执行各单位资讯资产清点、风险评鉴作业。

(二)建立各单位资讯安全管理所需程序，并予以文件化。

(三)推动及执行适当之资讯安全管控措施。

(四)执行各单位资讯安全检查及稽核作业。

(五)执行资安事件通报及协助应变处置。

(六)办理各单位同仁接受资讯安全训练。

八、本会下设资讯安全管理审查会(以下简称管审会)，由执行秘书担任召集人，召集各单位资讯安全管理专责人员，定期召开管审会会议；其任务如下：

(一)研订资讯安全政策相关建议(包括相关资源分配建议)、资讯安全管理程序及文件，并提报本会审议。

(二)审查各单位风险评鉴及相关管理措施之有效性，向本会提报执行情形及建议事项。

(三)审查各单位资讯安全稽核(包括外部认证稽核)及改善措施(预防及矫正)执行情形，并向本会提报执行情形及建议事项。

(四)审核各单位资讯安全事件通报及应变处置情形，研商改善作为及建议，以提供各单位参考办理，并将重大资安事件(包括国家资通安全通报应变作业纲要规定之三级以上资安事件及重大个资外泄事件)提报本会审议。

九、为推动资讯安全管理，本会设下列工作小组：

(一)风险管理小组：由资科司主政，综合规划司协办、召集各单位资讯安全管理专责人员组成，协助各单位进行资讯资产清点、分级及风险评鉴作业。

(二)文件管理小组：由资科司主政，召集各单位资讯安全管理专责人员组成，制定资讯安全管理所需之相关程序、文件及表单。

(三)稽核小组：由政风处主政，召集资科司及各单位资讯安全管理专责人员组成，每年定期办理二次资讯安全稽核作业，对缺失提出改善建议。

(四)业务持续运作管理小组：由资科司主政，召集各单位重要纳管之资讯系统负责人组成，制定各项重要业务系统持续运作计划、定期办理演练及检讨改善措施。

(五)宣导教育小组：由人事处主政，召集各单位资讯安全管理专责人员组成，负责规划及实施全体同仁一般资讯安全认知宣导教育。

十、各单位资讯安全管理之作法如下：

(一) 实施资讯资产之清点、分级及风险评鉴。

(二) 评估重要业务运作之资讯系统(网站)应否纳入本部资讯安全管理。

(三) 办理实施资讯安全管理教育训练，向本部同仁宣导相关作法及措施。

(四) 针对纳管之资讯系统(网站)所面临风险，制定适当资讯安全管控措施。

(五) 针对资讯安全管制措施，规划可行之管控程序，并予以文件化。

(六) 各单位资讯安全管理专责人员应辅导同仁，落实实施各项资讯安全管控措施。

(七) 就稽核小组定期执行稽核检查发现之缺失，各单位应对该项缺失实施矫正及预防措施。

(八) 得接受外部资安稽核认证机构及行政院资通安全会报之稽核 ， 以获取资讯安全管理认证 ， 并持续改善 。