台南市大同国小资讯安全管理暨部稽核计画_002.docVIP

台南市大同國小資訊安全管理暨內部稽核計畫 目的 本校為強化資訊安全管理、確保資訊的機密性、完整性與可用性、資訊設備（包括電腦硬體、軟體、週邊）與網路系統之可靠性以及同仁對資訊安全之認知，並確保上述資源免受任何因素之干擾、破壞、入侵、或任何不利之行為與企圖，特訂定本計劃。 為統一資訊安全管理等事項之協調、規劃、稽核及推動，成立資訊安全內部稽核小組，本小組由校長擔任小組總召集人，資訊組長為實施負責人，各處室主任及幼稚園園長為處室督導組長。 (組織編組表如附件一) 依據 1.「行政院及所屬各機關資訊安全管理要點」。 2.「政風機構維護公務機密作業要點」 實施內容 (一)依下列分項原則，配賦適當之人員其權責： 資訊安全政策、計畫及技術規範之研議、建置及評估等事項。 資料及資訊系統之安全需求研議、管理及保護等事項。 資訊機密維護及安全稽核等事項。 (二)本計劃訂定相關管理規範或實施計畫，並定期評估實施成效： 人員管理及資訊安全教育訓練。 電腦系統安全管理。 網路安全管理。 系統存取控制。 資訊資產安全管理。 實體及環境安全管理。 　 詳細管理規範如下: （一）、人員管理及資訊安全教育訓練 對資訊相關職務及工作，應進行安全評估，並於人員進用、工作及任務指派時，審慎評估人員之適任性。各處室主任應負責督導所屬本校教職員生之資訊作業安全，防範不法及不當行為。 針對管理、業務及資訊及教學等工作，定期辦理資訊安全教育訓練及宣導，建立本校教職員生資訊安全認知，提升資訊安全水準。 （二）、電腦系統安全管理 辦理資訊業務委外作業，應於事前研提資訊安全需求，明訂廠商之資訊安全責任及保密規定，並列入契約，要求廠商遵守並定期考核。 依相關法規或契約規定複製及使用軟體，並建立軟體使用管理制度。 採行必要的事前預防及保護措施，偵測及防制電腦病毒及其他惡意軟體，確保系統正常運作。 對各種系統變更作業，應建立控管制度，並建立紀錄，以備查考。 採購資訊軟硬體設施，應依校標準或權責主管訂定之政府資訊安全規範，研提資訊安全需求，並列入採購規格。 （三）、網路安全管理 開放外界連線作業之資訊系統，應視資料及系統之重要性及價值，採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施，防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。 與外界網路連接之網點，應以防火牆及其他必要安全設施，控管外界與內部網路之資料傳輸與資源存取。 利用網際網路及全球資訊網公布及流通資訊，應實施資料安全等級評估，機密性、敏感性及未同意之個人隱私資料及文件，不得上網公布。 訂定電子郵件使用規定，機密性資料及文件不得以電子郵件或其他電子方式傳送。 為避免網路使用者不慎違反本校相關網路安全規定，網路管理人員可考慮以相關網路技術以不干擾正常網路使用為原則下，主動管制違反本校相關網路規定之使用者 。 (校園網路使用規範如附件二) （四）、系統存取控制 訂定系統存取政策及授權規定，並以書面、電子郵件或其他方式告知本校教職員生及使用者之相關權限及責任。 離（休）職人員，應立即取消各項資訊資源之所有權限，並列入離（休）職之必要手續。人員職務調整及調動，應依系統存取授權規定，限期調整其權限。 建立系統使用者註冊管理制度，加強使用者通行密碼管理，使用者通行密碼之更新周期，最長以不超過六個月為原則。 對系統服務廠商以遠端登入方式進行系統維修者，應加強安全控管，並建立人員名冊，課其相關安全保密責任。 建立資訊安全稽核制度，一學期進行資訊安全稽核作業一次。 (資訊安全稽核表如附件三) (五)系統發展及維護安全管理 自行開發或委外發展系統，應在系統生命週期之初始階段，即將資訊安全需求納入考量；系統之維護、更新、上線執行及版本異動作業，應予安全管制，避免不當軟體、暗門及電腦病毒等危害系統安全。 對廠商之軟硬體系統建置及維護人員，應限制其可接觸之系統與資料範圍，。如基於實際作業需要，得核發短期性及臨時性之系統辨識及通行密碼供廠商使用，但使用完畢後應立即取消其使用權限。 委託廠商建置及維護重要之軟硬體設施，應在本校相關人員監督及陪同下始得為之。 (六)、資訊資產安全管理 建立與資訊系統有關的資訊資產目錄，訂定資訊資產的項目、擁有者及安全等級分類等。 依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規，建立資訊安全等級之分類標準，以及相對應的保護措施。 已列入安全等級分類的資訊及系統之輸出資料，應標示適當的安全等級以利使用者遵循。 (七)、實體及環境安全管理 就現有設備、周邊環境及人員使用等，訂定實體及環境安全管理措施。 (如附件四) (八)、業務永續運作計畫之規劃與管理 建立資訊安全事件緊急處理機制，在發生資訊安全事