輔仁高級中學資訊安全管理作業要點

張貼日期：Dec 20, 2013 5:31:7 AM

私立輔仁高級中學資訊安全管理作業要點

102.06.24行政會議決議通過

1.        目的

為確保私立輔仁高級中學（以下簡稱「本校」）資訊安全管理作業推行，符合資訊安全政策之目標，特訂定本作業要點。

2.        適用範圍

本政策適用之管理範圍為本校教職員與學生個人資料處理及其相關資訊服務。

3.        權責

3.1         資訊安全長：由校長擔任，負責綜理資訊安全管理作業協調與督導工作。

3.2         資訊安全官：由圖資組長擔任，負責規劃及管理資訊安全管理作業相關事宜。

3.3         執行小組：由資訊安全推動小組擔任，負責執行資訊安全管理作業相關事宜。

3.4         稽核人員：由秘書擔任，負責規劃及執行資訊安全管理作業稽核工作。

3.5         全體人員（含委外廠商）：配合及遵守資訊安全各項要求及規定。

4.        相關文件

4.1         教育體系資通安全管理規範

4.2         資訊安全政策

4.3         保密切結書

4.4         外部連絡清單

4.5         資訊服務申請表

4.6         委外廠商保密切結書

4.7         資訊安全事件報告單

4.8         人員安全守則

 5.        作業說明

5.1         資訊安全組織

5.1.1        資訊安全長須每年至少召開一次資訊安全管理審查會議，討論內容包括如下：

5.1.1.1              資訊安全稽核與審查之結果。

5.1.1.2              來自利害相關者之回饋。

5.1.1.3              可用於組織以改進資訊安全績效與有效性之技術、產品或程序。

5.1.1.4              預防與矯正措施之執行狀況。

5.1.1.5              資安政策目標達成性衡量結果。

5.1.1.6              前次相關會議結論之跟催結果。

5.1.1.7              可能影響資訊安全管理作業之任何變更。

5.1.1.8              加強或改進資訊安全的其他各項建議。

5.1.2   管理審查會議討論結果應包含：

5.1.2.1              資安政策目標之改進。

5.1.2.2              因為下列項目之變更，所進行之因應措施。

5.1.2.2.1        各項營運要求。

5.1.2.2.2        各項安全要求。

5.1.2.2.3        影響既有各項營運要求之營運過程。

5.1.2.2.4        法律或法規各項要求。

5.1.2.2.5        契約的各項義務。

5.1.2.3              資源需求。

5.1.3   管理審查會議應留存相關會議紀錄備查。

5.1.4        資訊處理設備之使用，應具授權程序。

5.1.5        本校教職員、約聘（僱）人員應簽署「保密切結書」（詳附件一），課予機密維護責任。

5.1.6        為確保資訊安全作業的順利運行，應建立能與相關外部團體（警消單位、主管機關、廠商等）即時連繫之「外部連絡清單」（詳附件二）。

5.1.7        任何資訊委外業務，皆應考量與包含資訊安全需求，且明訂廠商之資訊安全責任及保密規定，並列入契約。

5.2         資訊資產分類與管制

5.2.1        為確實掌控資訊資產現況，各單位須編製資訊資產清冊（詳附件三）並定期更新。

5.2.2        書面報告、磁性媒體、電子訊息及檔案資料等，宜標示適當的安全等級以利使用者遵循。

5.3         人員安全管理與教育訓練

5.3.1        本校應依主管機關要求，辦理資訊安全教育訓練及宣導，強化教職員資訊安全認知，必要時，應請委外廠商人員一同參與資訊安全教育訓練。

5.3.2        人員離職，須依流程辦理資訊資產移交，並即時移除相關存取權限。

5.3.3        各單位若有資訊服務需求（如：帳號申請、電腦維修、系統開發或程式修改等），應填寫「資訊服務申請表」（詳附件四），經權責主管核准後，交由資訊單位依需求處理。

5.3.4        本校教職員工之資訊安全管理相關規定，須遵守「人員資訊安全守則」。

5.3.5        本校委外廠商所執行之業務，若涉及個人隱私資料，承辦人員應要求其簽訂「委外廠商保密切結書」（詳附件五）。

5.3.6        對於委外廠商提供之服務，承辦人員應監視和審查，確認服務內容滿足合約之要求。

5.3.7        委外廠商（人員）異動、合約到期或其他因素服務終止時，承辦人員須確認其歸還各項設備、軟體、文件或鑰匙等，並取消或調整存取權限。

5.4         實體與環境安全

5.4.1        學校應採取適當防護措施以保障人員辦公處所安全。

5.4.2        重要資訊設施應設置於機房，並確保經授權人員方可進出。

5.4.3        機房應採取適當的控制措施與指引，確保其安全性。

5.4.4        機房內應保持整齊清潔，並嚴禁飲食或堆置易燃物。

5.4.5        機房宜設置足量之不斷電系統（UPS），確保重要資訊設備在非預期斷電情況下能具足夠電源完成緊急處置。

5.4.6        冷氣機、不斷電系統（UPS）等機電設備之使用，應依照設備說明書指示操作，並施行檢查作業。

5.4.7        資訊設備報廢與再使用時，應將含有個人隱私資料及有版權的軟體移除。

5.4.8        禁止資訊設備在未經授權之情況下攜離所屬區域，若需將設備攜出，應填寫「設備進出紀錄表」（詳附件六）。

5.5         通訊與作業安全管理

5.5.1        資訊單位應建立資訊系統之安全控管機制，保護資料、系統及網路作業，防止未經授權之存取。

5.5.2        伺服主機及網路設備應指定負責人，確保設備正常運作。

5.5.3        新資訊系統、系統升級，正式上線前應適當的測試，並依驗收規定完成驗收。

5.5.4        學校內電腦（伺服主機、個人電腦、筆記型電腦等）應安裝防毒軟體，定期更新病毒碼；伺服主機應定期掃描。

5.5.5        各項系統資料（如：設定檔、網頁資料、伺服器日誌、資料庫等）應由系統負責人執行定期備份。

5.5.6        系統資料以可攜式儲存媒體保存時，應將該儲存媒體存放於上鎖儲櫃或安全處所。