國立大湖高級農工職業學校資訊安全管理要點
103年8月22日行政會議訂定
一、依據:「行政院及所屬各機關資訊安全管理要點」辦理。
二、目的:為強化本校資訊安全管理,建立安全及可信賴之電子化系統,確保資料、系統、設備及網路之安全。
三、組織及權責分工
(一)本校有關資訊安全管理事務,由本校資訊教育推動小組統籌、協調、研議本校各項資訊安全之政策、計畫及資源調度。召集人由校長兼任;資安長由圖書館主任兼任;並由各處室主任、各科主任、資訊專長人員共同組成(如附表1);各處室主任及各科主任為單位稽核人員。本小組各成員之任務如下:
1、召集人:督導及稽核資訊安全政策執行狀況及成效。
2、資安長:
(1)協助制定、執行及修正資訊安全政策。
(2)決定單位內資安事件通報及應變處理事宜。
(3)監督通報作業、應變計畫及資安演練之實施。
(4)依據資安事件等級,授權系統復原作業之實施。
(5)負責對內、對外之資訊安全聯繫事宜。
(6)負責鑑定資安事件並依程序進行通報作業。
(7)隨時掌握國家資通安全會報或相關單位提供之資通安全危害通告資訊(如最新電腦病毒疫情、漏洞及駭客攻擊資訊等之預警訊息)。
(8)發布資安訊息給校內所有人員,與系統管理人員保持連繫,並負責通告及監督系統漏洞修補與更新。
3、稽核人員
(1)協助單位每年實施內部稽核1次。
(2)依據資安檢核表評估單位整體資安風險,提出改善建議事項。
(3)協助資安事件之偵防演練作業。
(二)本校每年進行一次資訊安全稽核。由各處室與各科主任先做內部資安稽核(如附表2),發現問題記錄並反應至圖書館協助處理。
四、人員安全與管理
(一)本校教、職員工(含約聘僱人員)必須遵守本要點,任何因違規導致之資訊安全意外事件將依相關人事法規懲處。
(二)本校資訊業務委外服務之廠商人員,應於簽訂契約時事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定同時簽署保密切結書,切結遵 守。
(三)各單位業務主管應負責督導所屬員工之資訊作業安全,防範不法及不當行為。
五、電腦系統安全管理
(一)資料庫或個人重要資料應定時執行備份,並異地存放,以確保資料的安全。
(二)處理含個人資料時,應依據「電腦處理個人資料保護法」及相關規定審慎處理,不得私自蒐集或洩漏業務資訊,非公務用途不得調閱使用。
(三)各單位之個人資料索取或調閱,須經單位主管核准,依據「電腦處理個人資料保護法」及相關規定審查後,始可提供資料。
(四)病毒防護軟體及系統回復軟體由督導單位每年定期統一規劃、評估與建置。
(五)應使用合法版權軟體,避免上網下載來路不明之軟體。
(六)與外部交換機密敏感資料時,需依據安全查核機制,確定無安全疑慮,方可進行。
(七)應安裝防毒軟體,隨時更新病毒碼,並下載系統漏洞修補程式。
(八)電腦系統作業變更時,應詳實建立紀錄,以備查考。
六、電腦儲存媒體之安全管理
(一)儲存應保密資料之可攜帶移動的儲存裝置(如磁帶、磁碟等)、電腦列印之各式報表、作業程序目錄、及系統文件等應納入管理。
(二)電腦儲存媒體應依保存規格要求,存放在安全的環境,未經主管核准,不得攜離辦公場所。
(三)電腦媒體儲存的資料,不再繼續使用或逾保存年限時,應將儲存的內容消除;報廢時,應由專人以安全的方式處理,例如燒毀、以碎紙機處理、或將資料從媒體中完全清除。
(四)電腦儲存媒體運送過程,應有妥善的安全措施,以防止資料遭竄改破壞、誤用或未經授權的取用。
(五)電腦儲存媒體使用前應事先做掃毒檢查,或於電腦系統中裝置防毒軟體,以防止感染電腦病毒。
七、網路安全管理
(一)各單位利用網路公佈及流通資訊時,應評估資料安全等級,機密、敏感性或未經當事人同意之個人隱私資料及文件,不得上網公佈。
(二)其餘有關網路安全管理事項皆依本校校園網路使用管理要點辦理。
八、電子郵件安全管理
(一)郵件軟體應關閉信件預覽功能。
(二)來路不明電子郵件不宜任意開啟,以免啟動駭客惡意執行檔。
(三)本校非屬機密性或敏感性之資料及文件得以電子郵件或其他電子方式傳送。機密性或敏感性之資料及文件,欲利用電子郵件或其他電子方式傳送時,須以適當的加密或電子簽章等安全技術處理。
(四)禁止以匿名信或偽造他人名義發送電子郵件。
九、系統存取控制
(一)因執行業務及職務所必要時,得賦予使用者適當的系統存取權限。但工作調整時,使用者名稱須立即異動。
(二)應用系統使用者各自擁有自己的使用者名稱和密碼,不同的使用者各有不同的作業範圍和權限。密碼必須加以保密,避免洩密遭人盜用,並應定期更改通行密碼。
(三)人員因故離開座位暫停作業時,必須登出系統或使用畫面鎖定保護,防止帳號被盜用或資料被竊取。下班或公出離開辦公室前,必須關閉電腦設備,避免遭竊取機密資料或侵入系統。
(四)各單位離職、休職、調職人員,應立即取消使用單位內各項資源之所有權限和個人帳號,並列入人員離職、休職、調職之必要手續;人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
(五)各電腦系統應建立系統使用者註冊管理制度,建立使用人員名冊。
(六)各單位之重要資料及系統委外廠商處理者,不論在機關內外執行,均應採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
十、系統發展及維護安全管理
(一)各單位自行開發或委外發展之系統,應在系統之初始階段即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動等作業,應予安全管制,避免不當軟體及電腦病毒危害系統安全。
(二)對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼;基於實際作業需要,得核發短期性及臨時性之系統辨識與通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。
(三)委託廠商建置及維護重要軟硬體設施時,應在本校相關人員監督及陪同下始得為之。
十、資訊資產安全管理
(一)各單位對於儲存各項機密資料或程式軟體之電腦儲存媒體,應設專人管理並定期備份,防止資料洩漏或損毀。
(二)對於需要長期保留或重要檔案之備份資料,應存放在防火、防潮、防磁的設備中。
(三)含有儲存媒體的設備,應在報廢處理前詳加檢查,以確保機密性、敏感性之資料及有版權之軟體已被移除。
十二、實體及環境安全管理
(一)電腦設備安全管理
1.專人負責,並制訂電腦設備開關機操作程序。
2.定期維護保養,確保設備的完整性及可以持續使用。
3.電腦設備、資料或軟體,未經管理人員同意下,不得攜離辦公室。
(二)電力供應系統的管理
1.相關電腦設備之電源使用應依據製造廠商提供規格設置,並需防止斷電或電力不正常導致的傷害。
2.緊急供電系統暨不斷電系統應由專人負責管理及制訂開關機操作程序,並定期維護保養及測試。
(三)電腦機房消防系統的設置管理
1.專人負責管理。
2.定期維護保養及測試,確保設備的完整性及可以持續使用。
(四)其他安全管理
1.電腦機房實施門禁安全控管。
2.資訊支援或維護服務人員需由管理人員陪同並經登記後,始得進出管制區域。
3.電腦機房及各項電腦軟、硬體設備應強化設(放)置處、所防護措施,避免遭致水患、風災、火災等災害,造成損失。
十三、業務永續運作之規劃: 若發生資訊安全事件,應立即向相關人員通報,以採取適當反應措施。若有情節嚴重者,則聯繫檢警調單位協助偵查。
十四、本要點經行政會議通過後實施,修正時亦同。