「教育部國民及學前教育署」(以下簡稱本網站）為保障您及本網站的資料安全，特別依照「資通安全法」之精神，擬定以下網站安全政策，以說明本網站在資訊安全方面的作法。

教育部國民及學前教育署(以下稱本署)為確保核心資訊系統資料、系統、設備及網路通訊安全，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險，並建立資訊安全管理體系，特訂定資訊安全政策(以下簡稱本政策)，本政策未規定事項依政府其他資訊安全法規辦理，以符合資訊系統之機密性、完整性、可用性與法律遵循性。

1. ISO/IEC 27001:2013(Information technology — Security techniques — Information security management systems — Requirements)
2. CNS 27001
3. ISO/IEC 27002:2013(Information technology — Security techniques — Code of practice for information security management)
4. 行政院及所屬各機關資訊安全管理要點
5. 行政院及所屬各機關資訊安全管理規範
6. 國家資通訊安全發展方案
7. 教育部資訊安全政策

1. 機密性(Confidentiality) ：確保只有經過授權的人才能存取資訊資產。
2. 完整性(Integrity) ：確保資訊資產的完整性(Completeness)及其處理方法的準確性。
3. 可用性(Availability) ：確保授權的使用者在需要時，可以使用資訊資產。
4. 適法性(Legality) ：符合國家相關法令規範。

為確保核心資訊系統安全及建立可信賴之環境，相關使用者需經過正常程序之申請授權，方能閱讀與存取授權範圍內之管制資訊，期間並保障資訊於處理、傳輸、儲存之過程中皆能正確無誤之使用，及避免資訊與系統被無意或惡意之竄改或變更，並確保智慧財產權及個人資料都能得到妥適的保護，避免不當的使用。

對於個人資料之蒐集、處理及利用，將依個人資料保護法及相關法令之規定，僅就其特定目的（如承辦業務及所需提供之服務時）之用，不會恣意對其他第三者揭露。

是故以簡單、容易記憶且符合資訊安全管理目標為原則，訂定資訊安全政策聲明分為兩大方向：

1. 確保資訊系統運作環境安全無虞，並強化資訊安全管理，提供民眾優質服務。
2. 管制資料保護好，完整正確不可少，持續服務為首要，養成習慣沒煩惱。

1. 依據資訊安全管理標準ISO/IEC 27001：2013驗證之精神與要求，建置與累積導入資訊安全管理系統(Information Security Management System，ISMS)經驗與能力，作為本署推廣資訊安全系統建置之基礎準則。
2. 確保本署核心資訊系統相關平台之資料的機密性(Confidentiality) 、完整性 (Integrity) 、可用性 (Availability)與法規/合約(Legal)，以達正常持續運作之目標。
3. 依據PDCA流程模式，以週而復始、循序漸進的精神，確保本署核心資訊業務運作之有效性及持續性，並訂立資訊安全目標量測機制，期能不斷精進。

ISMS管理範圍以本署資訊機房及本署核心資訊系統之維運、及作業等相關資訊活動及參與人員為主要管理標的。

相關單位及人員應就下列事項訂定相關管理規範或實施計畫，並定期評估實施成效(量測指標)，實施程序参見資訊安全實施程序書。

1. 各項資訊安全管理規定必須遵守政府相關法規(如：刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等）之規定。
2. 負責資訊安全制度之建立及推動事宜。
3. 定期實施資訊安全教育訓練，宣導資訊安全政策及相關實施規定。
4. 建立資訊硬體設施及軟體之管理機制，以統籌分配、運用資源。
5. 建置新資訊系統前，應將資訊安全納入考量因素，防範發生危害系統安全之情況。
6. 維持電腦機房實體及環境安全防護措施，並定期實施相關保養。
7. 明確規範資訊系統及網路服務之使用權限，防止未經授權之存取動作。
8. 訂定資訊安全內部稽核計畫，定期執行內部稽核活動。
9. 訂定資訊安全之業務持續運作計畫並實際演練，確保業務持續運作。
10. 所有人員負有維持資訊安全之責任，且應遵守相關之資訊安全管理規定。

1. 本政策每年至少審查一次並留下審查紀錄，並持續改進其有效性及適切性，以符法令法規、技術及本機關營運要求。
2. 本政策奉 核定後實施，修正時亦同。

歡迎蒞臨本網站，本網站尊重並保護您在使用教育部網路時的安全及隱私保護權利，為了幫助您瞭解本網站如何保護您在使用本網站各項服務的安全、及如何蒐集、運用及保護您所提供的資訊，特於此說明本網站的資通安全及隱私政策。

• 本資通安全及隱私政策適用於您在本網站，以及其延伸服務網站等所涉及的個人資料之蒐集、運用與保護。但不適用於您經由本網站搜尋連結至其他網站後所進行之活動，關於其他網站的個人資料之保護，適用其各自之隱私權保護政策，本網站不負任何連帶責任。

• 1.
  當您在瀏覽本網站或下載檔案時，不會蒐集任何您的個人身分有關之資訊。
• 2.
  當您參與本網站之各項線上服務時，將視服務需求請您提供相關之個人資料。對於您所提供之個人資料，我們將會遵循「個人資料保護法」及相關法令規定，在本部所提供之業務範圍內使用，不會將其應用於蒐集特定目的以外之用途。
• 3.
  本網站將在特定目的或法令許可範圍內，對取得之個人資料進行處理、利用、保管及傳輸，期間自該項服務啟始日起，至該項服務之保存年限為止，利用地區為中華民國領域。
• 4.
  本網站有義務保護您的個人隱私，不會任意修改或刪除您的個人資料及檔案。除非經過您同意或符合以下情況：

  • 1.
    依法配合相關權責機關之要求。
  • 2.
    保護或防衛相關網路民眾的權利。
  • 3.
    為保護本網站各相關單位之權益。
• 5.
  本網站絕不會任意出售、交換或出租任何您的個人資料給其他團體、個人或私人企業。除非經過您同意或符合以下情況：

  • 1.
    配合司法單位合法的調查。
  • 2.
    依法配合相關權責機關職務需要之調查或使用。
  • 3.
    符合相關法令與規範之安全保護要求下，進行網站服務維護管理及系統調整等作業。
• 6.
  本網站在您瀏覽或查詢網頁資料時，伺服器會自動產生並儲存相關使用紀錄，包括您使用連線設備的IP位址、使用時間、瀏覽網頁及點擊資料等紀錄，這些資料將僅作為本網站網路流量和行為的統計分析，以利於改進系統效能與提升服務品質。絕不會涉及使用者個人資料與行為之對應或分析。

• 1.
  本網站為確保各項服務之正常運作，以及維護個人資料之安全，防範未經授權之變造竄改，或企圖入侵伺服器主機等惡意行為，提供了以下的安全保護措施：

  • 1.
    裝設防火牆及入侵偵測防禦系統IDP (Intrusion Detection Prevention)防止非法入侵，避免非法存取使用。
  • 2.
    建置網路流量管理系統，有效管制異常網路流量。
  • 3.
    建立資通安全事件監控、通報與應變處理機制。
  • 4.
    網站資料定期備份，並備份到備援主機。
  • 5.
    網站主機不定期進行弱點掃描與系統漏洞修補。
• 2.
  為了提供您最佳的服務，本網站會在您的電腦中放置並取用我們的小型文字檔案（以下簡稱Cookie），若您不願接受Cookie的寫入，您可在您使用的瀏覽器功能項中設定隱私權等級為高，即可拒絕Cookie的寫入，但可能會導致網站某些功能無法正常執行。
• 3.
  為了提供更好、更個人化的服務以及方便您參與個人化的互動活動，Cookies會在您註冊或登入時建立，並在您登出時修改其狀態。

• 1.使用者之義務及承諾
  使用者須恪遵『臺灣學術網路管理規範』及相關法令等規定，承諾絕不為任何非法目的或以任何非法方式使用本服務。您同意並保證不得利用本網站從事侵害他人權益或違法之行為，任何危害本網站資通安全之行為人，視情節輕重追究其法律責任。
• 2.個人自我保護措施
  請妥善保管您的帳號、密碼及任何個人資料，切勿將個人資料提供給任何人，尤其是密碼。提醒您於登入本網站所提供之各項服務之網頁後，在離開本網站之前，務必登出(Logout)帳號。若您使用共用或公共電腦（如：圖書館、電腦教室等），切記要關閉瀏覽器視窗，以防止他人讀取您的個人資料並保障您的權益。

• 本網站將因應社會環境、法令規定及科技技術之變遷，不定時修訂本資訊通安全及隱私權政策聲明，並公告於本網站，以維護您瀏覽網站的安全及相關權益，並落實保障網路安全的立意。

• 連絡電話：(02)7712-9092、9036

為利各界廣為利用網站資料，教育部國民及學前教育署上刊載之所有資料與素材，其得受著作權保護之範圍，以無償、非專屬，得再授權之方式提供公眾使用，使用者得不限時間及地域，重製、改作、編輯、公開傳輸或為其他方式之利用，開發各種產品或服務（簡稱加值衍生物），此一授權行為不會嗣後撤回，使用者亦無須取得本機關之書面或其他方式授權；然使用時，應註明出處。

• 1.本授權範圍僅及於著作權保護之範圍，不及於其他智慧財產權利，包括但不限於專利、商標、及機關標誌之提供。
• 2.當事人自行公開或依法令公開之個人資料是否得被蒐集、處理及利用，使用者須自行依照個人資料保護法之相關規定，規劃並執行法律要求之相應措施。
• 3.部分的影音、圖像、樂譜、專人專案撰文或其他著作，經機關特別聲明須經同意方可使用者。