资安管理办法-果毅国小.doc

臺南市國民小學資通安全管理辦法 經 年 月 日校務會議通過 一、依據 教育部 年 月 日函頒國中、小學資通安全管理系統實施原則。 個人資料保護法中華民國101年9月21日行政院院臺法字第 1010056845 號令發布除第 6、54 條條文外，其餘條文定自一百零一年十月一日施行。 個人資料保護法施行細則中華民國101年9月26日法務部法令字第 10103107360 號令修正發布名稱及全文 33 條；並自一百零一年十月一日施行。 二、目的 確保臺南市立國民小學（以下簡稱本校）所屬之資訊資產機密性、完整性及可用性，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅。 三、適用範圍 本校校內電腦、資訊與網路服務相關的系統、設備、程序及人員，包含合約廠商及其它經授權使用之人員。 四、組織與職權 為強化本校資通安全暨個資保護需求，健全資通安全管理制度，特設立「臺南市國小資通安全委員會」(以下簡稱本委員會)，以推動本校資通安全管理業務之運作。本委員會之成員為校長、各處室主任及行政組長，由校長兼任召集人，資訊組長（網管）為資通安全長，行政及技術相關事宜由資訊組負責。 本委員會權責如下： 訂定本校資通安全政策及資通安全管控機制。 督導資通安全政策之實施。 資通安全事件通報、緊急應變及危機處理。 規劃並督導資通安全教育訓練。 督導個人資料保護工作之落實。 本委員會每年開會一次，必要時得召開臨時會議。會議須有應出席委員半數(含)以上出席始得開會，並得邀請相關人員列席。 五、資安政策 維護本校資訊之機密性、完整性與可用性，保障使用者資料隱私。 保護本校網路資訊，避免未經授權的存取與修改。 本校業務執行須符合相關法令及法規之要求。 建立資訊業務永續運作計畫，確保本校業務永續運作。 六、實施原則 網路控制措施 與外界連線，應僅限於經由教育局(處)網路管理單位之管控，以符合一致性與單一性之安全要求。 應禁止以私人架設網路（如：電話線、2G或3G網路等）連結機房內之主機電腦或網路設備。 宜依業務性質之不同，區分不同內部網路網段，例如：教學、行政、宿網等，以降低未經授權存取之風險。 對於開放提供外部使用者或廠商存取之服務，必須限制使用者之來源IP及網路連線埠(Port)，以確保安全。 無線網路存取 應禁止使用者私自將無線網路存取設備介接至校園網路；若有介接之必要應經權責管理人員同意並設定帳號通行碼或加密金鑰以防未經許可之盜用。 校園內應提供無線網路存取服務，並採取適當安全管控措施： 專供行政使用之無線網路熱點建議設定加密金鑰防護，並避免使用開放之無線網路存取重要資訊系統及處理敏感性資料。 於教學區域、會議室等場所佈建之無線網路熱點應具有使用者身分認證機制，並經由校園無線路漫遊服務系統提供外校來賓使用。 專供師生教學活動使用之無線網路熱點，若採用其他管理方式確有不便時，應採取限定開放時間及限制開放區域等管理措施，減少遭受不當利用之機會。 開放校外人士出入之公共空間可視需要提供民眾無線上網服務，其網段應與校園網路隔離，或委由網路服務業者提供。 2. 系統安全 2.1本校內的個人電腦應 裝置防毒軟體，將軟體設定為自動定期更新病毒碼；或由伺服器端進行病毒碼更新的管理。 定期（至少每個月）進行如「Windows Update」之程式更新作業，以防範作業系統之漏洞。 新系統啟用前，應經過掃毒與更新系統密碼程序，以防範可能隱藏的病毒或後門程式。 2.2 本校內個人電腦所使用的軟體應有授權，嚴禁安裝各種非法軟體。 2.3 資料備份 本校系統管理人員需針對本校重要系統（例如系統檔案、應用系統、資料庫等）定期進行備份工作，或採用自動備份機制；建議週期為每週進行一次。 2.4 操作員日誌 本校系統管理人員需針對敏感度高、或包含特殊資訊的電腦系統進行檢查、維護、更新等動作時，應針對這些活動填寫日誌予以紀錄，作為未來需要時之檢查。 日誌內容可包含以下各項： 系統例行檢查、維護、更新活動的起始時間 系統錯誤內容和採取的改正措施。 紀錄日誌項目人員姓名與簽名欄 2.5 使用者註冊 本校新進人員，資訊人員將會以教育局資訊中心郵件系統之帳號，註冊至本校各應用系統上，再由使用者自訂其密碼。若使用者有其特殊需求，也可另行單獨申請變更。 本校人員離職後，資訊人員應立即註銷該員在各應用系統的帳號及使用權。 本校資訊人員，必須妥善管理各應用系統之使用者帳號。 每人使用唯一的使用者識別碼（ID）。 檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。 保存一份包含所有識別碼註冊的記錄。 使用者調職或離職後，應移除其識別碼的存取權限。 定期（建議每學期）檢查並取消多餘的使用者識別碼和帳號。 定期（建議每學期）檢查新增之帳號，若有莫名帳號產生，應關閉帳號權限，並依通報程