:::
::: 您的位置:首頁 > 資訊服務 > 計畫、辦法.友善列印,開新視窗
  計畫、辦法  
     
 
推文至 facebook 推文至 plurk  | 回列表 |
計畫、辦法
標題 資通安全管理系統實施辦法
發布日期 2015/1/8
發布單位 教務處-資訊組長
點閱次數 876
詳細內容

 

臺北市文山區木柵國民小學
資通安全管理系統實施辦法
教育部「國中、小學資通安全管理系統實施原則」
適用範圍
     學校內電腦、資訊與網路服務相關的系統、設備、程序、及人員。
     學生用電腦:電腦教室及各專科教室內提供學生操作使用的電腦設備。
     教職員用電腦:教職員工個人專用的教學或行政用電腦設備。
     敎職員公用電腦:各場所中供所有教職員共同使用的電腦設備。
實施原則
          網路安全
 
       網路控制措施
學校與外界連線,完全經由校內防火牆管制,並受市網中心之管控,以符合一致性與單一性之安全要求。
學校內特殊系統(例如會計系統、人事系統、公文系統、校務行政系統等)之資料,當有必要透過網路進行傳輸時,於防火牆設定管制規則。
本校不提供以電話線連結主機電腦或網路設備。
 
       網路安全管理服務委外廠商合約之安全要求
委外開發或維護廠商必須簽訂安全保密切結書( A-1)。
 
          系統安全
       職責區隔
學校主機電腦依個別應用系統之需要,設置專屬電腦,例如:網路服務主機(網站伺服器、檔案伺服器)。
學校的行政系統(例如會計、出納、財產、人事、公文、校務行政系統等),都由臺北市教育網路中心或臺北市政府相關單位統籌管理。
 
       對抗惡意軟體、隱密通道及特洛依木馬程式
學生用電腦:
        使用還原系統,每次開機都會自動還原系統。
        裝置防毒軟體,將軟體設定為自動更新病毒碼。
        不定期進行所有程式之更新作業,以防範所有系統之漏洞。
教師用電腦、敎師公用電腦及伺服器
        裝置防毒軟體,將軟體設定為自動更新病毒碼。
        作業系統設定Windows Update自動更新,以防範作業系統之漏洞。
學校內個人電腦所使用的軟體應有合法授權,並於會議中宣導。
新系統啟用前,須經過掃毒與更新系統密碼程序,以防範可能隱藏的病毒或後門程式。
 
       資料備份
學校(或委託)系統管理人員需針對學校重要系統(例如系統檔案、應用系統、資料庫等)定期進行備份工作,或採用自動備份機制;週期為每月進行一次或資料有更改時同時進行備份。
財產、人事、健康中心、會計、出納..等行政系統,若有本機資料檔案可備份,由該行政人員自行備份,若屬雲端系統,則由臺北市教育網路中心或臺北市政府相關單位統籌資料備份工作。
 
       對抗惡意軟體、隱密通道及特洛依木馬程式
學校內的個人電腦:
        校內建置防毒伺服器,提供校內電腦防毒軟體管控與病毒資料更新。
        電腦主機、伺服器安裝防毒軟體,自動更新病毒碼。
        校內建置Windows Server Update Services (WSUS)伺服器,進行Windows Update」程式更新發佈作業。
        電腦主機、伺服器配合WSUS伺服器,進行微軟發佈「Windows Update」之程式更新作業,以防範作業系統之漏洞。
        電腦教室已安裝還原系統,為因應教學特殊需求,可不安裝防毒軟體,但各種系統更新、漏洞修補程式(如Windows Update)至少每學期更新一次。
學校內個人電腦所使用的軟體應有授權。
新系統啟用前,應經過掃毒與更新系統密碼程序,以防範可能隱藏的病毒或後門程式。
VPN(虛擬私人網路)為重要網路通道,除資訊組長與系統管理人員外,其他人員若需使用,必須申請並由校長同意才可使用。
       資料備份
學校(或委託)系統管理人員需針對學校重要系統(例如系統檔案、應用系統、資料庫等)定期進行備份工作,或採用自動備份機制。
 
       操作重點紀錄
學校(或委託)系統管理人員需針對敏感度高、或包含特殊資訊的電腦系統進行重大改變時,應針對這些活動填寫紀錄,作為未來需要時之檢查。
 
       資訊存取限制
學校內所共用的個人電腦應以特定功能為目的,並設定特定安全管控機制(例如限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取等)。
        安裝還原系統,並設定系統碟為開機還原。
        禁止安裝P2P軟體。
 
       使用者註冊
學校應制定電腦系統使用的使用者註冊及註銷程序,透過該註冊及註銷程序來控制使用者資訊服務的存取,該作業應包括以下內容:
        使用唯一的使用者識別碼(ID)。
        檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。
        保存一份包含所有識別碼註冊的記錄。
        使用者調職或離職後,應移除其識別碼的存取權限。
        每學期檢查並取消多餘的使用者識別碼和帳號。
        每學期檢查新增之帳號,若有莫名帳號產生,應關閉帳號權限,並依通報程序請求處理。
 
       特權管理
學校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明,應予以文件化記錄備查。
 
    通行碼之使用
管制使用者第一次登入系統時,必須立即更改預設通行碼,預設通行碼應設定有效期限。
資訊系統與服務應避免使用共同帳號及通行碼。
由學校發佈通行碼(Password)制定與使用規則給使用者,[參考優質通行碼設定原則與使用原則, A-3],內容應包含以下各項:
        使用者應該對其個人所持有通行碼盡保密責任
        要求使用者的通行碼設定,避免使用易於猜測之數字或文字,例如生日、名字、鍵盤上聯繫的字母與數字(如12345678 或 asdfghjk),以及過多的重複字元等。或建議通行碼應該包含英文字大小寫、數字、特殊符號等四種設定中的三種。
因特殊需要擁有多個帳號時,可考慮使用一組複雜但相同的通行碼。
 
    通報安全事件與處理
資訊安全事件包括:任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。
學校應建立資訊安全事件通報程序[參照安全事件通報程序, A-4 ]以及安全事件通報單[參考安全事件通報單範本,文件 A-5];通報程序應包括學校內部通報,以及臺北市教育網路中心的通報。
所訂出資訊安全事件通報程序公布於學校網站,提供使用者瞭解。
 
          實體安全
       設備安置及保護
學校重要的資訊設備(如主機機房)應置於設有空調空間。
學校資訊設備主機機房、電腦教室區域,應設置滅火設備,並禁止擺放易燃物、或飲食。
學校資訊設備主機機房、電腦教室區域內的電源線插頭應有接地的連結、或有避雷針等裝置,避免如雷擊事件所造成損害情況。
學校資訊設備主機機房、電腦教室區域,應至少於入出口處加裝門鎖或其他同等裝置,非資訊組成員(除總務處外)不得持有機房鑰匙、保全設定卡。
 
       電源供應
學校重要的資訊設備(如主機機房)應有適當的電力設施,例如設置UPS、電源保護措施,以免斷電或過負載而造成損失。
 
       纜線安全
學校資訊設備主機機房、電腦教室區域佈線時,需注意纜線安全。
 
       設備與儲存媒體之安全報廢或再使用
所有包括儲存媒體的設備項目,在報廢前,應先確保已將任何敏感資料和授權軟體已破壞或刪除或覆寫。
 
       設備維護
應與設備廠商建立維護合約。
廠商進入安全區域需簽訂安全保密切結書(文件 A-1 A-7)。
 
       財產攜出
未經授權不應將學校的資訊設備、資訊或軟體攜出所在地。
當有必要將設備移出,應檢視相關授權,並實施登記與歸還記錄。
相關財產之攜出應依學校既有之相關規定處理。
 
       桌面淨空與螢幕保護政策
結束工作時,所有學校教職員工應將其所經辦或使用具有機密或敏感特性的資料(例如公文、學籍資料等)及資料的儲存媒體(如USB隨身碟、磁碟片、光碟等),妥善存放。
學校提供教職員工或學生使用的個人電腦應設定螢幕保護裝置,閒置時間設定為10分鐘以內。
 
          人員安全
       將安全列入工作執掌中
將資訊安全納入教職員手冊說明中,以強化工作上之資訊安全意識。
具有學校電腦與網路系統資訊存取特權之人員,應簽訂安全保密切結書[文件 A-8]。
 
       資訊安全教育與訓練          
使學校(或委託)系統管理人員有足夠能力執行日常基礎之資安管理系統維護工作,並使其瞭解資安事件通報之程序。
學校鼓勵或安排資訊組長/老師/系統管理人員、以及所有教職員參與資訊安全教育訓練或宣導活動,以提昇資訊安全認知。
將資訊安全教育納入學校電腦課程中。
 
          應對以下各項相關法令有基礎之認知
       智慧財產權
經濟部智慧財產局 http://www.tipo.gov.tw/
著作權相關法規
http://www.tipo.gov.tw/ch/Download_DownloadPage.aspx?path=2173&Language=1&UID=9&ClsID=35&ClsTwoID=71&ClsThreeID=0
著作權法 http://www.tipo.gov.tw/ch/AllInOne_Show.aspx?path=1362&guid=a71977ea-6478-4e37-a46a-15497ba7c275&lang=zh-tw
 
       個人資訊的資料保護及隱私
   個人資料保護法
   http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
 
       電子簽章法
電子簽章法
http://law.moj.gov.tw/LawClass/LawContent.aspx?PCODE=J0080037
電子簽章法施行細則http://law.moj.gov.tw/Scripts/newsdetail.asp?no=1J0080039
 
四、本辦法經校長核可後施行,修正時亦同。

相關連結 目前無資料
相關檔案 目前無資料