資通安全作業實施要點

臺北市立蘭雅國中資通安全作業實施要點

一、本要點依據台北市教育局100年4月28日教資字第10036699901號函修訂。

二、資訊安全管理事項由校長負責協調及推動，由資訊組，統籌資訊安全政策、計畫、資源調度等事項之協調、研議。

三、人員管理及資訊安全教育訓練：

1、對資訊相關職務及工作人員，應進行安全評估，並依其任務之適任性進行必要之考核。

2、對可存取機密性與敏感性資訊或系統之人員，及因工作需要須配賦系統管理權限之人員，應加強評估及考核。

3、資訊單位得依業務及資訊等不同工作類別，視實際需要辦理資訊安全教育訓練及宣導，建立員工資訊安全認知，提升機關資訊安全水準。

4、各單位應加強資訊安全管理人力之培訓提升資訊安全管理能力。

5、對負責重要資訊系統之管理、維護、設計及操作之人員，應妥適分工，分散權責，並視需要建立人力備援制度。

6、各單位主官（管）（含業務主管），須負責督導所屬員工之資訊作業安全，防範不法及不當行為。

四、電腦系統安全管理：

1、辦理資訊業務委外作業，須明定廠商之資訊安全責任及保密規定，並列入契約，要求廠商遵守並定期考核。

2、對於系統變更作業或更新功能，由資訊組執行控管並詳細紀錄，以備查考。

3、各系統伺服器所存放之機房須由資訊組專人專責管理，並嚴禁無關人員進出。

五、網路安全管理：

1、各系統伺服器與外界網路連接之網點，須設立防火牆以控管外界與內部網路之資料傳輸及資源存取，必要時應以代理伺服器等方式提供外界存取資料，避免外界直接進入資訊系統或資料庫存取資料。

2、各單位使用電子郵件傳輸公務文件及資料須加密碼保護，機密性資料及文件，不得以電子郵件或其他電子方式傳送。

3、開放外界連線作業，須由資訊單位事前與連線單位簽訂契約或協定，限制系統可運作之權限，並明定應遵守之資訊安全規定、程序及應負之責任。

六、系統存取控制管理：

1、登入各作業系統時，依各級人員執行法定任務所必要之系統存取權限，由資訊組系統管理人員設定應賦予權限之帳號與密碼，並於三個月內須更換一次。

2、對離（休）職人員，須立即取消使用各項資訊資源所有權限，並列入人員離（休）職之必要手續。

3、對擁有系統存取特別權限之資訊組人員，由資訊組長加強安全控管，並縮短密碼更新周期為兩個月。

4、各單位之重要資料如需委外建檔者，不論在學校內外執行，均由資訊組與委外廠商簽訂適當之安全管制合約，防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。

七、系統發展及維護安全管理：

1、各單位自行開發或委外發展系統，須在系統開發初期階段，即將資訊安全納入考量；系統之維護、更新、上線執行及版本異動作業，應予安全管制，避免不當軟體、暗門及電腦病毒等危害系統安全。

2、對委外廠商之軟硬體系統建置及維護人員，應規範及限制其可接觸之系統與資料範圍，並嚴禁資訊單位核發長期性之系統辨識碼及通行密碼。

3、對委外廠商或系統維護人員基於實際作業需要，資訊單位得核發短期性及臨時性之系統辨識及通行密碼供廠商使用，惟使用完畢後應立即取消其使用權限。

4、各單位委託廠商建置及維護重要軟硬體設施時，應在各單位系統管理人員與資訊單位人員監督及陪同下始得為之。

5、作業系統要經常注意相關修補漏洞訊息。

 

八、資訊資產安全管理：

1、為防斷電時造成系統毀損或資料流失，主機房須配置不斷電系統因應斷電時有足夠時間做存檔與正常關機。

2、不使用來源不明之磁片。

3、不使用非經許可之軟體程式。

4、電腦設備須裝置防毒軟體，並開啟於即時掃瞄狀態；對所收電子郵件之附加檔案更須先經過掃瞄確定安全後始得開啟。

5、網路主機須設置防火牆。

6、個人文件檔案存檔時須養成加密保護習慣，若檔案需提供網路共享則必須加密保護。

九、實體及環境安全管理：

1、資訊組就系統伺服器主機設備安置於主機房，由資訊組專責管理，並管制非相關人員隨意進出。

2、主機房須設置空調恆溫控制，並配置適量之化學消防設施。

3、若非資訊單位人員或維修人員，不得自行拆卸電腦機殼及更換內部零組件。

十、業務永續運作計畫管理：

1、為因應各種人為及天然災害造成業務運作受影響，資訊組須於系統中安裝救援回復軟體並將資料庫定期異地備份。

2、各單位在發生資訊安全事件時，依本校資安通報流程並應立即向權責主管單位(教育局網路中心及教育機構資安通報平台)通報，並聯繫檢警調單位協助偵查。

十一、本計畫如有未盡事宜，得隨時修正補充之。