資通安全管理規範

屏東縣立三和國民小學

資通安全管理規範

 

 

 

 

 

 

 

 

 

105 5 31

一、   目標

本規範為規定屏東縣立三和國民小學(以下簡稱本校)資通安全管理作業實施方式,以增進資訊作業之安全性,確保學校資料之機密性、完整性與可用性。

二、   適用範圍

本校電腦、資訊與網路服務相關的系統、設備、程序、及人員。

三、   實施規定

1.            網路安全

 

1.1        網路控制措施

本校與外界連線,應僅限於經由教育研究發展中心教育網路組之管控,以符合一致性與單一性之安全要求。

應禁止以電話線連結主機電腦或網路設備。

 

1.2        服務委外廠商合約之安全要求

委外開發或維護廠商必須簽訂安全保密切結書(切結書格式參見文件編號(A-9資訊應用委外廠商服務內容暨保密切結書)。

 

2.            系統安全

2.1        職責區隔

本校伺服器主機可依個別應用系統之需要,設置專屬電腦。

本校的行政系統主機(例如財務、人事、公文系統等)電腦,由教育研究發展中心或縣政府等單位統籌管理。

 

2.2        對抗惡意軟體、隱密通道及特洛依木馬程式

本校內的個人電腦應:

-          裝置防毒軟體,將軟體設定為自動定期更新病毒碼;或由伺服器端進行病毒碼更新的管理。

-          設定「Windows Update」之程式更新作業,以防範作業系統之漏洞。

本校內個人電腦所使用的軟體應有授權。

新伺服器系統啟用前,應經過掃毒與更新系統密碼程序,以防範可能隱藏的病毒或後門程式。(伺服主機啟用與報廢申請單格式參見文件編號(A-1設備啟用與報廢紀錄單)

 

2.3        資料備份

本校系統管理人員需針對學校重要系統(例如系統檔案、網站、資料庫等)定期進行備份工作或採用自動備份機制,週期為每週至少進行一次;並應使用設備執行異地備份或使用光碟、隨身碟或外接式硬碟異地執行異地存放。

 

2.4        操作員日誌

本校系統管理人員需針對重要的電腦系統進行檢查、維護、更新等動作時,應針對這些活動填寫日誌予以紀錄,作為未來需要時之檢查。(機房操作日誌文件參見文件編號A-3

 

2.5        資訊存取限制

本校內所共用的個人電腦應以特定功能為目的,並設定特定安全管控機制(例如限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取等)。

 

2.6        使用者註冊

人員報到或離退職應會辦資訊組長,資訊組長應執行電腦系統使用的使用者註冊及註銷程序,透過該註冊及註銷程序來控制使用者資訊服務的存取,該作業應包括以下內容:

-          使用唯一的使用者識別碼(ID)。

-          檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。

-          保存一份包含所有識別碼註冊的記錄。

-          使用者調職或離職後,應移除其識別碼的存取權限。

-          每學期檢查並取消多餘的使用者識別碼和帳號。

-          每學期檢查新增之帳號,若有莫名帳號產生,應關閉帳號權限。(帳號申請單格式參見文件編號(A-3帳號申請單)

 

2.7        特權管理

本校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明,應予以文件化記錄備查。(特權帳號清單格式參考文件編號A-4

 

2.8        通行碼之使用

管制使用者第一次登入系統時,必須立即更改預設通行碼,預設通行碼應設定有效期限。

資訊系統與服務應避免使用共同帳號及通行碼。

由學校發佈通行碼(Password)制定與使用規則給使用者,內容應包含以下各項:

-          使用者應該對其個人所持有通行碼盡到保密責任。

-          要求使用者的通行碼設定,應該包含英文字及數字,長度為8碼(含)以上

因特殊需要擁有多個帳號時,可考慮使用一組複雜但相同的通行碼。

 

2.9        通報安全事件與處理

資訊安全事件包括:任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。

本校資訊安全事件等級,由輕微至嚴重區分等級如下:

-          0級:教育部及屏東縣教育網路中心檢舉信箱通告之資安事件。

-          符合下列任一情形者,屬1 級事件:

□  非核心業務資料遭洩漏。

□  非核心業務系統或資料遭竄改。

□  非核心業務運作遭影響或短暫停頓。

-          符合下列任一情形者,屬2 級事件:

□  非屬密級或敏感之核心業務資料遭洩漏。

□  核心業務系統或資料遭輕微竄改。

□  核心業務運作遭影響或系統效率降低,於可容忍中斷時間內回復正常運作。

-          符合下列任一情形者,屬3 級事件:

□  密級或敏感公務資料遭洩漏。

□  核心業務系統或資料遭嚴重竄改。

□  核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。

-          符合下列任一情形者,屬4 級事件:

□  國家機密資料遭洩漏。

□  國家重要資訊基礎建設系統或資料遭竄改。

□  國家重要資訊基礎建設運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。

本校任何人於校內發現異常情況或疑似資安事件及應立即向資訊組長(教師)通報,資訊組長(教師)應儘速進行處理並研判事件等級。

資訊組長(教師)當發生研判事件等級3(含)以上之事件,應立即通報資訊業務主管及本校校長,並以電話聯絡屏東縣教育網路中心教育網路組資安承辦人,由校長儘快召集會議研商處理的方式。

當本校發生內部無法處理之資通安全事件,應通報屏東縣教育網路中心教育網路組協助處理。

l   相關通報流程如(A-6三和國民小學學校資通安全事件通報程序)

 

資安事件若需對外通報,由資訊組長(教師)登入教育機構資安通報平台(網址:https://info.cert.tanet.edu.tw/)。

 

 

3.            實體安全

3.1        設備安置及保護

本校重要的資訊設備(如主機機房)應置於設有空調空間。

本校資訊設備主機機房及電腦教室區域,應設置偵煙、偵熱與滅火設備(氣體式滅火器),並禁止擺放易燃物或飲食。

本校資訊設備主機機房及電腦教室區域內的電源線插頭應有接地的連結或有避雷針等裝置,避免如雷擊事件所造成損害情況。

本校資訊設備主機機房及電腦教室區域,應於入出口處設置門禁的機制。

 

3.2        溫濕度控制

本校重要的資訊設備(如主機機房)應有溫濕度控制措施,以防止資訊設備意外損壞,溫度最好控制在20~25℃,濕度最好控制在相對濕度50~70度。機房內應懸掛溫濕度計,以觀察實際之溫濕度情況。

 

3.3        電源供應

本校重要的資訊設備(如主機機房)應有適當的電力設施,例如設置UPS電源保護措施,以免斷電或過負載而造成損失,並設置緊急照明設備以作為停電照明之用。

 

3.4        纜線安全

本校資訊設備主機機房及電腦教室區域內網路線應建佈於高架地板或需設置保護設施。

 

3.5        設備與儲存媒體之安全報廢或再使用

所有包括儲存媒體的設備項目,在報廢前應先確保已將任何敏感資料和授權軟體刪除或覆寫。

 

3.6        設備維護

若有需要,宜與設備廠商建立維護合約。

廠商進入機房前需先確認已簽訂安全保密切結書。

3.7        財產攜出

未經授權不應將學校的資訊設備、資訊或軟體攜出所在地。

當有必要將設備移出,應檢視相關授權,並實施登記與歸還記錄。

相關財產之攜出應依教育部或學校既有之相關規定處理。

 

3.8        桌面淨空與螢幕淨空政策

結束工作時,所有學校教職員工應將其所經辦或使用具有機密或敏感特性的資料(如公文、學籍資料等)及資料的儲存媒體(如USB隨身碟、磁碟片、光碟等)妥善存放。

本校提供教職員工或學生使用的個人電腦應設定保護裝置,如個人鑰匙、個人密碼以及螢幕保護。

 

4.            人員安全

4.1        人員安全責任

利用各種場合宣導各層級人員應負之資訊安全責任,以強化工作上之資訊安全意識。

因業務需要將機敏資料交付委外廠商時(如辦理保險、校外教學等),廠商必須簽訂安全保密切結書(A-10委外廠商人員密切結書)

本校臨時人員及志工因業務需要,而接觸公務機密、個人及事業單位權益相關之資料者須填寫校內人員保密切結書。(切結書格式參見文件編號(A-8臨時人員及志工保密切結書)

 

4.2        資訊安全教育與訓練      

本校系統管理人員應有足夠能力執行日常基礎之資安管理系統維護工作,並使其瞭解資安事件通報之程序。

本校鼓勵資訊組長/老師/系統管理人員以及所有教職員參與資訊安全教育訓練或宣導活動,以提昇資訊安全認知。

 

5.            應對以下各項相關法令有基礎之認知

5.1        智慧財產權

著作權法

5.2        個人資訊的資料保護及隱私

電腦處理個人資料保護法

個人資料保護法

5.3        電子簽章法

電子簽章法

電子簽章法施行細則

核可憑證機構名單

 承辦人:               主任:                校長:

 
  文字方塊: 文件編號:A-1


屏東縣立三和國民小學設備啟用與報廢紀錄單

啟用報廢

執行人

 

 

 

日期

 

設備用途

 

設備型號

 

啟用檢查項目

掃毒

變更預設通行碼

系統更新

其它:

 

                               

報廢檢查項目

刪除硬碟資料(資料無法再還原)

清除設備設定

其它:

 

 

 

                

 

 

 

執行人員(簽名):                       

 

 

主管覆核(簽名):                     

 

 

 

 

文字方塊: 文件編號:A-2
資訊工作日誌

操 作 日 期:    民國   年   月   日上(下)午   時   分

系 統 名 稱:

操作事項

□    系統例行檢查

□    系統維護

□    系統更新操作

□    其它:

操作說明

 

 

 

 

 

 

 

 

 

系統錯誤改正措施

說明

 

 

 

 

 

 

 

 

 

 

系統管理人員(簽名):           

 

主管覆核(簽名):           

 

帳號申請單文字方塊: 文件編號:A-3

申請人:               申請日期:

所屬單位:              分機:

系統名稱

帳號

申請項目

說明

□ 1.

 

□  新增 □ 刪除 □ 重新啟用

□  停用 □ 異動 □ 重設通行碼

 

□ 2.

 

□  新增 □ 刪除 □ 重新啟用

□  停用 □ 異動 □ 重設通行碼

 

□ 3.

 

□  新增 □ 刪除 □ 重新啟用

□  停用 □ 異動 □ 重設通行碼

 

□ 4.

 

□  新增 □ 刪除 □ 重新啟用

□  停用 □ 異動 □ 重設通行碼

 

□ 5.

 

□  新增 □ 刪除 □ 重新啟用

□  停用 □ 異動 □ 重設通行碼

 

備註

 

執行紀錄

資訊組長(教師):              主管覆核:

帳號使用注意事項

□   使用者須妥善保管帳號通行碼,不可告知他人或書寫於他人可取得之處,如便條紙、螢幕或主機外殼等,亦應避免放置於其他易遭他人窺視之場所。

□   使用者通行碼的長度最少應由8個字元組成,並且英文與數字混和。

□   使用者通行碼應避免包含使用者相關之個人資訊,如電話號碼、生日或姓名。

□   使用者通行碼宜定期變更,並避免重複使用或循環使用舊通行碼。

□   使用者離職須移除其系統帳號始完成離職手續。

系統特權帳號清單

填寫日期:

系統名稱

帳號

人員姓名

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

填寫人:              主管覆核

文字方塊: 文件編號:A-4

文字方塊: 文件編號:A-5

優質通行碼設定原則與使用原則

 

一、 良好的通行碼設定原則

 

1.      混合大寫與小寫字母、數字,特殊符號。

2.      通行碼越長越好,最短也應該在8個字以上。

3.      至少每三個月改一次密碼。

4.      使用技巧記住通行碼

-    使用字首字尾記憶法:

a.       My favorite student is named Sophie Chen,取字頭成為mFSinsC

b.      There are 26 lovely kids in my English class,取字尾成為Ee6ysnMEc

-    中文輸入按鍵記憶法:

a.       例如「通行碼」的注音輸入為「wj/ vu/6a83

 

二、 應該避免的作法

1.      嚴禁不設通行碼

2.      通行碼嚴禁與帳號相同

3.      通行碼嚴禁與主機名稱相同

4.      不要使用與自己有關的資訊,例如學校或家裡電話、親朋好友姓名、身份證號碼、生日等。

5.      不重覆電腦鍵盤上的字母,例如6666rrrrqwertyuizxcvbnm

6.      不使用連續或簡單的組合的字母或數字,例如abcdefgh1234567824681024

7.      避免全部使用數字,例如52526565

8.      不使用難記以至必須寫下來的通行碼。

9.      避免使用字典找得到的英文單字或詞語,如TomCruz superman

10.  不要使用電腦的登入畫面上任何出現的字。

11.  不分享通行碼內容給任何人,包括男女朋友、職務代理人、上司等。

 

 

 

資安事件通報程序1

 
  文字方塊: 文件編號:A-6


 

 

人員

姓名

聯絡電話

資安業務承辦人

劉利中

08-7731198-19

資安業務主管

賴欣怡

08-7731198-14

校長

李國賢

08-7731198-11

教育局(處)資安承辦人

屏東縣教育網路中心

聯絡電話: 08-7369482
E-Mail:

steven251151@gmail.com

臺灣學術網路危機

處理中心(TACERT)

 

聯絡電話:07-525-0211   

網路電話:98400000

E-Mail:service@cert.tanet.edu.tw
網址:http://cert.tanet.edu.tw/

 

文字方塊: 文件編號:A-7
屏東縣立三和國民小學設備進出入紀錄表

 

民國         日上(下)午     

 

攜進

攜出時間

日期

時間

月 日

時 分

攜入/出人員

單 位

 

設備名稱

(品牌/規格)

 

 

 

攜出/入方式

□自行攜出入

貨運代送(公司名稱/電話: ____________

           貨運編號:____________)

□其他______

攜出入原因

□備份媒體地儲存

地儲存之備份媒體送回

□新增設備

□設備送修(預計修完成日期:  /  /   )

□調 / □借 / □還

□其他單位:________________________________

絡 人:________________________________

絡電話:________________________________

(預計歸還日期  /  /   )

□其他(明:________________________________________)

覆核單位

承辦人

權責主管

 

 

           

保密切結書

 
  文字方塊: 文件編號:A-8


紀錄編號:

 

                  (以下簡稱為本人)擔任屏東縣立三和國民小學

                    職務,本人願於學校服務期間所接觸或處理之學校資料(凡屬與公務機密、個人權益及學校機敏資料),嚴守工作保密規定與國家相關法令對業務機密要求,並負保密之責;相關資料均以校內處理為原則,未經書面許可絕不以各種方式攜出校外及對外揭露,若因本人造成學校損失,同意無異議接受相關法律責任,並負責所產生各項損失賠償,離職後亦同;並尊重智慧財產權,絕不擅自下載、複製與傳播任何侵害智慧財產權之任何程式、軟體,如有違反願自負法律責任。此致

屏東縣立三和國民小學

切結人:

身分證字號:

戶籍地址:

            日期:  年  月  日

本保密結書一式份,分別由結人以及三和國小保存
 文字方塊: 文件編號:A-9
資訊應用委外廠商服務內容暨保密切結書

 

                       公司(以下簡稱為本公司)為配合
屏東縣立三和國民小學(以下簡稱為貴校)之業務需求,本公司提供服務項目如下:

一、

二、

三、

(註:列出公司提供之服務項目)

本公司願於 貴校提供上述服務項目時,遵守 貴校資訊安全相關規範,所知悉 貴校機密或任何不公之文書、電子資料、圖畫、消息、物品或其他資訊,將恪遵保密規定,未經 貴校書面授權,不得以任何形式利用或洩漏、告知、交付、移轉予任何第三者,如有違誤願負法律上之責任。

此致

屏東縣立三和國民小學

申請單位及負責人蓋章:

 

日期:  年  月  日

本服務暨保密切結書一式兩份,分別由       公司以及三和國小保存
委外廠商人員密切結書

 
  文字方塊: 文件編號:A-10


           (以下簡稱為本人)擔職於任           (委外公司名稱),因執行       工作,於屏東縣立三和國民小學(以下簡稱為貴校)執行服務期間,願遵守 貴校資訊安全相關規範,並對所知悉 貴校機密或任何不公之文書、電子資料、圖畫、消息、物品或其他資訊,將恪遵保密規定,未經 貴校書面授權,不得以任何形式利用或洩漏、告知、交付、移轉予任何第三者,如有違誤願負法律上之責任。此致

屏東縣立三和國民小學

切結人:

任職公司:

公司統一編號:

 

日期:  年  月  日

 

本保密切結書一式兩份,分別由切結人以及三和國小保存

瀏覽數: