资通安全管理规范-溪州国民小学.PDF

彰化縣溪州國民小學 資通安全管理 參考文件 中 華民 國 104 年 4 月 01日 溪州國民小學資通安全管理規範 Page 1 一、目標 本規範為規定彰化縣 立溪州國民小學（以下簡稱本校）資通安全管理作業實 施方式，以增進資訊作業之安全性，確保學校資料之機密性、完整性與可用性 。 二、 適用範圍 本校電腦、資訊與網路服務相關的 系統、設備、程序、及人員。 三、實施規定 1. 網路安全 1.1 網路控制措施  本校與外界連線，應僅限於經由教育研究發展中心教育網路組之管控， 以符合一致性與單一性之安全要求。  應禁止以電話線連結主機電腦或網路設備。 1.2 服務委外廠商合約之安全要求  委外開發或維護廠商必須簽訂安全保密切結書（切結書格式參見文件編 號 A-9 ）。 2. 系統安全 2.1 職責區隔  本校伺服器 主機可依個別應用系統之需要，設置專屬電腦，例如網路服 務主機（例如網站主機 、學籍系統主機）、校內行政業務主機（例如網 路硬碟 主機）。  本校的行政系統主機（例如財務、人事、公文系統等 ）電腦，由教育研 究發展中心或縣政府 等單位統籌管理。 2.2 對抗惡意軟體、隱密通道及特洛依木馬程式  本校內的個人電腦應： - 裝置防毒軟體，將軟體設定為自動定期更新病毒碼。 - 設定 「Windows Update 」之程式更新作業，以防範作業系統之漏洞 。  本校內個人電腦所使用的軟體應有授權。 溪州國民小學資通安全管理規範 Page 2  新伺服器 系統啟用前，應經過掃毒與更新系統密碼程序，以防範可能隱 藏的病毒或後門程式。 （伺服主機啟用與報廢申請單格式參見文件編號 A-1） 2.3 資料備份  本校系統管理人員需針對學校重要系統（例如系統檔案、網站 、資料庫 等）定期進行備份工作或採用自動備份機制 ，週期為每週至少進行一 次；並應使用設備執行異地備份或使用光碟、隨身碟或外接式硬碟異地 執行異地存放。 2.4 操作員日誌  本校系統管理人員需針對重要的電腦系統進行檢查、維護、更新等動作 時，應針對這些活動填寫日誌予以紀錄，作為未來需要時之檢查。 （資 訊工作日誌 文件參見文件編號A-2 ） 2.5 資訊存取限制  本校內所共用的個人電腦應以特定功能為目的，並設定特定安全管控機 制（例如限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制 特定資料的存取等）。 2.6 使用者註冊  人員報到或離退職應會辦資訊組長，資訊組長應執行電腦系統使用的使 用者註冊及註銷程序，透過該註冊及註銷程序來控制使用者資訊服務的 存取，該作業應包括以下內容： - 使用唯一的使用者識別碼（ ID ）。 - 檢查使用者是否經過系統管理單位之授權使用資訊系統或服務 。 - 保存一份包含所有識別碼註冊的記錄 。 - 使用者調職或離職後，應移除其識別碼的存取權限 。 - 每學期檢查並取消多餘的使用者識別碼和帳號 。 - 每學期檢查新增之帳號，若有莫名帳號產生，應關閉帳號權限。（帳 號申請單格式參見 文件編號A-3 ） 2.7 特權管理  本校的電腦與網路系統資訊 具有存取特權人員清單、及其所持有的權限 說明 ，應予以文件化記錄備查 。（特權帳號清單格式參考文件編號A-4 ） 2.8 通行碼之使用 溪州國民小學資通安全管理規範 Page 3  管制使用者第一次登入系統時，必須立即更改預設通行碼 ，