国中小学资通安全管理完整系统实施原则.docVIP

國中、小學資通安全管理系統實施原則 中 華 民 國 9 年 月 日國中、小學資通安全管理系統實施原則 文件目標 本文件國中、小學。 適用範圍 國中、小學系統、設備、程序、及人員。 網路安全 網路控制措施 學校與外界連線，應僅限於經由縣網中心之管控，以符合一致性與單一性之安全要求。 學校內特殊系統（例如會計系統） 應禁止以電話線連結主機電腦或網路設備。 網路安全管理服務委外廠商合約之安全要求 委外開發或維護廠商必須簽訂安全保密。 系統安全 職責區隔 學校主機電腦依個別應用系統之需要，設置專屬電腦，例如電子郵件、網站主機、。學校財務、人事、公文系統等 對抗惡意軟體、隱密通道及特洛依木馬程式 學校內的個人電腦應： 裝置防毒軟體，將軟體設定為自動定期更新病毒碼；或由伺服器端進行病毒碼更新的管理 進行如「Windows Update」之作業，以防範作業系統之漏洞 新系統啟用前，應經過掃毒程序，以防範可能隱藏的病毒或後門程式。 資料備份 需針對學校重要系統（例如系統檔案、應用系統、資料庫等）定期進行備份工作，建議週期為每一次。 操作員日誌 針對敏感度高、或包含特殊資訊的電腦系統進行檢查、維護、更新等動作時，應針對這些活動填寫日誌予以紀錄，作為未來需要時之檢查。 日誌內容可包含以下各項： 系統例行檢查、維護、更新活動的起始時間 系統錯誤內容和採取的改正措施 紀錄日誌項目人員姓名與簽名欄 資訊存取限制 學校內所共用的個人電腦應以特定功能為目的，並設定特定安全管控機制（例如限制從網路下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取等）。 使用者註冊 學校應制定電腦系統使用的使用者註冊及註銷程序，透過該註冊及註銷程序來控制使用者資訊服務的存取，該作業應包括以下內容： 使用唯一的使用者識別碼（ID） 檢查使用者是否經過系統授權使用資訊系統或服務 保存一份包含所有識別碼註冊的記錄使用者調職或離職後，應移除其識別碼的存取權限 定期檢查並取消多餘的使用者識別碼和帳號 特權管理 電腦與網路系統資訊存取特權應予以記錄。 通行碼之使用 管制使用者第一次登入系統時，必須立即更改預設通行碼 資訊系統與服務應避免使用共同帳號。 由學校發佈通行碼（Password）使用規則給使用者優質通行碼設定原則，內容應包含以下各項： 使用者應該對其個人所持有通行碼盡保密責任 要求使用者的通行碼設定，避免使用易於猜測之數字或文字，例如生日、名字、鍵盤上聯繫的字母與數字（如12345 或 asdfg），以及過多的重複字元等。 因特殊需要擁有多個帳號時，可考慮使用一組複雜但相同的通行碼。 原始程式庫之存取控制 學校與系統廠商間的合約應加註原始程式庫安全之要求 通報安全事件與處理 資訊安全事件包括：任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。 學校應建立資訊安全事件通報程序安全事件通報包括學校內部通報，以及與所屬縣市網路中心的通報。學校內部無法處理之資通安全事件，應通報其所屬縣市網路中心。 所訂出資訊安全事件通報程序應公布於校園內使用電腦與網路之場所，提供使用者瞭解。  實體安全 設備安置及保護 學校重要的資訊設備（如主機機房）應置於設有空調空間。 學校資訊設備主機機房、電腦教室區域，禁止擺放易燃物、或飲食。學校資訊設備主機機房、電腦教室區域學校資訊設備主機機房、電腦教室區域，應至少於入出口處加裝門鎖或其他同等裝置。 電源供應 學校重要的資訊設備（如主機機房）應適當的電力設施設置UPS電源保護措施，以免斷電或過負載而造成損失。 纜線安全 學校資訊設備主機機房、電腦教室區域避免明佈線。 設備與儲存媒體之安全報廢或再使用 所有包括儲存媒體的設備項目，在報廢前，應先確保已將任何敏感資料和授權軟體刪除或覆寫。設備維護 應與設備廠商建立維護合約。 廠商進入安全區域需簽訂安全切結書。財產攜出 桌面淨空與螢幕淨空政策 結束工作時，所有學校教職員工應將其所經辦或使用具有機密或敏感特性的資料（例如公文、學籍資料等）及資料的儲存媒體（如USB隨身碟、磁碟片、光碟等），妥善存放。 學校提供教職員工或學生使用的個人電腦應設定保護裝置，如個人鑰匙、個人密碼以及螢幕保護。 人員安全 將安全列入工作執掌中 應將資訊安全納入教職員手冊說明中， 應對以下各項相關法令有基礎之認知 智慧財產權 經濟部智慧財產局 .tw/ 著作權法 .tw/copyright/copyright_law/copyright_law_92.asp 個人資訊的資料保護及隱私 電腦處理個人資料保護法.tw/bulletin/menu4-7/93year/pcinfo.doc 電子簽章法 電子簽章法.tw/~meco/doc/ndoc/s5_p05.htm 電子簽章法施行細則.tw/~meco/doc