(一)目的:
推動學校強化資訊安全管理,確保資料、系統、設備及網路安全,特訂定本要點。
(二)資訊安全政策及權責分工
1. 由校長指派專人籌組資訊小組,負責全校資訊安全政策、計畫及技術規範之研議、建置及評估等事項。
2. 各處室應指定適當人員負責配合辦理資訊安全相關事宜。
3. 各處室應負責所屬資料及資訊系統之安全需求研議、使用管理及保護等事項。
4. 資訊小組得對各處室進行定期或不定期之資訊安全稽核。
(三)人員管理及資訊安全教育訓練
1. 各單位應加強資訊安全管理人力之培訓提升資訊安全管理能力。
2. 各處室對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要之稽核。
3. 各處室負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。
4. 各級業務主管,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。
5. 資訊小組得視需要辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升資訊安全水準。
(四)電腦系統安全管理
1. 各處室辦理資訊業務委外作業,應於事前研提資訊安全需求,明定廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
2. 各處室對系統變更作業,應建立控管制度,並建立紀錄,以備查考。
3. 各處室應依相關法規或契約規定,複製及使用軟體,並建立軟體使用管理制度。
4. 各處室應採行必要之事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體的侵入,確保系統正常運作。
5. 各系統伺服器所存放之機房須由研發單位專人專責管理,並嚴禁無關人員進出。
(五)校園網路安全管理
1. 各處室利用公眾網路傳送資訊或進行交易處理,應評估可能之安全風險,確定資料傳輸之完整性、機密性、身分鑑別及不可否認性等安全需求。
2. 各處室開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
3. 學校與外界網路連接之網點,應以防火牆及其他必要安全設施,控管外界與學校內部網路之資料傳輸及資源存取,並應以代理伺服器等方式提供外界存取資料,避免外界直接進入資訊系統或資料庫存取資料。
4. 各處室利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。
5. 對機密性資料及文件,不得以電子郵件或其他電子方式傳送,如有電子傳送之必要,應以適當之加密或電子簽章等安全技術處理。
6. 各處室採購資訊軟硬體設施,應依國家標準或權責主管單位訂定之資訊安全規範,研提資訊安全需求,並列入採購規格。
(六)系統存取控制
1. 各處室應訂定系統存取政策及授權規定,並明確告知使用者之相關權限及責任。
2. 各處室賦予各級人員必要之系統存取權限時,應以執行法定任務所必要者為限。對被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員,應經審慎之授權評估。
3. 各處室應建立系統使用者註冊管理制度,加強使用者通行密碼管理,並要求使用者定期更新;使用者通行密碼之更新周期,最長以不超過六月個為原則。對處室內外擁有系統存取特別權限之人員,應建立使用人員名冊,加強安全控管,並縮短密碼更新周期。
4. 各處室開放外界連線作業,應事前簽訂契約或協定,明定其應遵守之資訊安全規定、標準、程序及應負之責任。
5. 各處室對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。
6. 資訊小組應確立系統稽核項目,建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業。
7. 登入各作業系統時,依各級人員執行法定任務所必要之系統存取權限,由資訊單位系統管理人員設定應賦予權限之帳號與密碼,並於每學期更換一次。
8. 對離(休)職人員,須立即取消使用各項資訊資源所有權限,並列入人員離(休)職之必要手續。
(七)系統發展及維護安全管理
1. 各處室自行開發或委外發展系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
2. 各處室對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。
3. 各處室委託廠商建置及維護重要軟硬體設施時,應在處室相關人員監督及陪同下始得為之。
(八)系統發展及維護安全管理
1. 本校自行開發或委外發展系統,須在系統開發初期階段,即將資訊安全納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
2. 對委外廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。
3. 委外廠商建置及維護重要軟硬體設施時,應在單位系統管理人員與研發單位人員監督及陪同下始得為之。
(九)資訊資產安全管理
1. 電腦病毒及惡意軟體之防範、控制應採行必要的事前預防及保護措施,防制及偵測電腦病毒、特洛依木馬及邏輯炸彈等惡意軟體的侵入。應依「事前預防重於事後補救」的原則,定時進行各系統修補「漏洞」之更新並建置電腦病毒偵測及防範系統,促使員工正確認知電腦病毒的威脅,進而提升員工的資訊安全警覺,健全系統之存取控制機制。
2. 電腦病毒防範應考量的重要原則如下:
(1)應建立軟體管理政策,規定各部門及使用者應遵守軟體授權規定,禁止使用未取得授權的軟體。
(2)應選用信譽良好、功能健全的電腦病毒防制軟體,並依下列原則使用:
(3)電腦病毒防治軟體應定期更新,並在操作程序正確的情況下使用。
(4)使用防毒軟體事前掃瞄電腦系統及資料儲存媒體,以偵測有無感染電腦病毒。
(5)應謹慎使用可掃除電腦病毒及回復系統功能的解毒軟體;使用前需充分瞭解電腦病毒的特性,及確定解毒軟體之功能。
(6)對來路不明及內容不確定的磁片及收受之電子郵件(含附加檔案),應在使用前詳加檢查是否感染電腦病毒。
(7)為使電腦病毒影響機關正常運作之程度降至最低,應依妥適的業務永續運作計畫,將必要的資料及軟體備份,事前訂定回復作業計畫。
(8)網路主機須設置防火牆。
(9)個人文件檔案存檔時須養成加密保護習慣,若檔案需提供網路共享則必須加密保護。
(十)實體及環境安全管理
1. 資訊單位就系統伺服器主機設備安置於主機房,並由研發單位專責管理,並管制非相關人員隨意進出。
2. 主機房須設置空調恆溫控制,並配置門禁監控設施。
3. 若非資訊單位人員或維修人員,不得自行拆卸電腦機殼及更換內部零組件。
4. 報廢之電腦硬體設備需在確定無機密資料之虞慮下,方可移為他用或擇地存放。
(十一)業務永續運作計畫管理。
1. 為因應各種人為及天然災害造成系統運作受影響,研發單位須於資訊系統中安裝救援回復軟體並定期作備份。
2. 機房設置不斷電系統,以防治不正常斷電狀況,造成毀滅性的破壞。
3. 在發生資訊安全事件時,應立即向校長及主管單報告,並聯繫檢警調單位協助偵查。
(十二)本要點經資訊安全小組研訂,陳 校長核可後實施,修正時亦同。
