资讯安全管理作业要点.PDFVIP

資訊安全管理作業要點 104 年2月 24日校務會議通過 一、目的 為確保私立正德高級中學(以下簡稱本校資訊安全管理作業推行，符合資訊安全政策) 之目標，特訂定本作業要點。 二、適用範圍 本作業要點適用之管理範圍為本校教職員工與學生個人資料處理及其相關資訊服務。 三、權責 1.資訊安全長：由副校長擔任，負責綜理資訊安全管理作業協調與督導工作。 2.資訊安全官：由圖書館主任擔任，負責規劃及管理資訊安全管理作業相關事宜。 3. 執行小組：由資訊媒體組長擔任，負責執行資訊安全管理作業相關事宜。 4. 稽核小組：由教務主任、學務主任、輔導主任、實習主任、總務主任、會計主任、 人事主任擔任，負責規劃及執行資訊安全管理作業稽核工作。 5. 全體人員含委外廠商( ) ：配合及遵守資訊安全各項要求及規定。 四、相關文件 1.保密切結書附件一( ) 2. 外部連絡清單附件二( ) 3.資訊資產清冊附件三( ) 4. 資訊服務申請表附件四( ) 5. 委外廠商保密切結書附件五( ) 6.設備進出記錄表附件六( ) 7.異常事件記錄表附件七( ) 8.資訊安全事件報告單附件八( ) 9.資訊安全政策附件九( ) 10. 學校人員安全守則附件十( ) 五、作業說明 (一資訊安全組織) 1.資訊安全長須每年至少召開一次資訊安全管理審查會議，討論內容包括如下： (1)資訊安全稽核與審查之結果。 (2)來自利害相關者之回饋。 (3)可用於組織以改進資訊安全績效與有效性之技術、產品或程序。 (4)預防與矯正措施之執行狀況。 (5)資安政策目標達成性衡量結果。 (6)前次相關會議結論之跟催結果。 (7)可能影響資訊安全管理作業之任何變更。 1 (8)加強或改進資訊安全的其他各項建議。 2.資訊安全管理審查會議討論結果應包含： (1)資安政策目標之改進。 (2)因為下列項目之變更，所進行之因應措施。 各項營運要求。 各項安全要求。 影響既有各項營運要求之營運過程。 法律或法規各項要求。 契約的各項義務。 (3)資源需求。 3.資訊安全管理審查會議應留存相關會議紀錄備查。 4. 資訊處理設備之使用，應具授權程序。 5. 本校教職員應簽署「保密切結書」詳附件一( ) ，課予機密維護責任。 6. 為確保資訊安全作業的順利運行，應建立能與相關外部團體警消單位、主管( 機關、廠商等即時連繫之「外部連絡清單」詳) 附件二( ) 。 7. 任何資訊委外業務，皆應考量與包含資訊安全需求，且明訂廠商之資訊安全 責任及保密規定，並列入契約中。 (二資訊資產分類與管制) 1. 為確實掌控資訊資產現況，總務處必須協助各單位編製資訊資產清冊並定期 更新「資訊資產清冊」詳附件三( ) 。 2.資訊資產應進行分級，各類資訊資產依據機密等級分為 4 級：一般、限閱、 敏感、機密。各級之評估標準如下： (1)一般：無特殊之機密性要求，可對外公開之資訊。 (2)限閱：僅供組織內部人員或被授權之單位及人員使用。 (3)敏感：僅供組織內部相關業務承辦人員及其主管，或被授權之單位及人員 使用。 (4)機密：為組織、主管機關或法律所規範之機密資訊。