彰化縣立溪州國中資通安全管理系統實施原則

一、    適用範圍

l         本校電腦、資訊與網路服務相關的系統、設備、程序、及人員。

l         特殊系統：公文、會計、人事及學籍等系統。

l         安全區域：機櫃。

二、    實施原則

1.          網路安全

1.1       網路控制措施

l       學校與外界連線，僅限於經由縣網中心之管控，以符合一致性與單一性之安全要求。

l       學校內特殊系統之資料，當有必要透過網路進行傳輸時，透過虛擬私有網路（Virtual Private Network, VPN）或同等連線方式進行。

l       禁止以電話線連結主機電腦或網路設備。

1.2       網路安全管理服務委外廠商合約之安全要求

l       委外開發或維護廠商必須簽訂安全保密切結書（A-1）。

2.          系統安全

2.1       職責區隔

l       學校主機電腦依個別應用系統之需要，設置專屬電腦。

2.2       對抗惡意軟體、隱密通道及特洛依木馬程式

l       學校內的個人電腦：

-        裝置防毒軟體，將軟體設定為自動定期更新病毒碼。

-        定期安裝作業系統漏洞修補程式，以防範作業系統之漏洞：

□    電腦教室及其他裝有還原系統之主機：每學期更新

□    其他主機：每日更新

l       學校內個人電腦所使用的軟體有合法授權。

l       新系統啟用前，須經過掃毒與更新系統密碼程序，以防範可能隱藏的病毒或後門程式。

2.3       資料備份

l       學校(或委託)系統管理人員，針對學校重要系統（例如系統檔案、應用系統、資料庫等），採用自動備份機制，週期為每週進行一次。

2.4       操作員日誌

l       學校(或委託)系統管理人員需針對敏感度高、或包含特殊資訊的電腦系統進行檢查、維護、更新等動作時，針對這些活動填寫日誌(A-2)予以紀錄，作為未來需要時之檢查。

2.5       資訊存取限制

l       學校內所共用的個人電腦以特定功能為目的，依著作權法規範，不得從網路非法下載檔案。另外自行安裝軟體須填寫登記表。(A-12)

2.6       使用者註冊

l       制定校務系統使用者註冊及註銷程序，以限制使用者資訊服務的存取：

-        使用唯一的使用者識別碼（ID）。

-        檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。

-        保存識別碼註冊的記錄。

-        在離職單上增列移除ID選項，使用者調職或離職時，移除其識別碼的存取權限。

-        每學期定期檢查帳號，若有莫名帳號產生，則關閉帳號權限，並依通報程序請求處理（參照本文件2.10段落）。

2.7       特權管理

l       校務系統及網頁管理帳號、及其所持有的權限說明，每學年列表呈主管。

2.8       通行碼之使用

l       資訊系統與服務須避免使用共同帳號及通行碼。

l       發佈通行碼（Password）制定與使用規則給使用者，[參考優質通行碼設定原則與使用原則，文件編號A-3]，內容包含以下各項：

-        使用者應該對其個人所持有通行碼盡保密責任

-        要求使用者的通行碼設定，避免使用易於猜測之數字或文字，建議通行碼包含英文字大小寫、數字、特殊符號等。

l       因特殊需要擁有多個帳號時，可考慮使用一組複雜但相同的通行碼。

2.9       原始程式庫之存取控制

l       與系統廠商間的合約加註對原始程式庫安全之要求，並防範資料庫隱碼(SQL-injection)問題，針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。

2.10    通報安全事件與處理

l       資訊安全事件包括：任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。

l       資訊安全事件及安全事件通報，依資安通報平台規範。

l       學校內部無法處理之資通安全事件，通報本縣網路中心。

3.          實體安全：

3.1       設備安置及保護

l       資訊設備主機機房、電腦教室區域，設置滅火設備，並禁止擺放易燃物、或飲食。

l       資訊設備主機機房、電腦教室區域內的電源線插頭設有接地的連結，避免如雷擊事件所造成損害情況。

l       資訊設備主機機房、電腦教室區域，於入出口處加裝門鎖或其他同等裝置。

3.2       電源供應

l       重要資訊設備設置UPS，以避免斷電或過負載而造成損失。

3.3       纜線安全

l       資訊設備主機機房、電腦教室區域內避免明佈線。

3.4       設備與儲存媒體之安全報廢或再使用

l       所有包括儲存媒體的設備項目，報廢前移除敏感資料和授權軟體。(A-11)

3.5       設備維護

l       與設備廠商建立維護合約。

l       廠商進入安全區域需簽訂安全保密切結書(A-1)。

l       廠商人員進出安全區需填登記表，進行安全管制(A-10)。

3.6       財產攜出入

l       未經授權不應將學校的資訊設備、資訊或軟體攜出所在地。

l       當有必要將設備移出，須檢視相關授權，並實施登記與歸還記錄(A-9)。

l       相關財產之攜出須依教育部或學校既有之相關規定處理。

3.7       桌面淨空與螢幕淨空政策：每一使用者一帳號，密碼6碼以上，並開啟螢幕保護程式

l       結束工作時，所有教職員工須將其所經辦或使用具有機密或敏感特性的資料及資料的儲存媒體，妥善存放。

l       學校提供教職員工或學生使用的個人電腦須設定保護裝置，如個人鑰匙、個人密碼以及螢幕保護。

4.          人員安全

4.1       將安全列入工作執掌中

l       將資訊安全納入教職員手冊說明中，以強化工作上之資訊安全意識。

l       教職員工簽訂保密切結書(A-7)。

4.2       資訊安全教育與訓練

l       使學校系統管理人員有足夠能力執行日常基礎之資安管理系統維護工作，並使其瞭解資安事件通報之程序。

l       鼓勵所有教職員參與資訊安全教育訓練或宣導活動，以提昇資訊安全認知。

5.          應對以下各項相關法令有基礎之認知

5.1       智慧財產權

l       經濟部智慧財產局 http://www.tipo.gov.tw/

l       著作權法 http://www.tipo.gov.tw/copyright/copyright_law/copyright_law_92.asp

5.2       個人資訊的資料保護及隱私

l       個人資料保護法

l       http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021

5.3       電子簽章法

l       電子簽章法

http://www.moea.gov.tw/~meco/doc/ndoc/s5_p05.htm

l       電子簽章法施行細則http://www.moea.gov.tw/~meco/doc/ndoc/s5_p05_p01.htm

l       核可憑證機構名單

http://www.moea.gov.tw/~meco/doc/ndoc/s5_p07_p03.htm