現在位置: | 首頁 / 興隆國小資訊安全作業規範 |
苗栗縣興隆國小資訊安全作業規範
中華民國106年5月
壹、目的
一、本校為強化資訊安全管理,建立安全及可信賴之電子化辦公室,確保資料、系統、設備及網路安全,確保師生權益,特訂定本作業規範。
貳、通則
一、各處室應依有關法令,考量學校行政或教學目標,進行資訊安全風險評估,確定各項資訊作業安全需求水準,採行適當充足之資訊安全措施,確保各處室資訊蒐集、處理、傳送、儲存及流通之安全。
二、本要點所稱資訊安全政策,指各處室為達成資訊安全目標所既定之資訊安全管理作業規定、措施、標準、規範及行為準則等。
參、資訊安全政策擬訂
一、各處室應依實際業務需求,訂定處室資訊安全作法,並以書面、電子或其他方式告知所屬員工,連線作業之單位或個人及提供資訊服務之廠商共同遵行。
二、各處室之資訊安全,應至少每年評估一次,以反映技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
三、各處室對所屬組、辦公室資訊作業,應進行定期或不定期之資訊安全稽核。
四、各處室應視資訊安全管理需要,指定適當人員負責辦理資訊安全相關事宜。
肆、人員管理及資訊安全教育訓練
一、各處室對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要之考核。
二、各處室主任、組長,應負責督導所屬教職員工之資訊作業安全,防範不法及不當行為。
伍、電腦系統安全管理
一、各處室辦理資訊業務委外作業,應於事前研提資訊安全需求,明定廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
二、各處室對系統變更作業,應建立控管制度,並建立紀錄,以備查考。
三、各處室應依相關法規或契約規定,複製及使用軟體,並建立軟體使用管理制度。
四、各處室應採行必要之事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。
陸、網路安全管理
一、各處室利用公眾網路傳送資訊,應評估可能之安全風險,確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求,並針對資料傳輸、撥接網路、網路線路與設備、接外連接介面及路由器等事項,研擬妥適安全控管措施。
二、各處室開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
三、各處室利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。處室網站存有個人資料及檔案者,應加強安全保護措施,防止個人隱私資料遭不當或不法之竊取使用。
四、各處室應訂定電子郵件使用規定,機密性資料及文件,不得以電子郵件或其他電子方式傳送。
五、各處室採購資訊軟硬體設施,應研擬資訊安全需求,並列入採購規格。
柒、系統存取控制
一、各處室應訂定系統存取政策及授權規定,並以書面、電子或其他方式告知教職員工使用者之相關權限及責任。
二、各處室應依資訊安全政策,賦予各級人員必要之系統存取權限,處室員工之系統存取權限,應以執行法定任務所必要者為限。對被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員,應經審慎之授權評估。
三、各處室離(休)職人員,應立即取消使用處室內各項資訊資源之所有權限,並列入處室人員離(休)職之必要手續。
四、各處室人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
五、各處室開放外界連線作業,應事前簽訂契約或協定,明定其應遵守之資訊安全規定、標準、程序及應負之責任。
六、各處室之重要資料委外建檔者,不論在處室內外執行,均應採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
捌、系統發展及維護安全管理
一、各處室自行開發或委外發展系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
二、各處室對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識及通行密碼。
三、各處室基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。
玖、業務永續運作之規範
一、各處室應建立資訊安全事件危急處理機制,在發生資訊安全事件時,應依規定之處理程序,立即向權責單位或人員通報,採取反應措施。
拾、其他安全措施
一、各處室應依相關法規,採取適當及充足之資訊安全措施。
二、各處室應就設備安置、周邊環境及人員進出管制等,訂定妥善之實體及環境安全管理措施。
拾壹、本作業規範,經資訊小組會議討論通過,校長核定後實施,修正時亦同。