TANet连线学校资通安全管理规范(Version 95 .docVIP

教育體系資通安全管理規範 中 華 民 國 9 年 月 日目 錄 壹、 緣起 3 貳、 簡介 3 參、 適用範圍 3 肆、 目標期程 4 伍、 引用標準 4 陸、 關於適用性聲明(Statement of Applicability) 4 柒、 用詞解釋 4 捌、 關於資訊安全管理系統(ISMS)建置步驟 5 玖、 關於資訊安全管理系統(ISMS)建置需求 6 附錄A 控制目標與控制措施 7 A.5 資訊安全政策訂定與評估 8 A.6 資訊安全組織 10 A.7 資訊資產分類與管制 13 A.8 人員安全管理與教育訓練 15 A.9 實體與環境安全 18 A.10 通訊與作業安全管理 22 A.11 存取控制安全 36 A.12 系統開發與維護之安全 48 A.13 資訊安全事件之反應及處理 56 A.14 業務永續運作管理 58 A.15 相關法規與施行單位政策之符合性 60 附錄B 刪除之規範與控制項 62 緣起 網路的快速發展，改變了既有的業務處理模式，不單是業界，學校單位也感受到此股新興力量，許多行政工作藉由網路無遠弗屆的特性，加速了程序的進行，提升了整體的效率。然而，如同其他新興產業、領域碰到的問題一樣，相關的法令制定、控制規範，往往跟不上日新月異的變化，因此，不單只是產業界，其實學校單位對於通用性資通安全規範的需求，早時有所聞。鑑於實務界已經發展成熟的資安規範，如CNS17799、ISP Guide73:2002、BS7799等，此時此刻，正是為各級學校單位量身訂作規範的時機，如此才能確保各個行政程序的安全性。另外，考量到學校單位的重要性、急迫性以及可分配資源等因素，教育體系最適合進行資通安全管理規範的設計與施測；所以，本規範將以教育體系為對象，期能設計出最適合相關單位施行的管理規範。 簡介(Information Security Management System, 以下簡稱ISMS)模式；評估各單位資安管理上的需求、目標、結果，並考量加入特有之作業程序、規模、架構等因素，量身訂做出有別於業界所採用之ISMS規範。為了讓施行資安管理單位能以花費最低成本、人力等資源，採漸進的方式逐步達成可行之規章條款，本規範強調實行度與執行效率，期望能將此資安規範及相關之實施經驗推行到各單位，進而強化TANet中各連線學校單位的資通安全。 適用範圍 本標準適用於教育部電算中心、部屬館所、縣市網中心、大專院校以及高中職資訊管理單位等資訊業務相關單位(或其他管理單位認為應加入ISMS規範範圍之部門)，針對「學術網路系統」以及「行政資訊系統」兩大業務範疇，訂定教育體系所屬機關、學校資訊安全管理規範，以提升資訊安全管理能力。二群，群組屬性為： 第一群：本群適用單位以教育部電算中心、部屬館所、縣市網中心以及公私立大專院校(計網中心及校務行政)等為主；本群所屬單位之特性，適用之規範須遵從較高的嚴謹度，除因規模較小或資源缺乏等限制得以轉換至第二群外，其他不得變更(除了原屬第二群之單位外)。 第二群：本群適用單位以公私立高中職學校(資訊管理單位或因規模、資源因素轉至本群者及校務行政)為主要對象；適用規範之嚴謹度較為寬鬆，乃為配合此群中所屬單位之規模與經費之故，但亦可根據自身的需求，轉往依循第一群之準則。 目標期程 本規範的最終目標，在於讓所有教育體系與相關單位，在有限的資源下，建置最為合適、有效的ISMS。有鑑於各單位在資訊業務管理上，受限於人力、經費等各項資源，加上建置ISMS過程中須與相關單位以及管理階層多加協調溝通；因此，各單位在正式建置ISMS時，建議採階段式進行，以三年為期自行設定合理的期程目標，逐步達成每年度預定的進程比例，而非耗盡內部資源全力投入的模式；藉由如此的模式，在不過於影響單位運作的情況下，成功建置合適的ISMS。 引用標準 本規範主要參考ISO/IEC 27001:2005(E) ISMS規範下列本標準之參考文件： 規範。 資訊技術資訊安全管理之作業要點CNS17799資訊技術─資訊安全管理之作業要點。 關於適用性聲明(Statement of Applicability) 附錄A 控制目標與控制措施 本標準列出之控制目標及控制措施乃第A.至A.1列出之項目，並依據既有之屬性與特點，保留符合各層級之項目。各應考量自身的需求與特性，考慮增加其他必要之控制目標及控制措施。資訊安全政策訂定與評估 安全政策安全政策 A.5.1.2 資訊安全政策評估 面對資安事件的發生、資安相關法令與其他影響因素的改變時，資訊安全政策應進行即時的評估，並定期審查政策的可行性與有效性。 A.5.1.2 資訊安全政策 在組織資安政策建立完成後，執行組織因應而生，為的是各項