资讯安全管理要点-内坜高中.PDF

國立內壢高級中學資訊安全管理要點 100 年12 月1 日 主管會報通過 壹、目的 為推動本校各單位強化資訊安全管理，建立安全及可信賴之電子化作 業環境，確保資料、系統、設備及網路安全，特依「行政院及所屬各 機關資訊安全管理要點」訂定本要點。 貳、組織及權責 一、本校由教務主任兼任資訊安全長，並召集成立跨處室之「資訊安 全推行小組」以協調及推動資訊安全管理事項。 二、本校有關資訊安全管理事務依下列原則分工 ： （一）資訊安全政策、計畫及技術規範之研議、建置及評估等事項， 由資訊 媒體組負責辦理。 （二）資料及資訊系統之安全需求研議、使用管理及保護等事項， 由業務單位負責辦理。 （三）資訊機密維護及稽核使用管理事項，由 人事主任會同各單位 主管與資訊媒體組負責辦理。 三、本校每年至少對全校各行政與教學單位進行一次資訊安全稽核。 參、人員管理及資訊安全教育訓練 一、各單位 對資訊相關職務及工作，應進行安全評估，並於人員進用、 工作及任務指派時，審慎評估人員之適任性，並進行必要的考核； 各單位對可存取機密性或敏感性資訊或系統之人員，及因工作需 要須配賦系統存取特別權限之人員，應加強評估及考核。 二、本校不定期辦理資訊安全教育訓練及宣導，建立員工資訊安全認 知。必要時洽請學者專家或專業機關（構）提供顧問諮詢服務。 三、各單位負責重要資訊系統之管理、維護、設計及操作之人員，應 妥適分工，分散權責，建立人力備援制度。 四、各單位主管應負責督導所屬員工之資訊作業安全，防範不法及不 當行為。 肆 、電腦系統安全管理 一、各單位 辦理資訊業務委外作業，應於事前研提資訊安全需求，明 訂廠商之資訊安全責任及保密規定 ，並列入契約，要求廠商遵守 及定期考核，並派員監督。 二、各單位 對系統變更作業，應建立紀錄，以備查考。 三、各單位應依相關法規或契約規定，複製及使用軟體，禁止使用非 法或未獲授權之軟體。 四、各單位應採行必要的事前預防及保護措施，偵測及防制電腦病毒 及其他惡意軟體，確保系統正常運作。 伍 、網路安全管理 一、各單位利用公眾網路傳送資訊或進行交易處理，應遵守「台灣學 術網路管理規範」；並應評估可能之安全風險，確定資料傳輸具 完整性、機密性、身分鑑別及不可否認性等安全需求。 二、本校與外界網路連接之網點，應以防火牆及其他必要安全設施， 控管外界與本校內部網路之資料傳輸與資源存取。 三、各單位開放外界連線作業之資訊系統，應視資料及系統之重要性 及價值，採用資料加密、身分鑑別、防火牆等不同安全等級之技 術或措施，防止資料及系統被侵入、破壞、竄改、刪除及未經授 權之存取。 四、各單位利用網際網路及全球資訊網公布及流通資訊，應實施資料 安全等級評估，機密性、敏感性及未經當事人同意之個人隱私資 料及文件，不得上網公布。單位網站存有個人資料及檔案者，應 加強安全保護措施，防止個人隱私資料遭不當或不法之竊取使 用。 五、機密性資料及文件，不得以電子郵件或其他電子方式傳送。機密 性資料以外之敏感性資料及文件，如有電子傳送之需要，應視需 要以適當的加密或電子簽章等安全技術處理。 陸、系統存取控制 一、各單位賦予各級人員必要的系統存取權限，應以執行法定任務所 必要者為限。對被賦予系統管理最高權限之人員及掌理重要技術 及作業控制之特定人員，應經審慎之授權評估。 二、各單位 離（休）職人員，應立即取消使用單位內各項資訊資源之 所有權限，並列入單位 人員離（休）職之必要手續。單位 人員職 務調整及調動，應依系統存取授權規定，限期調整其權限。 三、對機關內外擁有系統存取特別權限之人員，應建立使用人員名冊， 加強安全控管。 四、各單位 對系統服務廠商以遠端登入方式進行系統維修者，應加強 安全控管，並建立人員名冊，課其相關安全保密責任。 五、各單位 之重要資料委外處理 ，不論在學校內外執行，均應採取適 當及足夠之安全管制措施，防止資料被竊取、竄改、販售、洩漏 及不當備份等情