※資訊安全政策及管理實施辦法

一、目的
為確保三信家商(以下簡稱「本校」)資訊安全管理作業,維護資訊及其處理設備之機密性、完整性及可用性,並符合相關法令、法規之要求,特訂定本辦法。

二、適用範圍
本作業適用之管理範圍為本校教職員工與學生個人資料處理、網路使用及其相關之資訊服務。

三、實施辦法

  1. 網路安全
    1. 網路控制措施
      1. 本校與外界連線,得經由市網中心之管控,以符合一致性與單一性之安全要求。
      2. 校內特殊系統(例如會計系統、學生學籍、成績原始資料系統等…)之資料,當有必要透過網路進行傳輸時,原則上皆以虛擬私有網路(Virtual Private Network, VPN)或同等連線方式來進行;若無此需求,則應將主機隔離在網路之外。
      3. 如有另行架設對外數據專線之需求,須向資訊中心報備,禁止私自以電話線連結主機電腦或網路設備。
    2. 有委外開發系統或簽定維護合約需求時,廠商須簽訂安全保密切結書(文件編號A-1、A6),以確保資訊安全及個資保密的要求。
    3. 聘用之員工(包含正職員工、臨時雇員)應簽署使用規範及保密條款,確保了解應有之資安責任與相關電腦使用限制(文件編號A-8)。
    4. 業務調整或職務調動(含離職)時,須依規定辦理電腦交接,除相關業務資料外,私人資料請勿留存於電腦內,完成交接後,請監交人通知資訊中心前往查核。
    5. 依前項規定業務調整或職務調動時,不得將業務使用之電腦擅自調換使用。
  1. 系統安全
    1. 職責區隔
      1. 主機電腦依個別應用系統之需要,設置專屬電腦,例如網路服務主機(電子郵件、網站主機)、教學系統主機(數位學習平台、學習與知識管理系統)、行政管理系統主機等等。
      2. 特殊業務系統主機(例如公文系統)電腦,由市網路中心或教育局等單位統籌管理,本校資訊中心配合設定,若有特殊需求得另訂之。
    2. 對抗惡意軟體、隱密通道及特洛依木馬程式
      1. 校內的個人電腦應:裝置防毒軟體,將軟體設定為自動定期更新病毒碼;或由伺服器端進行病毒碼更新的管理定期(至少每個月)進行如「Windows Update」之程式更新作業,以防範作業系統之漏洞。
      2. 校內個人電腦所使用的軟體應依相關規定使用有授權之正版軟體。
      3. 新系統啟用前,應經過掃毒與更新系統密碼程序,以防範可能隱藏的病毒或後門程式。
    3. 資料備份
      1. 系統操作人員及業務人員,必須針對其業務之資料定期進行備份工作,或採用自動備份機制;原則上為每月進行一次。
    4. 操作員日誌
      1. 系統操作或業務人員需針對敏感度高、或包含特殊資訊的電腦系統進行檢查、維護、更新等動作時,並針對這些活動填寫維護日誌(文件編號A-2)予以紀錄,作為未來需要時之檢查。
      2. 維護日誌內容應包含下列各項:
        -檢查、維護、更新等活動的起、迄時間。
        -系統錯誤內容和採取的改正措施。
        -操作人員與紀錄人員簽名。
    5. 資訊存取限制
      1. 各處室科校內共用的個人電腦,嚴禁自行安裝或使用P2P軟體,必要時得由資訊中心設定特定安全管控機制(例如限制從網路非法下載檔案行為、限制行為、限制特定資料的存取等)。
    6. 使用者註冊
      1. 電腦系統使用的使用者註冊及註銷程序,透過該註冊及註銷程序來控制使用者資訊服務的存取,由資訊中心負責建置設定,相關作業程序如下:
        -使用唯一的使用者識別碼(ID)。
        -檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。
        -保存一份包含所有識別碼註冊的記錄。
        -使用者或業務人員調職或離職後,應依其授權設定或移除存取權限。
        每學期檢查並取消多餘的使用者識別碼和帳號;若有莫名帳號產生,應關 閉該帳號權限,並依通報程序請求處理(依照本文件2.10節規範)。
        -以上各系統業務負責人必須依前述各項規定施行之。
    7. 權限管理
      1. 學校電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限,並予以書面文件備查。
    8. 通行碼之使用
      1. 管制使用者第一次登入系統時,必須立即更改預設通行碼,預設通行碼應設定有效期限。
      2. 資訊系統與服務應避免使用共同帳號及通行碼。
      3. 使用者自定通行碼(Password),請依照優質通行碼設定原則與使用原則(文件編號A-3),內容應包含以下各項:
        -使用者應該對其個人所持有通行碼盡保密責任

        -用者的通行碼設定,避免使用易於猜測之數字或文字,例如生日、名字、鍵盤上聯繫的字母與數字(如12345678 或 asdfghjk),以及過多的重複字元等。或建議通行碼應該包含英文字大小寫、數字、特殊符號等四種設定中的三種。

      4. 因特殊需要擁有多個帳號時,可考慮使用一組複雜但相同的通行碼。
    9. 原始程式庫之存取控制
      1. 學校與系統廠商間的合約應加註對原始程式庫安全之要求,並防範資料庫隱碼(SQL-injection)問題,針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。
    10. 通報安全事件與處理
      1. 資訊安全事件包括:任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。
      2. 資安事件於發生時由資訊中心先行鎖定該電腦或資訊設備,並執行斷網隔離處置。網管人員協助使用者則填寫資安事件通報單(文件編號A-5),經單位主管簽章,送至資訊中心備查並處理後,再由資訊中心解除鎖定。通報流程如[文件編號A-4]。
      3. 資訊中心無法處理之資通安全事件,應通報市教網中心,請求協助。
      4. 通報程序公布於學校網頁,提供使用者瞭解。
  2. 實體安全
    1. 設備安置及保護
      1. 學校重要的資訊設備(如主機機房)應置於設有空調空間。
      2. 學校資訊設備主機機房、電腦教室區域,應設置滅火設備,並禁止擺放易燃物、或飲食。
      3. 資訊設備主機機房、電腦教室區域內的電源線插頭應有接地的連結、或有避雷針等裝置,避免如雷擊事件所造成損害情況。
      4. 資訊設備主機機房、電腦教室區域,應至少於入出口處加裝門鎖或其他同等裝置。
    2. 電源供應
      1. 學校重要的資訊設備(如主機機房)應有適當的電力設施,例如設置UPS、電源保護措施,以免斷電或過負載而造成損失。
    1. 纜線安全
      1. 學校資訊設備主機機房、電腦教室區域內應避免明佈線。
    2. 設備與儲存媒體之安全報廢或再使用
      1. 所有包括儲存媒體的設備項目,在報廢前,應確保已將任何敏感資料和授權軟體刪除或覆寫。
    3. 設備維護
      1. 應與設備維護廠商建立維護合約。
      2. 軟、硬體維護廠商需簽訂安全保密切結書 (文件編號A-1、A6)。
    4. 財產攜出
      1. 未經授權不得將學校的資訊設備、資訊或軟體攜出所在地。
      2. 當有必要將設備移出時,由資訊中心檢視相關授權,並填寫借用登記單,於歸還時註明歸還記錄。
    5. 桌面淨空與螢幕淨空政策
      1. 結束工作時,所有學校教職員工應將其所經辦或使用具有機密或敏感特性的資料(例如公文、學籍資料等)及資料的儲存媒體如USB隨身碟、磁碟片、光碟等),妥善存放。
      2. 個人電腦應設定保護裝置,如個人鑰匙、個人密碼以及螢幕保護。
  4. 人員安全
    1. 要求同仁每年依『個人電腦使用注意事項』檢測所屬電腦,強化資訊安全。
    2. 資訊安全教育與訓練
      1. 使本校聘任之教職同仁能了解資安事件通報之程序,並有足夠能力執行基礎之資安管理工作。
      2. 鼓勵或安排所有教職員參與資訊安全教育訓練或宣導活動,以提昇資訊安全認知。
  5. 應具備下列相關法令之基礎認知,在資訊中心網頁建立超連結,提供給本校所有師生。
    1. 智慧財產權
      1. 經濟部智慧財產局 http://www.tipo.gov.tw/
      2. 著作權法http://www.tipo.gov.tw/copyright/copyright_law/copyright_law_92.asp
    2. 個人資訊的資料保護及隱私
      1. 電腦處理個人資料保護法www.fpppc.gov.tw/bulletin/menu4-7/93year/pcinfo.doc
    3. 電子簽章法
      1. 電子簽章法法http://www.moea.gov.tw/~meco/doc/ndoc/s5_p05.htm
      2. 電子簽章法施行細則http://www.moea.gov.tw/~meco/doc/ndoc/s5_p05_p01.htm
      3. 核可憑證機構名單http://www.moea.gov.tw/~meco/doc/ndoc/s5_p07_p03.htm