資訊安全暨緊急應變管理規範-耕莘健康管理專科學校.docVIP

耕莘健康管理專科學校 資訊安全目　錄壹、總　則 1 一、依據 1 二、目的 1 三、目標 1 四、訂定參考 1 五、適用對象 1 六、適用範圍 1 貳、組織與權責 2 一、資訊安全推動小組 2 二、資訊安全相關人員安全權責 2 參、規範內容 4 一、資訊安全政策的制定及評估 4 二、資訊人員安全管理與訓練 4 三、電腦系統安全管理 5 四、網路安全管理 8 五、系統存取控制 9 六、系統發展及維護之安全管理 11 七、資訊資產之安全管理 12 八、實體及環境安全管理 13 九、業務永續運作計畫之規劃及管理 14 肆、緊急應變與處理程序 14 一、網路入侵處理 14 二、安全稽核流程與獎懲措施 15 伍、災難復原程序 16 陸、附則 19 壹、總　則、、目的（以下簡稱本）為維護網路資訊系統的正常運作、確保網路資訊傳輸安全，保障本電腦處理資料之機密性與完整性，特訂定本規範。、建立安全資訊作業環境，執行全天候服務。應有永續服務的能力，不宜有作業停頓、蠕蟲攻擊、駭客攻擊毀損及監測資訊外洩等事件發生故積極推動建置資訊安全管理制度(ISMS)，確保資訊安全。強化本資訊網路安全防護機制提供本資訊安全專業諮詢與通報機制落實本中心資訊安全管理與防護措施的執行宣導資訊安全與推動資安機制，並定期或不定期檢測資安執行狀況，進行改善措施。訂定參考中央標準檢驗局CNS17799、CNS17800規範。ISO/IEC 17799:2000、BS7799-2:2002國際標準。機關行政院所屬各機關資訊安全管理規範。行政院所屬各機關資訊安全管理要點。資訊安全管理規範電腦處理個人資料保護法。電子簽章法。、適用對象本校員工、臨時人員及接受本校委辦案派駐本校之人員。、適用範圍 資訊安全政策制定及評估。資訊安全組織及權責。人員安全管理及教育訓練。電腦系統安全管理。網路安全管理。系統存取控制。系統發展及維護之安全管理。資訊資產之安全管理。實體及環境安全管理。業務永續運作計畫之規劃及管理。貳、組織與權責資安全小組為統籌本資訊安全管理事宜，成立本「資安全小組」（以下簡稱本小組），由擔任召集人，及。其中資訊系統安全控制技術事宜由負責辦理，資料及資訊系統之安全使用及保護事宜由各業務負責辦理。必要時，本小組得委請外學者專家，提供資訊安全顧問諮詢服務及技術支援協助，學者專家學者專家。二、資訊安全相關人員安全權責 核定資安事件通報及應變處理事宜。 監督通報作業、應變計畫與資安演練之實施。 資安聯絡人 由資訊暨圖書中心資訊組網路系統管理人員使用人員應妥善保管個人電腦及，每日下班前應關閉電腦及電源。 使用人員應設使用權限，進入系統不得任意更改使用權限，以確保系統安全，適時防範操作時之疏失。 使用人員對通行密碼應妥慎保管，不得洩漏或借給他人使用。設有特殊權限應用系統，使用人員如需代理人，則需另行申請使用權限及通行密碼。使用人員使用人員使用人員網路系統管理人員 定時統計本校網路使用情形並評估網路設備現況，以提高網路速率，提供擴充設備之憑據。 建立及維護本校網路系統使用者帳號。 記錄網路系統異常狀況及維護相關資料。 應用系統維護人員 負責使用者代碼管理、權限管理、病毒防制、稽核作業程序等，以落實應用系統安全策略之要求。 維護人員進出系統皆維護紀錄，應用系統本身須提供安全控管功能，以滿足作業時之認證、授權與稽核之安全管理需求，確保資訊安全。 機房管理人員 負責機房進出人員之管理、機房工作日誌之督導查核及機房異常狀況之管理。 建立及更新機房配備圖，標明每一設備名稱及位置。 建立機房電源操作手冊，以因應特殊狀況緊急開關電源之操作程序及相關耗材清理更換。 委外管理人員 訂定受委託管理資訊系統存取控制規定，界定存取控制之需求，並以書面或其他電子方式記錄之。 應將受委託管理資訊系統之存取控制需求，明確告知委外服務人員，以利其執行及維持有效的存取控制機制。 資訊系統存取控制規定之研擬，應考量事項如下： ?(1)個別業務應用系統之安全需求。 ?(2)資訊傳佈及資料應用之名義與授權規定。 ?(3)相關法規或契約對資料保護及資料存取之規定。 ?(4)契約終止時，應確保本校資訊及資產安全回收或是銷毀的措施。 委外服務人員 委外人員?(1)建立及維護本校網路系統使用者帳號。 ?(2)定期記錄網路系統異常狀況及維護相關書面資料。 ?(3)建立及維持一份有權存取系統的委外人員名單。委外系統維護人員 ?(1)應善盡軟硬體系統建置及維護的責任。 ?(2)應尊重智慧財權及資訊公開的限制。 ?(3)系統維護人員進出系統皆需維護紀錄，委外應用系統本身須提供安全控管功能，以滿足作業時之認證、授權與稽核之管理需求，確保資訊安全。資訊安全稽核 依據資安檢核表，提出改善建議事項。 協助資安事件之偵防作業。 依據本