资讯安全管理作业要点_范本-云林教育网.DOC

資訊安全管理作業要點_範本 機密等級：限閱 版次：v1.0 日期：○○年○○月○○日 1 目的 為確保○○縣○○國民小學（以下簡稱「本校）資訊安全管理作業推行，符合資訊安全政策之目標，特訂定本作業要點。 2 適用範圍 本作業要點適用之管理範圍為本校教職員與學生個人資料處理及其相關資訊服務。 3 權責 3.1 資訊安全長：由○○校長擔任，負責綜理資訊安全管理作業協調與督導工作。 校長 3.2 資訊安全官：由○○教務主任或資訊組長擔任，負責規劃及管理資訊安全管理作業相關事宜。 教務主任或資訊組長 3.3 執行小組：由○○資訊組長、網管人員擔任，負責執行資訊安全管理作業相關事宜。 資訊組長、網管人員 3.4 稽核小組：由○○資訊組長、網管人員（政風、秘書、人事等）擔任，負責規劃及執行資訊安全管理作業稽核工作。 資訊組長、網管人員 3.5 全體人員（含委外廠商）：配合及遵守資訊安全各項要求及規定。 4 相關文件 4.1 教育體系資通安全管理規範 4.2 資訊安全政策 4.3 保密切結書 4.4 外部連絡清單 4.5 資訊服務申請表 4.6 委外廠商保密切結書 4.7 資訊安全事件報告單 4.8 人員安全守則 5 作業說明 5.1 資訊安全組織 5.1.1 資訊安全長須每年至少召開一次資訊安全管理審查會議，討論內容包括如下： 5.1.1.1 資訊安全稽核與審查之結果。 5.1.1.2 來自利害相關者之回饋。 5.1.1.3 可用於組織以改進資訊安全績效與有效性之技術、產品或程序。 5.1.1.4 預防與矯正措施之執行狀況。 5.1.1.5 資安政策目標達成性衡量結果。 5.1.1.6 前次相關會議結論之跟催結果。 5.1.1.7 可能影響資訊安全管理作業之任何變更。 5.1.1.8 加強或改進資訊安全的其他各項建議。 5.1.2 管理審查會議討論結果應包含： 5.1.2.1 資安政策目標之改進。 5.1.2.2 因為下列項目之變更，所進行之因應措施。 5.1.2.2.1 各項營運要求。 5.1.2.2.2 各項安全要求。 5.1.2.2.3 影響既有各項營運要求之營運過程。 5.1.2.2.4 法律或法規各項要求。 5.1.2.2.5 契約的各項義務。 5.1.2.3 資源需求。 5.1.3 管理審查會議應留存相關會議紀錄備查。 5.1.4 資訊處理設備之使用，應具授權程序。 5.1.5 本校教職員應簽署「保密切結書」為確保教職員、學生之個人資料外洩，應針對個人資料保護法進行教育訓練，並簽署「保密切結書」，避免碰觸個人資料法罰則。（如附件一），課予機密維護責任。 為確保教職員、學生之個人資料外洩，應針對個人資料保護法進行教育訓練，並簽署「保密切結書」，避免碰觸個人資料法罰則。 5.1.6 為確保資訊安全作業的順利運行，應建立能與相關外部團體（警消單位、主管機關、廠商等）即時連繫之「外部連絡清單」（如附件二）。 5.1.7 任何資訊委外業務，皆應考量與包含資訊安全需求，且明訂廠商之資訊安全責任及保密規定，並列入契約。 5.2 資訊資產分類與管制 5.2.1 為確實掌控資訊資產現況，各單位須編製資訊資產清冊並定期更新(附件：資訊資產清冊)。 5.2.2 書面報告、磁性媒體、電子訊息及檔案資料等，宜標示適當的安全等級以利使用者遵循。 5.3 人員安全管理與教育訓練 5.3.1 ○○資訊組長或網管人員應依主管機關要求，辦理資訊安全教育訓練及宣導，強化教職員資訊安全認知，必要時，應請委外廠商人員一同參與資訊安全教育訓練。 資訊組長或網管人員 5.3.2 人員離職，須依流程辦理資訊資產移交，並即時移除相關存取權限。 5.3.3 各單位若有資訊服務需求（如：帳號申請、電腦維修、系統開發或程式修改等），應填寫「資訊服務申請表」（附件三），經權責主管核准後，交由資訊單位依需求處理。 5.3.4 本校教職員工之資訊安全管理相關規定，須遵守「人員資訊安全守則」。 5.3.5 本校委外廠商所執行之業務，若涉及個人隱私資料，承辦人員應要求其簽訂「委外廠商保密切結書必要時需對廠商聲明個人資料保護法相關法令。」（附件四）。 必要時需對廠商聲明個人資料保護法相關法令。 5.3.6 對於委外廠商提供之服務，承辦人員應監視和審查，確認服務內容滿足合約之要求。 5.3.7 委外廠商(人員)異動、合約到期或其他因素服務終止時，承辦人員須確認其歸還各項設備、軟體、文件或鑰匙等，並取消或調整存取權限。 5.4 實體與環境安全 5.4.1 學校應採取適當防護措施以保障人員辦公處所安全。 5.4.2 重要資訊設施應設置於機房，並確保經授