• slider image
  • slider image
:::

雲林縣東勢鄉安南國民小學

資通安全管理規範

一、 目標

本規範為規定東勢鄉安南國 民小學學校全管理作業實施方式,以增進資訊作業之安全性,確保學校資料之可用性、機密性、完整性。

二、 適用範圍

本校電腦、資訊與網路服務 相關的系統、設備、人員。

三、實施規定

1 網路安全

1.1 網路控制措施

1.1.1 與外界連線,應僅限於經由教育局()網路管理單位之管控,以符合一致性與單一性之安全要求。

1.1.2 應禁止以私人架設網路(如:電話線、2G3G網路等)連結機房內之主機電腦或網路設備。

 

2 系統安全

2.1 設備區隔

伺服器主機可依個別應用系 統之需要,設置專屬主機,以避免未經授權之存取,例如網路系統主機、教學系統主機。

2.2 對抗惡意軟體、特洛依木馬程式等。

2.2.1 個人電腦應:

裝置防毒軟體,將軟體設定為自動定期更新病毒碼;或由伺服器端進行病毒碼更新的管理。作業系統及軟體應定期更 新,以防範系統漏洞。

2.2.2 個人電腦所使用的軟體應有授權。

2.2.3

新伺服器系統啟用前,應執 行相關程序(如:確認適合該作業系統之掃毒工具、預設通行 碼更新、系統更新等,並記錄於啟用與報廢紀錄單),以防範 可能隱藏的病毒或後門程式。

 

2.3 桌面淨空與螢幕淨空政策

2.3.1 個人電腦辦公桌面應避免存放機敏性文件,結束工作時,應將其所經辦或使用具有機密或敏感特性的資料(如公文、學 籍資料等)妥善存放。

2.3.2 當個人電腦或終端機不使用時,應使用鍵盤鎖或其他控管措施保護個人 電腦及終端機安全個人電腦應設定螢幕保護機制。

2.4 資料備份

2.4.1 系統管理人員需針對學校重要電腦系統及資料(如:系 統檔案、網站、資料庫等)應每週至少進行一次備份工作;建議使用設備執行異地備份或使用光碟、隨身碟或外接式硬碟執行異地存放。

2.4.2每年應定期檢查備份資料之可用性與完整性。

2.5 使用者註冊

人員報到或離退職應會辦 電腦系統帳號管理人員 ,執行電腦系統的使用 ,執行電腦系統的使用,執行電腦系統的使用者註冊及銷程序,透過該來控制使用資訊服務的存 者註冊及銷程序,透過該來控制使用資訊服務的存 者註冊及銷程序,透過該來控制使用資訊服務的存 者註冊及銷程序,透過該來控制使用資訊服務的存 取,該作業應包括以下內容:

使用唯一帳號 。

檢查使用者是否經過系統管理單位授權資訊或服務。

保存一份包含所有註冊的記錄。

使用者調職或離職後,應移除其帳號的存取權限。

2.6 管制使用者第一次登入系統時,必須立即更改預設 通行碼管制使用者第一次登入系統時,必須立即更改預設 通行碼管制使用者第一次登入系統時,必須立即更改預設 通行碼管制使用者第一次登入系統時,必須立即更改預設 通行碼管制使用者第一次登入系統時,必須立即更改預設 通行碼通行碼應設定有效期限。

2.7 資訊系統與服務應避免使用共帳號及通行碼。

2.8 資訊安全事件等級,由輕微至嚴重區分等級如下:

 符合下列任一情形者,屬0級 事件:

(1) 未確定事件或待確認工單:來 自不同計畫所使用新型技術(A-SOCminiSOC,…)所產生之工單,但其正確性有待 確認。

(2) 其他單位所告知教育部所屬單位所發生未確定之資安事件。

(3) 教育部及區、縣網路中心檢舉信箱通告之資安事件。

符合下列任一情形者,屬1級 事件:

(1) 非核心業務資料遭洩漏。

(2) 非核心業務系統或資料遭竄改。

(3) 非核心業務運作遭影響或短暫停頓。

 符合下列任一情形者,屬2級 事件:

(1) 核心業務運作遭影響或系統效率降低,於可容忍中斷時間內回復正常運作。非屬密級或敏感之核心業務資料遭洩漏。

(2) 核心業務系統或資料遭輕微竄改。

(3) 非屬密級或敏感之核心業務資料遭洩漏。

符合下列任一情形者,屬3級 事件:

(1) 核心業務系統或資料遭嚴重竄改。

 密級或敏感公務資料遭洩漏。

(2) 密級或敏感公務資料遭洩漏。

(3) 核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。

 符合下列任一情形者,屬4級 事件:

(1) 國家重要資訊基礎建設系統或資料遭竄改。國家機密資料遭洩漏。

(2) 國家機密資料遭洩漏。
(3)
國家重要資訊基礎建設運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。

2.9 本校任何人於校內發現異常情況或疑似資安事件,應立即向資安業務承辦人通報,資安業務承辦人應儘速進行處理並研 判事件等級。

2.10 資安業務承辦人當發生研判事件等級3(含) 以上之事件,應立即通報資訊業務主管及校長,並以電話聯絡教育局()資訊安全管理單位,由校長儘快召集會議研商處理的方式。(

2.11 當發生無法處理之資通安全事件,應通報教育局()資訊安全管理單位協助處理。

2.12 教育機構資安通報平台(網址:https://info.cert.tanet.edu.tw/),帳號 為學校OID:。

2.13 資安通報依情報來源分為「告知通報」與「自行通報」,若收到「告知通報」事件通知,由資安業務承辦人登入教育機 構資安通報平台,完成通報及應變作業。

2.14資安事件若為校內人員自行發現,由資安業務承辦人登入教育機構資安通報平台進行「自行通報」完成通報及應變作 業。

2.15 資安事件須於發生後1小 時內進行通報,012級 事件於事件發生後72小時內處理完成並結案(包括通報與應變)34級 事件於事件發生後36小時內完成並結案。

2.16相關通報應變流程請依照「教育機構資安通報應變手冊」規定辦理。

2.17 如有收到教育機構資安通報平台「資安預警事件」通知,由資安業務承辦人登入教育機構資安通報平台,進行資安預警 事件單處理作業。

3 實體安全

3.1 設備安置及保護

3.1.1 主機機房及電腦教室宜設置偵煙、偵熱或滅火設備(氣體式滅火器),並禁止擺放易燃物或飲食。

3.1.2 主機機房及電腦教室應實施門禁管制。

3.2 溫濕度控制

重要的資訊設備(如:主機 機房等)宜有溫濕度控制措施(溫度建議控制在20~25,濕度建議控制在相對 濕度50%R.H.~70%R.H.),以防止資訊設備意 外損壞。機房內應有溫濕度顯示裝置,以觀察實際之溫濕度情況。

3.3 電源供應

重要的資訊設備(如:主機 機房等)應有適當的電力保護設施,例如設置UPS、電源保 護措施(如:穩壓器、接地等),以免斷電或過負載而造成損失,並設置緊急照明設備以作為停電照明之用。

3.4 纜線安全

主機機房及電腦教室內線路 應考量設置保護設施(如:高架地板、線槽、套管等)

3.5 設備與儲存媒體之安全報廢或再使用

所有包括儲存媒體的設備項 目,在報廢前應填寫「啟用與報廢紀錄單」,確認已將任何敏感資料和授權軟體刪除或覆寫。

3.6 財產攜出

3.6.1 禁止資訊設備在未經授權之情況下攜離所屬區域,若需將設備攜出,應遵守財產管理相關規定並填寫「設備進出紀錄 表」。

3.6.2 當有必要將設備移出,應檢視相關授權,並實施登記與歸還記錄。

 

4 可攜式電腦設備與 媒體

4.1 公務用可攜式電腦設備(如:筆記型電 腦、平板電腦、智慧型手機等)應設定保護機制,如設定通行碼、圖形辨識、臉孔辨識或指紋辨識等。

4.2 公務用可攜式電腦設備應執行安全相關程序(如:掃毒、預設通行碼更新、系統更新等),以防範可能隱藏的病毒或後 門程式。

4.3 公務用可攜式儲存媒體(如: 隨身碟、光碟、磁帶等)應依儲存資料的機敏性實施安全控管措施,如檔案加密儲存或將該儲存媒體存放於上鎖儲櫃或安全處所。

 

5 人員安全

5.1 人員安全責任

非正式人員約聘()人 員者,因業務需要,而接觸公務機密、個人權益及學校機敏資料者須填寫保密切結書。

5.2 資訊安全教育與訓練

5.2.1 鼓勵資安業務承辦人參加資安管理系統相關教育訓練。

5.2.2 鼓勵所有教職員參與資訊安全教育訓練或宣導活動,以提昇資訊安全認 知。

 

6 資訊業務委外管理

6.1 服務委外廠商合約之安全要求

6.1.1 在資訊業務委外合約中,應訂定委外廠商的資訊安全責任及保密規定。

6.1.2 應要求委外廠商簽訂安全保密切結書。

6.1.3 委外廠商人員到校服務時,應請其簽署委外廠商人員保密切結書。

6.2 委外廠商服務異動或終止時,應中止或刪除其系統上的帳號與權限。

7 應對以下各項相關法令有基礎之認知,並利用各集會場合對全校師生口 頭宣導(至少一學期一次)

7.1 智慧財產權

著作權法

7.2 個人資訊的資料保護及隱私個人資料保護法及施行細則

7.3 刑法電腦犯罪專章
:::
網站連結