资讯安全管理作业要点-云林县教育网.docVIP

資訊安全管理作業要點_範本 機密等級：限閱 版次：v1.0 日期：○○年○○月○○日 1 目的 為確保○○縣○○國民小學（以下簡稱「本校）資訊安全管理作業推行，符合資訊安全政策之目標，特訂定本作業要點。 2 適用範圍 本作業要點適用之管理範圍為本校教職員與學生個人資料處理及其相關資訊服務。 3 權責 3.1 資訊安全長：由○○擔任，負責綜理資訊安全管理作業協調與督導工作。 3.2 資訊安全官：由○○擔任，負責規劃及管理資訊安全管理作業相關事宜。 3.3 執行小組：由○○擔任，負責執行資訊安全管理作業相關事宜。 3.4 稽核小組：由○○（政風、秘書、人事等）擔任，負責規劃及執行資訊安全管理作業稽核工作。 3.5 全體人員（含委外廠商）：配合及遵守資訊安全各項要求及規定。 4 相關文件 4.1 教育體系資通安全管理規範 4.2 資訊安全政策 4.3 保密切結書 4.4 外部連絡清單 4.5 資訊服務申請表 4.6 委外廠商保密切結書 4.7 資訊安全事件報告單 4.8 人員安全守則 5 作業說明 5.1 資訊安全組織 5.1.1 資訊安全長須每年至少召開一次資訊安全管理審查會議，討論內容包括如下： 5.1.1.1 資訊安全稽核與審查之結果。 5.1.1.2 來自利害相關者之回饋。 5.1.1.3 可用於組織以改進資訊安全績效與有效性之技術、產品或程序。 5.1.1.4 預防與矯正措施之執行狀況。 5.1.1.5 資安政策目標達成性衡量結果。 5.1.1.6 前次相關會議結論之跟催結果。 5.1.1.7 可能影響資訊安全管理作業之任何變更。 5.1.1.8 加強或改進資訊安全的其他各項建議。 5.1.2 管理審查會議討論結果應包含： 5.1.2.1 資安政策目標之改進。 5.1.2.2 因為下列項目之變更，所進行之因應措施。 5.1.2.2.1 各項營運要求。 5.1.2.2.2 各項安全要求。 5.1.2.2.3 影響既有各項營運要求之營運過程。 5.1.2.2.4 法律或法規各項要求。 5.1.2.2.5 契約的各項義務。 5.1.2.3 資源需求。 5.1.3 管理審查會議應留存相關會議紀錄備查。 5.1.4 資訊處理設備之使用，應具授權程序。 5.1.5 本校教職員應簽署「保密切結書」（如附件一），課予機密維護責任。 5.1.6 為確保資訊安全作業的順利運行，應建立能與相關外部團體（警消單位、主管機關、廠商等）即時連繫之「外部連絡清單」（如附件二）。 5.1.7 任何資訊委外業務，皆應考量與包含資訊安全需求，且明訂廠商之資訊安全責任及保密規定，並列入契約。 5.2 資訊資產分類與管制 5.2.1 為確實掌控資訊資產現況，各單位須編製資訊資產清冊並定期更新(附件：資訊資產清冊)。 5.2.2 書面報告、磁性媒體、電子訊息及檔案資料等，宜標示適當的安全等級以利使用者遵循。 5.3 人員安全管理與教育訓練 5.3.1 ○○應依主管機關要求，辦理資訊安全教育訓練及宣導，強化教職員資訊安全認知，必要時，應請委外廠商人員一同參與資訊安全教育訓練。 5.3.2 人員離職，須依流程辦理資訊資產移交，並即時移除相關存取權限。 5.3.3 各單位若有資訊服務需求（如：帳號申請、電腦維修、系統開發或程式修改等），應填寫「資訊服務申請表」（附件三），經權責主管核准後，交由資訊單位依需求處理。 5.3.4 本校教職員工之資訊安全管理相關規定，須遵守「人員資訊安全守則」。 5.3.5 本校委外廠商所執行之業務，若涉及個人隱私資料，承辦人員應要求其簽訂「委外廠商保密切結書」（附件四）。 5.3.6 對於委外廠商提供之服務，承辦人員應監視和審查，確認服務內容滿足合約之要求。 5.3.7 委外廠商(人員)異動、合約到期或其他因素服務終止時，承辦人員須確認其歸還各項設備、軟體、文件或鑰匙等，並取消或調整存取權限。 5.4 實體與環境安全 5.4.1 學校應採取適當防護措施以保障人員辦公處所安全。 5.4.2 重要資訊設施應設置於機房，並確保經授權人員方可進出。 5.4.3 機房應採取適當的控制措施與指引，確保其安全性。 5.4.4 機房內應保持整齊清潔，並嚴禁飲食或堆置易燃物。 5.4.5 機房宜設置足量之不斷電系統（UPS），確保重要資訊設備在非預期斷電情況下能具足夠電源完成緊急處置。 5.4.6 冷氣機、不斷電系統（UPS）等機電設備之使用，應依照設備說明書指示操作，並施行檢查作業。 5.4.7 資訊設備報廢與再使用時，應將含有個人隱私資料及有版權的軟體移除。 5.4.8 禁止資訊設備在未經授