國立成功大學附屬臺南工業高級中等學校資訊安全管理要點
中華民國 101年 10月 26 日 行政會議通過
中華民國102年 2 月 20 日 校務會議通過
中華民國 106年 2 月 13 日 校務會議修改
中華民國 108年 5 月 29 日 資訊安全推動管理會議通過
中華民國108年 6 月 28 日 校務會議通過
中華民國109年 1 月 16 日 校務會議通過
中華民國109年 5 月 20 日 資訊安全委員會議修改
中華民國109年 7 月 14 日 校務會議通過
中華民國112年 8 月 1 日 校名修正
中華民國113年 4 月 17 日 校務會議修正
中華民國114年 3 月 26 日 資訊安全委員會議通過
壹、資訊安全政策訂定:
- 依據:資通安全管理法(1070606公布)、資通安全管理法施行細則(1071121發布)、行政院核定之「行政院及所屬各機關資訊安全管理要點」及103年6月11日教育部資訊安全推動管理會設置及資訊安全管理實施要點辦理。
- 目的:為強化本校資訊安全管理,確保資料、系統、設備及網路安全,特訂定本資訊安全管理要點
- 實施:本資訊安全管理要點以書面及電子方式公告本校教職員工及學生,並請提供資訊服務之廠商共同遵行。
- 評估:本資訊安全管理要點實施後,需每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
貳、資訊安全權責分工:
一、本校設置資訊安全委員會,由校長擔任召集人,負責資訊安全管理事項之協調及推動,另設置資訊安全執行秘書(資訊安全官)一名,由資訊室主任擔任,協助召集人處理及推動資訊安全相關事務。
二、本校設置資訊安全小組及緊急處理組,由資訊專長人員組成,負責辦理資訊安全相關事宜,及資訊安全政策、計畫及技術規範之研議、建置及評估與資安事件通報等事項。
三、本校設置資訊安全委員會會議,由校長、各處室主任、各學科召集人及各科主任組成,統籌資訊安全政策、計畫、資源調度等事項之協調研議。
四、資料及資訊系統之安全需求研議、使用管理及保護等事項,由各業務單位負責辦理,必要時由資訊人員協助。
五、資訊機密維護及稽核使用管理事項,由資訊安全小組及資訊安全稽核小組會同各處室主管負責辦理。
六、資訊安全稽核小組長由本校秘書擔任,組員為人事室主任。
參、人員管理及資訊安全教育訓練:
一、本校依實際需要,辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升學校資訊安全水準。
二、加強資訊安全管理人力之培訓,提升資訊安全管理能力。
三、對於負責重要資訊系統之管理、維護、設計及操作之人員,需妥適分工,分散權責,並視需要建立人力備援制度。
四、各處室主任需負責督導所屬員工之資訊作業安全,防範不法及不當行為。
肆、電腦系統安全管理:
一、本校辦理資訊業務委外作業,需於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
二、對於系統變更作業,由資訊管理人員建立紀錄,以備查考。
三、應使用本校合法授權軟體,如欲採購軟體,請先知會軟體管理人員以利控管。
四、本校設置防火牆及防毒軟體,以偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。
伍、網路安全管理:
一、本校設立防火牆,以控管外界與學校內部網路之資料傳輸與資源存取。
二、機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。
三、機密性資料及文件,不得以電子郵件或其他電子方式傳送。
陸、系統存取控制管理:
一、本校依資訊安全政策,賦予各級人員必要的系統存取權限。
二、離(休)職人員,需立即取消使用機關內各項資訊資源之所有權限,並列入機關人員離(休)職之必要手續。
三、對學校內外擁有系統存取特別權限之人員建立使用人員名冊,加強安全控管。
四、各業務單位對系統服務廠商以遠端登入方式進行系統維修者,需加強安全控管,並建立人員名冊,課其相關安全保密責任。
五、各業務單位之重要資料委外建檔,需與廠商簽訂適當之安全管制合約防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
六、系統資料若需以可攜式媒體保存時,該媒體應存放於安全設備或處所,且儲存媒體 所使用之密碼或編碼技術不應透露於遞送人員或與業務無關之人員。
柒、系統發展及維護安全管理:
一、各業務單位自行開發或委外發展系統,需在系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
二、各業務單位委託廠商建置及維護重要之軟硬體設施,需由各系統管理人員及本校資訊人員監督及陪同下始得為之。
捌、資訊資產安全管理:
一、各業務單位需對使用之資訊資產進立安全管理,發現異常時應迅速通知服務廠商或本校資訊人員處理。
二、個人電腦、伺服器或公務用可攜式電腦設備不使用時,須採用密碼保護、鎖定或登出離線等安全控制措施。
三、所有包括儲存媒體的設備項目(如硬碟及隨身碟等),在報廢前應確認已將任何敏感資料和授權軟體刪除或覆寫,必要時用物理方式強行將其破壞之使其無法讀取及存取資料。
玖、實體及環境安全管理
一、全校性伺服器主機應置於主機房,並由資訊人員管理,管制非相關人員進出。
二、各業務單位之伺服器主機由各單位指派專人管理。
拾、業務永續運作計畫管理:
一、為因應各種人為及天然災害造成業務運作受影響,各業務單位需建立緊急應變及回復作業機制,並定期備份重要資料以及實體隔離。
二、各處室於發生資訊安全事件時,應立即向權責主管單位或資訊人員通報。
拾壹、本要點經校務會議通過陳校長後公布實施,修正時亦同。
