基隆深澳国民小学资讯安全管理作业规范.pdf

基隆市深澳國民小學資訊安全管理作業規範 一、 依據 教育部教育部103年3月20日臺教資 (四)字第1030041378號函 「國中、小 學資通安全管理系統實施原則」。 二、目標 有效降低校園資訊安全事件發生、落實資訊安全事件回報機制及處理、 提高資訊安全素養。 校園資訊安全事件如資訊設備失竊、機敏資料外洩、違反智財權相關 法令或電腦處理個人資料保護法規定、任何來自網路的駭客攻擊、病毒感 染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。 三、 適用範圍 本校內電腦、資訊與網路服務相關的系統、設備、程序及人員。 四、資訊安全組織成員及職掌 1. 資訊安全長兼召集人： 校長 蕭玉盞 負責統籌及督導資訊安全業務 。 2.副召集人：教務 （導）主任溫洪廣 協助召集人承辦交辦事項與相關行政工作。 3. 資訊安全聯絡人 (5位 ) ： 校長、教導主任、總務主任、資訊組長 (教師) 、教學組長 負責資安事件通報與危機處理。 1 4. 資訊 安全工作小組：各處室主任、資訊組長(教師)負責審議本校資通安全 管理作業規範、共同推動管制校園及各行政處室之資訊安全工作。 五、實施原則 1.網路安全 1.1網路控制措施  學校與外界連線，應僅限於經由市網中心之管控，以符合一致性與單一性之安 全要求。  校內特殊系統(如：會計系統、人事系統、校護系統、出納帳管系統…..)之資料， 如有透過網路進行傳輸機制 ，應透過加密連線模式。  禁止校內教職員生及校外人士自行架接有線及無線網路設備(Wireless AP) 。  校內教職員欲使用無線網路，統一採市網中心的OpenID 控管機制。  如校內教師職員有特定網路需求，應向資訊組長(教師)提出架接或安裝的申請 (文件編號A-6) 。 1.2網路安全管理服務委外廠商合約之安全要求  委外開發或維護廠商必須簽訂安全保密切結書（文件編號 A-1 ）。 2. 系統安全 2.1職責區分  校內 公用的電腦可依個別應用系統之需要，設置專屬 主機，例如網路服務主機 （電子郵件、網站主機）、無硬碟系統主機….. 。  校內特殊系統(如：會計系統、人事系統、校護系統、出納帳管系統…..)應由其 業務承辦人(如會計系統的承辦人是會計主任自行負責管理維護，或由其業務) 承辦人逕洽 維護廠商或專業人員管理維護，維護廠商或人員必須簽訂安全保密 切結書（文件編號A-1 ）。 2.2 對抗惡意軟體、電腦病毒及特洛依木馬程式  學校內公用的個人電腦含筆記型電腦( 所使用的軟體應有授權。)  學校內公用個人電腦含筆記型電腦( )應裝設防毒軟體，並設定自動更新病毒定 2 義檔；定期(至少每週一次)進行系統更新作業(如：Windows Update) ，以防範作 業系統之漏洞。 2.3資料備份  資訊組長 (教師)應針對校內重要的系統主機，如：學校網站、學生網站、無硬 碟系統 …進行資料備份，備份頻率每週至少一次 ，並登載於備份紀錄表（文件 編號 A-5 ）中，每年並需測詴一次備份的資料是否能回復。 2.4操作日誌  資訊組長 (教師)針對校內重要的系統主機，如：學校網站、學生網站、無硬碟 系統進行檢查、維護、更新等動作時，應針對這些活動填寫日誌 (文件編號 A-2) 予以紀錄，作為未來需要時之檢查。  日誌內容可包含以下各項：  系統例行檢查、維護、更新活動的起始時間  系統錯誤內容和採取的改正措施。  紀錄