资通安全管理规范-五福国小.doc

PAGE  PAGE 20 苗栗縣立五福國民小學資通安全管理規範Page 苗栗縣立五福國民小學 資通安全管理規範 中 華 民 國 105 年 5月 31 日 目標 本規範為規定苗栗縣立五福國民小學（以下簡稱本校）資通安全管理作業實施方式，以增進資訊作業之安全性，確保學校資料之機密性、完整性與可用性。 適用範圍 本校電腦、資訊與網路服務相關的系統、設備、程序、及人員。 實施規定 網路安全 網路控制措施 本校與外界連線，應僅限於經由教育研究發展中心教育網路組之管控，以符合一致性與單一性之安全要求。 應禁止以電話線連結主機電腦或網路設備。 服務委外廠商合約之安全要求 委外開發或維護廠商必須簽訂安全保密切結書（切結書格式參見文件編號(A-9資訊應用委外廠商服務內容暨保密切結書）。 系統安全 職責區隔 本校伺服器主機可依個別應用系統之需要，設置專屬電腦。 本校的行政系統主機（例如財務、人事、公文系統等）電腦，由教育研究發展中心或縣政府等單位統籌管理。 對抗惡意軟體、隱密通道及特洛依木馬程式 本校內的個人電腦應： 裝置防毒軟體，將軟體設定為自動定期更新病毒碼；或由伺服器端進行病毒碼更新的管理。 設定「Windows Update」之程式更新作業，以防範作業系統之漏洞。 本校內個人電腦所使用的軟體應有授權。 新伺服器系統啟用前，應經過掃毒與更新系統密碼程序，以防範可能隱藏的病毒或後門程式。（伺服主機啟用與報廢申請單格式參見文件編號(A-1設備啟用與報廢紀錄單） 資料備份 本校系統管理人員需針對學校重要系統（例如系統檔案、網站、資料庫等）定期進行備份工作或採用自動備份機制，週期為每週至少進行一次；並應使用設備執行異地備份或使用光碟、隨身碟或外接式硬碟異地執行異地存放。 操作員日誌 本校系統管理人員需針對重要的電腦系統進行檢查、維護、更新等動作時，應針對這些活動填寫日誌予以紀錄，作為未來需要時之檢查。（機房操作日誌文件參見文件編號A-3） 資訊存取限制 本校內所共用的個人電腦應以特定功能為目的，並設定特定安全管控機制（例如限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取等）。 使用者註冊 人員報到或離退職應會辦資訊組長，資訊組長應執行電腦系統使用的使用者註冊及註銷程序，透過該註冊及註銷程序來控制使用者資訊服務的存取，該作業應包括以下內容： 使用唯一的使用者識別碼（ID）。 檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。 保存一份包含所有識別碼註冊的記錄。 使用者調職或離職後，應移除其識別碼的存取權限。 每學期檢查並取消多餘的使用者識別碼和帳號。 每學期檢查新增之帳號，若有莫名帳號產生，應關閉帳號權限。（帳號申請單格式參見文件編號(A-3帳號申請單) 特權管理 本校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明，應予以文件化記錄備查。（特權帳號清單格式參考文件編號A-4） 通行碼之使用 管制使用者第一次登入系統時，必須立即更改預設通行碼，預設通行碼應設定有效期限。 資訊系統與服務應避免使用共同帳號及通行碼。 由學校發佈通行碼（Password）制定與使用規則給使用者，內容應包含以下各項： 使用者應該對其個人所持有通行碼盡到保密責任。 要求使用者的通行碼設定，應該包含英文字及數字，長度為8碼（含）以上。 因特殊需要擁有多個帳號時，可考慮使用一組複雜但相同的通行碼。 通報安全事件與處理 資訊安全事件包括：任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。 本校資訊安全事件等級，由輕微至嚴重區分等級如下： 0級：教育部及苗栗縣教育網路中心檢舉信箱通告之資安事件。 符合下列任一情形者，屬1 級事件： 非核心業務資料遭洩漏。 非核心業務系統或資料遭竄改。 非核心業務運作遭影響或短暫停頓。 符合下列任一情形者，屬2 級事件： 非屬密級或敏感之核心業務資料遭洩漏。 核心業務系統或資料遭輕微竄改。 核心業務運作遭影響或系統效率降低，於可容忍中斷時間內回復正常運作。 符合下列任一情形者，屬3 級事件： 密級或敏感公務資料遭洩漏。 核心業務系統或資料遭嚴重竄改。 核心業務運作遭影響或系統停頓，無法於可容忍中斷時間內回復正常運作。 符合下列任一情形者，屬4 級事件： 國家機密資料遭洩漏。 國家重要資訊基礎建設系統或資料遭竄改。 國家重要資訊基礎建設運作遭影響或系統停頓，無法於可容忍中斷時間內回復正常運作。 本校任何人於校內發現異常情況或疑似資安事件及應立即向資訊組長（教師）通報，資訊組長（教師）應儘速進行處理並研判事件等級。 資訊組長（教師）當發生研判事件等級3（含）以上之事件，應立即通報資訊業務主管及本校校長，並以電話聯絡苗栗縣教育網路中心教育網路組資安承辦人，由校長儘快召