電算中心通過ISCB教育體系資通安全暨個人資料管理規範(2016版)

文:葉振隆
慈濟大學電算中心自民國99年開始導入教育部資安驗證機制，以提升校園資安品質與保障。此驗證機制主要是透過資訊安全管理制度 (Information Security Management System, ISMS) 的建立(Plan)、實作(Do)、檢查(Check)與持續改善(Action)，並透過風險管理流程來維護資料的安全性、可用性與機密性。依教育部與所屬機關(構)及學校資通安全責任等級分級作業規定，學校必須運行資訊安全管理制度(ISMS)，對機關核心業務應用資訊系統進行資安風險評鑑、管控等作業，並通過第三方驗證或教育機構資安認證。

教育機構資安驗證中心以96年版教版資安規範為基礎，針對ISO27001:2013轉版內容，並考量我國個人資料保護法之修正與施行，以及最佳國際實務標準之發展與普及，如ISO 27001:2013、ISO 27002:2013、ISO 29100:2011、BS 10012:2009等，自104 年起著手「教育體系資通安全管理規範」之研修，歷經數次之專家討論與教育體系意見諮詢，終而於105年完成之修訂，提出2016年新版之「教育體系資通安全暨個人資料管理規範」。

經過半年的準備，於2019年7月11日及12日由陳鴻慶主任帶領電算中心同仁接受教育機構資安驗證中心 (ISCB)之教育機構資安認證稽核，經過兩天的稽核，教育機構資安驗證中心外部稽核小組認為慈大已經建立符合「教育體系資通安全暨個人資料管理規範(2016年版)」的資訊安全管理機制，並展現足以維持組織驗證範圍內資訊安全政策與目標，慈濟大學順利通過稽核圓滿結束。閉幕會議時，由陳鴻慶主任與稽核小組代表共同簽署稽核報告，感恩電算中心同仁為了ISMS稽核的付出。