為確保本校電腦資料、系統、設備及網路安全,避免因人為疏失、蓄意破壞、資通危機事件或自然災害等風險,遭致資訊資產不當使用、洩漏、竄改、破壞等情事,而影響電腦作業系統正常運轉,特訂頒本作業規範。
行政院及所屬各機關資訊安全管理要點等有關法令,並考量本校實際業務需求訂定之。
校長擔任資訊安全長,各處室主任擔任委員,人事主任、資訊組長及系統管理師為執行委員,共同組成資訊安全小組,負責規劃、推動、協調及稽核資訊安全管理事項、處理資通安全危機事件。
資訊安全會議由安全長主持,核定各項資訊安全事項、宣達新資訊安全政策、檢討矯正預防措施及資通安全危機事件應變。
- 分工原則:各處室應依下列分工原則,賦予相關人員之權責:
- 資訊安全政策、計畫及技術規範之研議、建置及評估等事項,資訊安全小組負責辦理。
- 資料及資訊系統之安全需求研議、管理及保護等事項,由各教職員工負責辦理。
- 資訊機密維護及資訊安全管理稽核事項由人事主任會同資訊組長採不定期抽查方式辦理。
- 本要點之實施範圍如說明:
- 人員管理及資訊安全教育訓練
- 每年對全校教職員工辦理2小時資訊安全教育研習,建立全校教職員工資訊安全認知及法律責任與遵循,正確使用資訊設備,以提升資訊安全水準。
- 各處室主管,應負責督導所屬員工之資訊作業安全。
- 系統安全
- 未經允許,不得擅自更改電腦及週邊設備的網路設定。
- 攜帶筆記型電腦連接校園區域網路時,須先知會資訊組。
- 依全校網路作業需求,於網路中心機房建置伺服器統一管理。
- 電腦主機自動進行作業系統程式更新作業,以修補程式漏洞。
- 所有電腦主機應裝置防毒軟體,並設定病毒碼自動更新。
- 校內個人電腦所使用的軟體應有授權,不得安裝非授權之軟體。
- 校內所有電腦不得安裝P2P點對點傳輸軟體
- 校內網頁主機,設定每月自動備份一次,校務行政系統設定每週自動備份一次,除本機備份外,並同時做異地備份。
- 伺服器之系統紀錄檔亦需異地備份保存。
- 重要資料由使用者自行決定備份週期並妥善保管。
- 校務行政系統帳號,由資訊組配合人事單位進行控管,並須符合以下項目:
- 使用唯一的使用者識別碼(ID)。
- 檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。
- 要求使用者初次登入系統後,必須立即更改預設之通行碼
- 保存一份包含所有識別碼註冊的記錄。
- 使用者調職或離職後,應移除其識別碼的存取權限。
- 每學年檢查並取消多餘的使用者識別碼和帳號。
- 系統主機應定期更改密碼。
- 建立資訊安全通報程序,於資訊安全事件發生時,通報市網中心。
- 防火牆非必要的網路服務埠(如遠端登入),一律關閉。
- 建置防火牆及安全漏洞偵測等不同安全等級之技術、措施或設備,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
- 設備安全
- 主機機房及電腦教室裝設空調系統。
- 主機機房及電腦教室應設置滅火設備,並禁止擺放易燃物及飲食。
- 主機機房及電腦教室的電源設備應有接地的連結,以避免雷擊事件造成損害。
- 主機機房及電腦教室裝設UPS(不斷電系統)、穩壓器,以避免斷電或電力負載過重造成損失。
- 主機機房及電腦教室加裝鐵門、鐵窗及門鎖等相關防盜設施。
- 由資訊組與總務處負責校內網路線路及相關資訊安全設施之維護。
- 未經授權不得將學校資訊設備及相關軟、硬體攜出校園。
- 建立資訊設備借用與歸還記錄。
- 行政電腦設置個人密碼,由行政人員自行操作管理。
- 系統存取控制
- 訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
- 離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,調整其權限。
- 對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,賦予相關安全保密責任。
- 各處室之重要資料委外建檔者,不論在學校內外執行,均應採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
- 系統發展及維護安全管理
- 辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守。
- 對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍。
- 委託廠商建置及維護重要之軟硬體設施,應在本機關相關人員監督及陪同下始得為之。
- 法令認知
- 遵守智慧財產權相關法令規定。
- 遵守電腦處理個人資料保護法規定。
- 本資訊安全作業規範要點,呈陳校長核准後實施,並公布於本校網站,修正時亦同。
