來源:CISA「Update Business Software」、資訊小組公務電腦系統維護宣導整理
適用對象:使用公務電腦、教學電腦、行政電腦、筆記型電腦、專案設備、備用電腦,或因業務需要使用校內設備處理資料之教師、行政同仁、承辦人與設備管理人員
治理提醒:公務電腦是否適合承擔特定工作,不應只看外觀新舊或能不能開機,而要看設備用途、維護狀態、更新狀態與是否涉及重要資料。資安管理的重點,不是看到不堪用或年代較久的設備就直接要求換新,而是依實際狀況安排合適用途,避免維護狀態不明或更新條件不足的設備,被拿來處理高風險工作。
【主題面向簡介】
在工作日常環境中,公務電腦的使用安排通常會受到經費、維修、軟體相容性、設備用途與採購時程影響,不一定能單純用「新舊」作為判斷標準。部分設備即使已使用多年,仍可能因教學、行政或特定設備連線需求而繼續使用;也有些設備雖然可以開機,但若更新狀態不明、維護條件不足,或被拿來處理超出原本用途與風險承受範圍的工作,就可能增加資安風險。
因此,這篇不是討論電腦該用幾年,也不是要求同仁自行判斷是否需要汰換,而是提醒:設備能否繼續使用,要回到「用途是否合適」、「維護狀態是否清楚」與「是否涉及重要資料」來看。
同一台電腦,如果只是拿來播放簡報、查詢公開資料、離線編輯一般文件,風險相對單純;但如果它每天都要登入校務系統、收發公務信件、開啟附件、連接雲端平台、處理學生名冊、家長資料或教職員資料,使用風險就完全不同。
CISA 對組織軟體更新的建議中,也強調保持軟體更新、減少已知弱點暴露的重要性。放到校園現場來看,我們不一定能讓每台設備立刻換新,但可以盡量避免讓更新狀態不明、維護條件不足或用途已經不適合的設備,承擔高風險工作。
有限資源下的資安,不是只有「換新」一條路。更實際的做法,是分清楚每台設備適合做什麼、不適合做什麼,讓堪用設備繼續發揮功能,也讓重要資料處理盡量放在維護狀態較清楚的設備上。
工作現場裡的電腦常常不是突然不能用,而是慢慢變成「還能用,但用途需要重新看」的狀態。
例如:
某台教室電腦平常只用來播放簡報,很多年都沒有特別注意更新狀態。
某台行政備用電腦偶爾才拿出來用,一開機就跳出一堆更新提醒。
某台專案電腦原本只連接特定設備,後來因臨時任務被拿來收信、下載檔案或登入系統。
某台電腦因為舊版軟體或特定設備相容性需求,所以一直維持原本環境。
某台電腦跑得慢、常跳提醒,但還能開機,所以大家習慣繼續使用。
這些情況都不罕見,也不一定代表設備馬上不能用。真正需要留意的是,設備原本適合的用途,可能和後來被拿去做的事情不一樣。
原本只適合播放簡報的電腦,如果被拿來登入校務系統,風險就變高。
原本只用來控制特定設備的電腦,如果被拿來收公務信件、下載附件,風險就變高。
原本只是備用的電腦,如果臨時拿來處理學生資料或家長聯絡資料,也要注意它的維護狀態是否清楚。
換句話說,設備本身堪用不是問題;問題是我們有沒有把它放在適合的位置上使用。
第一,設備能用,不代表每種工作都適合做。
電腦能開機、能打字、能上網,只代表它還可以執行某些工作,不代表它適合承擔所有公務用途。
如果設備只是用來播放簡報、離線文書或連接特定設備,風險相對單純;但如果它要登入系統、收信、開附件、處理個資或連接雲端,就需要更清楚的維護狀態。
第二,更新狀態不明時,不宜擴大用途。
有些設備因為經費、相容性或現場需求,短期內仍要繼續使用。這不代表一定要停用,也不代表一定要換新。
但如果一台設備的常用軟體、瀏覽器、作業環境或安全更新狀態不明,就不宜任意把它從單純用途擴大成高風險用途。
第三,有限資源下,更需要用途分流。
現場經費有限時,資安不能只靠全面換新。比較務實的做法,是把不同狀態的設備放在不同位置:
維護狀態清楚的設備,優先處理校務系統、信箱、雲端平台與重要資料。
維護狀態較不清楚的設備,盡量安排在簡報播放、離線文書、特定設備控制或較單純用途。
因特殊軟體或設備相容需求必須保留的電腦,依既有規劃使用,不任意擴大成高風險用途。
第四,設備調度要看使用情境。
工作現場常會因課程、會議、活動或臨時任務需要調度設備,這是正常情況,不代表設備不該使用,也不代表遇到不同用途就要換新。
需要留意的是,調度設備時要分清楚這次要做的是什麼工作。
如果只是播放簡報、查詢公開資料、連接投影設備或處理一般文件,風險相對單純。
如果要登入校務系統、收發公務信件、下載外部附件、連接雲端平台,或處理學生名冊、家長資料與教職員資料,就要優先使用維護狀態較清楚、原本就適合處理這類工作的設備。
這一點的重點是:設備可以依現場需要調度,但高風險工作不要隨便交給維護狀態不明或原本只作單純用途的設備。

● 第一招(先看用途|設備調度前先確認工作風險)
使用或調度公務電腦時,先看這次要做的工作風險高不高。
如果只是播放簡報、查詢公開資料、連接投影設備或處理一般文件,通常屬於較單純用途。
如果需要登入校務系統、收發公務信件、下載外部附件、連接雲端平台,或處理學生、家長、教職員資料,就應優先使用維護狀態較清楚、原本就適合處理這類工作的設備。
這一招的重點是:設備可以依現場需要調度,但調度前要看工作風險,不要讓單純用途設備突然承擔高風險作業。
● 第二招(配合維護|不要自行安裝不明工具)
看到電腦跳出更新提醒、版本提示、安全提醒或軟體相容訊息時,不需要自己研究,也不要自行下載不明工具處理。
請避免:
自行安裝來源不明的升級工具。
自行下載破解軟體或未授權工具。
看到教學網站或論壇說可以加速、修復、升級,就直接照做。
為了讓舊軟體能跑,隨意關閉安全設定。
把私人下載的工具裝到公務電腦上。
這一招的重點是:設備維護要依校內既有安排,不要讓個人使用習慣增加公務設備風險。
● 第三招(資安應變程序|依既有規劃限制用途與分流使用)
如果某台設備因經費、維修、零件、軟體相容或特定設備需求,仍要繼續使用,重點不是立刻換掉,而是依既有規劃使用。
可以配合幾個原則:
原本只做簡報播放的電腦,臨時調度前要先確認是否會處理個資。
原本只連接特定設備的電腦,避免拿來上網下載外部檔案。
原本維護狀態較不清楚的設備,不宜直接拿來登入校務系統或收發公務信件。
若設備已由主管或權責人員安排特定用途,就依安排使用,不任意擴大用途。
若確實需要改變用途,應由權責人員評估後再調整。
這一招的重點是:經費有限時,堪用設備仍可繼續發揮功能;但越是資源有限,越要避免把設備用錯位置。
資訊小組提醒
公務電腦不是新的才有價值,堪用設備也可以繼續在校園裡發揮功能。資安管理的重點,不是要求每台電腦都換新,而是讓每台設備放在適合的位置上。
請記住四個小提醒:
堪用設備不是問題,用錯位置才是風險。
設備能開機,不代表適合處理所有資料。
設備可以依現場需要調度,但調度前要看工作風險與資料敏感度。
經費有限時,更要做好用途分流,讓重要資料優先在維護狀態較清楚的設備上處理。
在有限資源下,資安不是只靠採購新設備,也包含日常使用上的分流與自律。把設備用在適合的位置,就能讓堪用設備繼續服務教學與行政,也降低不必要的風險。
網站連結
CISA:Update Business Software