教育部本部资讯安全管理计画.docVIP

教育部本部資訊安全管理計畫 本計畫依據教育部94年5月19日094電創0063367號函正式公告實施 目錄 壹、資訊安全政策制定及評估 1 一、資訊安全政策制定 1 （一） 依據 1 （二） 參考規範 1 （三） 資訊安全目的 1 （四） 資訊安全組織 1 （五） 資訊安全定義 1 （六） 資訊安全管理措施 2 1、 制定人員管理及資訊安全教育訓練。 2 2、 制定電腦系統安全管理。 2 3、 制定網路安全管理。 2 4、 制定系統存取控制管理。 2 5、 制定系統發展及維護安全管理。 2 6、 制定資訊資產安全管理。 2 7、 制定實體及環境安全管理。 2 8、 制定業務永續運作計畫管理。 2 二、資訊安全政策之評估 2 （一） 評估方式 2 （二） 安全評估的項目 2 1. 人員 2 2. 資訊系統作業環境 2 （三） 定期對相關部門及人員進行資訊系統及技術應用之安全評估 2 （四） 資訊安全政策及規定之宣達 3 貳、資訊安全推動小組織推動及權責 3 一、 資訊安全組織之任務 3 二、 資訊安全組織權責 3 （一） 資訊安全責任分配 3 （二） 資訊安全分工原則 3 1. 電算中心 3 2. 業務單位 4 3. 政風處 4 （三） 資訊設施之使用授權 4 （四） 跨機關之合作及協調 4 （五） 資訊安全顧問及諮詢 4 參、人員安全管理及教育訓練 4 一、人員進用之評估 4 （一） 人員進用之評估作業 4 （二） 機密維護之責任約定 5 二、使用者資訊安全教育及訓練 5 （一） 資訊安全教育及訓練 5 肆、電腦系統安全管理 5 一、安全作業程序及責任 5 （一） 作業程序之訂定 5 （二） 載明電腦作業程序的詳細規定 6 （三） 資訊安全事件之管理 6 （四） 資訊安全責任之分散 7 （五） 系統發展及實務作業之分散 7 （六） 資訊作業委外服務之安全管理 8 二、系統規劃 8 （一） 系統作業容量之規劃 8 （二） 新系統上線作業之安全評估 8 （三） 預備作業之規劃 9 （四） 作業變更之管理 9 三、電腦病毒及惡意軟體之防範 9 四、軟體複製的控制 10 五、個人資料之保護 10 六、日常作業之安全管理 11 （一） 資料備份 11 （二） 系統作業紀錄 11 （三） 系統錯誤事項之紀錄 11 （四） 電腦作業環境之監測 12 七、電腦媒體之安全管理 12 （一） 電腦媒體之安全管理 12 （二） 機密性及敏感性資料之處理程序 12 （三） 系統文件之安全 13 （四） 媒體處理之安全 13 （五） 資料檔案之保護 14 八、資料及軟體交換之安全管理 14 （一） 資料及軟體交換之安全協定 14 （二） 電腦媒體運送及傳輸之安全 14 （三） 電子資料交換之安全 15 （四） 電子辦公系統之安全 15 伍、網路安全 16 一、網路安全規劃與管理 16 （一） 網路安全規劃 16 （二） 網路服務之管理 16 （三） 網路使用者之管理 17 （四） 主機安全防護 17 （五） 防火牆之安全管理 18 （六） 軟體輸入控制 18 （七） 網路資訊之管理 19 二、電子郵件之安全管理 19 三、全球資訊網之安全管理 20 （一） 全球資訊網 20 （二） 企業網路（Intranet） 20 （三） 網路設備備援與系統備援 20 （四） 網路入侵之處理 21 三、網路安全稽核 21 （一） 網路安全稽核事項 21 （二） 警示系統 21 （三） 網路入侵之追查 22 四、憑證機構之安全管理 22 （一） 憑證機構之安全評估 22 （二） 憑證機構之技術安全 22 陸、系統存取控制 23 一、資訊系統存取控制規定 23 二、使用者之存取管理 23 （一） 使用者註冊管理 23 （二） 系統存取特別權限之管理 24 （三） 使用者通行碼之管理 24 （四） 系統存取權限之檢討評估 25 三、系統存取之責任 25 （一） 使用者通行碼之管理 25 （二） 暫時不使用或無人看管設備之安全管理 26 四、網路存取之安全控制 26 （一） 網路服務之限制 26 （二） 強制性的通道 26 （三） 使用者身分鑑別 27 （四） 網路節點之身分鑑別 27 （五） 遠端診斷連線作業埠之控制 27 （六） 網路之分隔 27 （七） 網路連線作業之控制 27 （八） 網路路由控制 28 （九） 網路服務之安全控制 28 五、電腦系統之存取控制 28 （一） 建立自動化的端末機身分鑑別系統 28 （二） 端末機登入程序 28 （三） 使用者身分辨識 29 （四） 使用者通行碼之管理 29 （五） 端末機作業時間限制 30 （六） 連線作業時間之控制 30 六、應用系統之存取控制 30 （一） 資訊存取之限制 30 （二） 系統公用程式之安全管理 31