台东初来国小资通安全管理系统.PDF

台東縣初來國小 資通安全管理系統 中 華民 國 106 年 4 月 11日 初來國小管理系統實施原則 Page 1 台東縣初來國 小學資通安全管理系統實施原則 一、 文件目標 為避免校園內部使用相關資訊設備時，因個人操作及其他因素導致重要資料 外洩及設備毀損，特訂立此實施辦法 。 二、 適用範圍 1 校園內電腦、資訊與網路服務相關的 系統、設備、程序、及人員 。 三、實施原則 1. 網路安全 1.1 網路控制措施  學校與外界連線，僅限於經由縣網中心之管控，以符合一致性與單一性 之安全要求。  學校內特殊系統（例如會計系統、學生學籍、成績原始資料系統等）之 資料，當有必要透過網路進行傳輸時，透過虛擬私有網路（Virtual Private Network, VPN）或同等連線方式進行 ；若無透過網路進行傳輸 需求，則區隔於網路之外。  禁止以電話線連結主機電腦或網路設備。 1.2 網路安全管理服務委外廠商合約之安全要求  委外開發或維護廠商必須簽訂安全保密切結書（參考切結書範本，文件 編號 A-1）。 2. 系統安全 2.1 職責區隔  學校主機電腦可依個別應用系統之需要，設置專屬電腦，例如網路服務 主機（電子郵件、網站主機 ）、教學系統主機（例如隨選視訊主機） 。 1 設定此份文件所適用的範圍與名詞定義 初來國小管理系統實施原則 Page 2  學校的行政系統主機（例如財務 、人事、公文系統等）電腦，由教育網 路中心或上級單位統籌管理。 2.2 對抗惡意軟體、隱密通道及特洛依木馬程式  學校內的個人電腦 ： - 裝置防毒軟體，將軟體設定為自動定期更新病毒碼；或由伺服器端 進行病毒碼更新的管理 - 定期（至少每個月，或以其他替代方式）進行如「Windows Update 」 之程式更新作業，以防範作業系統之漏洞  學校內個人電腦所使用的軟體應有授權。  新系統啟用前，應經過掃毒 與更新系統密碼程序，以防範可能隱藏的病 毒或後門程式。 2.3 資料備份  學校或委託( ) 系統管理人員需針對學校重要系統（例如系統檔案、應用 系統、資料庫等）定期進行備份工作，或採用自動備份機制 。 2.4 操作員日誌  學校或委託( ) 系統管理人員需針對敏感度高、或包含特殊資訊的電腦系 統進行檢查、維護、更新等動作時，針對這些活動填寫日誌予以紀錄， 作為未來需要時之檢查。  日誌內容包含以下各項： - 系統例行檢查、維護、更新活動的起始時間 - 系統錯誤內容和採取的改正措施。[參考日誌範本，文件編號A-2] - 紀錄日誌項目人員姓名與簽名欄 2.5 資訊存取限制  學校內所共用的個人電腦應以特定功能為目的，並設定特定安全管控機 制（例如限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制 特定資料的存取等）。 2.6 使用者註冊  學校應制定電腦系統使用的使用者註冊及註銷程序，透過該註冊及註銷 程序來控制使用者資訊服務的存取，該作業應包括以下內容： - 使用唯一的使用者識別碼（ ID ）。 - 檢查使用者是否經過系統管理單位之授權使用資訊系統或服務 。 - 保存一份包含所有識別碼註冊的記錄 。