資通安全教育訓練
目的
確保本校所屬之資訊資產機密性、完整性及可用性,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。
適用範圍
本校校內電腦、資訊與網路服務相關的系統、設備、程序及人員,包含合約廠商及其它經授權使用之人員。
資安政策
1.維護本校資訊之機密性、完整性與可用性,保障使用者資料隱私。
2.保護本校網路資訊,避免未經授權的存取與修改。
3.本校業務執行須符合相關法令及法規之要求。
4.建立資訊業務永續運作計畫,確保本校業務永續運作。
實施原則
1.網路安全
A.本校與外界連線,僅限於經由教育局資訊中心之管控,以符合一致性與單一性之安全要求,並禁止以電話線連結主機電腦或網路設備。
B.網路安全管理服務委外廠商合約之安全要求委外開發或維護廠商必須簽訂安全保密切結書。
2.系統安全
A.本校內的個人電腦
a.應裝置防毒軟體,將軟體設定為自動定期更新病毒碼;或由伺服器端進行病毒碼更新的管理。
b.應定期(至少每個月)進行如「Windows Update」之程式更新作業,以防範作業系統之漏洞。
c.新系統啟用前,應經過掃毒與更新系統密碼程序,以防範可能隱藏的病毒或後門程式。
d.個人電腦所使用的軟體應有授權,嚴禁安裝各種非法軟體。
B.資料備份
a.本校系統管理人員需針對本校重要系統(例如系統檔案、應用系統、資料庫等)定期進行備份工作,或採用自動備份機制;建議週期為每週進行一次。
C.操作員日誌
a.本校系統管理人員需針對敏感度高、或包含特殊資訊的電腦系統進行檢查、維護、更新等動作時,應針對這些活動填寫日誌予以紀錄,作為未來需要時之檢查。
b.日誌內容可包含(系統例行檢查、維護、更新活動的起始時間、系統錯誤內容和採取的改正措施、紀錄日誌項目人員姓名與簽名欄)
D.使用者註冊
a.本校新進人員,資訊人員(目前由人事主任負責)將會以教育局資訊中心郵件系統之帳號,註冊至本校各應用系統上,再由使用者自訂其密碼。若使用者有其特殊需求,也可另行單獨申請變更。
b.本校人員離職後,資訊人員(目前由人事主任負責)應立即註銷該員在各應用系統的帳號及使用權。
c.本校資訊人員,必須妥善管理各應用系統之使用者帳號。
※每人使用唯一的使用者識別碼(ID)
※檢查使用者是否經過系統管理單位之授權使用資訊系統或服務
※保存一份包含所有識別碼註冊的記錄
※使用者調職或離職後,應移除其識別碼的存取權限
※定期檢查並取消多餘的使用者識別碼和帳號(建議每學期)
※定期檢查新增之帳號,若有莫名帳號產生,應關閉帳號權限,並依通報程序請求處理(建議每學期)
E.特權管理
本校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明,應予以文件化記錄備查
F.密碼之使用
a.本校各資訊系統與服務應避免使用共同帳號及密碼
b.因特殊需要擁有多個帳號時,可考慮使用一組複雜但相同的密碼
c.設定各應用系統的帳號密碼時,請遵循以下原則
※混合大寫與小寫字母、數字,特殊符號
※密碼越長越好,最短也應該在8個字以上
※至少每三個月改一次密碼
※使用技巧記住密碼(使用字首字尾記憶法、中文輸入按鍵記憶法)
d.設定各應用系統的帳號密碼時應該避免的作法
※嚴禁不設密碼、與帳號相同或與主機名稱相同
※不要使用與自己有關的資訊,例如學校或家裡電話、親朋好友姓名、身份證號碼、生日等
※不重覆電腦鍵盤上的字母
※不使用連續或簡單的組合的字母或數字
※避免全部使用數字
※不使用難記以至必須寫下來的密碼
※避免使用字典找得到的英文單字或詞語
※不要使用電腦的登入畫面上任何出現的字
※不分享密碼內容給任何人,包括男女朋友、職務代理人、上司等
G.原始程式庫之存取控制
學校與系統廠商間的合約應加註對原始程式庫安全之要求,並防範資料庫隱碼(SQL-injection)問題,針對存取資料庫程式碼之輸入欄位進行字元合理性檢查
H.通報安全事件與處理
a.本校發生資安事件之處理流程圖
b.資通安全事件包括:任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等
3.實體安全
A.設備安置及保護
a.本校重要的資訊設備(如主機機房)應置於設有空調空間
b.本校資訊設備主機機房、電腦教室區域,應設置滅火設備,並禁止擺放易燃物、或飲食
c.本校資訊設備主機機房、電腦教室區域內的電源線插頭應有接地的連結、或有避雷針等裝置,避免如雷擊事件所造成損害情況
d.本校資訊設備主機機房、電腦教室區域,應至少於入出口處加裝門鎖或其他同等裝置
B.電源供應
本校重要的資訊設備(如主機機房)應有適當的電力設施,例如設置UPS、電源保護措施,以免斷電或過負載而造成損失
C.纜線安全
本校資訊設備主機機房、電腦教室區域內應避免明佈線
D.設備與儲存媒體之安全報廢或再使用
所有包括儲存媒體的設備項目,在報廢前,應先確保已將任何敏感資料和授權軟體刪除或覆寫
E.設備維護
a.應與設備廠商建立維護合約
b.廠商進入安全區域需簽訂安全保密切結書
F.財產攜出
a.未經授權不應將學校的資訊設備、資訊或軟體攜出所在地
b.當有必要將設備移出,應檢視相關授權,並實施登記與歸還記錄
G.桌面淨空與螢幕淨空政策
a.結束工作時,所有學校教職員工應將其所經辦或使用具有機密或敏感特性的資料(例如公文、學籍資料等)及資料的儲存媒體(如USB隨身碟、磁碟片、光碟等),妥善存放
b.本校職員工使用的個人電腦應設定個人密碼以及螢幕保護措施
4.人員安全
A.資通安全教育與訓練
a.本校資通安全長,每年至少要有十八小時的資通安全相關教育訓練,使其有足夠能力執行日常基礎之資安管理系統維護工作,並使其瞭解資安事件通報之程序
b.其他教職員工每年至少要有六小時,參與資通安全教育訓練或宣導活動,以提昇資通安全認知
5.個資保護
A.本校應就法律允許下,因公務需求所蒐集、處理及保存的個人資料,公佈以下項目至學校網站上。
a.個人資料檔案名稱
b.保有機關名稱及聯絡方式
c.個人資料檔案保有之依據及特定目的
d.個人資料之類別
B.本校教職員工必須遵守個資法規定,不得以任何理由,在沒有法源依據或違反當事人的意願下任意蒐集或洩露他人個資
C.個資法實施後,本校辦理各項活動之因應措施
a.本校在辦理任何公開活動,會有蒐集、處理甚至公佈部份個資(例:姓名)時,必須在活動辦法及報名表中,陳述「本校之機關名稱」、「蒐集用途」及「使用地區和期限」,在經「當事人同意」並報名後始得蒐集。若有公佈的需求時,必須加註「將會公佈本活動優勝人(學)員名單」字樣。所蒐集的個資,必須於宣告期限後予以銷毀。
b.本校承辦業務人員,必須妥善保護各項個人資料,並在活動辦法及報名表中註明「本校將會善盡保管之責」字樣。
近期迴響