《台中市北屯区仁爱国民小学资讯安全管理计画950801订定》由会员分享,可在线阅读,更多相关《台中市北屯区仁爱国民小学资讯安全管理计画950801订定(3页珍藏版)》请在金锄头文库上搜索。
1、1臺中市北屯區仁愛國民小學資訊安全管理計畫臺中市北屯區仁愛國民小學資訊安全管理計畫95.08.01.95.08.01.訂定訂定一、前言一、前言本計畫所定資訊安全措施,綜合考量各項資訊資產之重要性與價值,及因 人為疏失、蓄意破壞或自然災害等風險,致本校資訊資產遭不當使用、洩漏、 竄改、破壞等情事,影響及危害業務之程度,採行與資訊資產價值相稱及具成 本效益之管理、作業及技術等安全措施。 二、依據二、依據(一)行政院及所屬各機關資訊安全管理要點。(二)教務處工作計畫。 三、目三、目 的的 (一)確保本校資訊處理、傳送、儲存及流通之安全作有效之管制。 (二)尊重智慧財產權及強化防火牆之精密度,確保師生
2、通訊安全。 四、實施內涵四、實施內涵 (一)訂定資訊安全政策 1.所訂定之資訊安全管理政策,以書面、電子或其他方式告知本校 暨所屬各單位教職員工及提供資訊服務之廠商共同遵行。 2.資訊安全管理政策實施後,資訊單位須每年評估一次,以反映政 府法令、技術及業務等最新發展現況,確保資訊安全實務作業之 有效性。 (二)資訊安全權責分工 1.資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由 資訊單位負責辦理。 2.資料及資訊系統之安全需求研議、使用管理及保護等事項,由業 務單位負責辦理。 3.資訊機密維護及稽核使用管理事項,由教務處會同相關單位負責 辦理。 4.資訊安全稽核作業,由資訊單位會同總
3、務單位每半年定期辦理一 次,並視實際狀況得不定期進行資訊安全稽核。 5.資訊安全管理事項由校長或教務處負責協調及推動,得視實際需 要,成立跨部門之資訊安全推行小組,統籌資訊安全政策、計 畫、資源調度等事項之協調、研議。 (三)人員管理及資訊安全教育訓練 1.對資訊相關職務及工作人員,應進行安全評估,並依其任務之適 任性進行必要之考核。 2.對可存取機密性與敏感性資訊或系統之人員,及因工作需要須 配賦系統管理權限之人員,應加強評估及考核。 23.資訊組得依業務及資訊等不同工作類別,視實際需要辦理資訊 安全教育訓練及宣導,建立教職員工資訊安全認知,提升機關 資訊安全水準。 4.各處室應加強資訊安全
4、管理人力之培訓提升資訊安全管理能力。5.對負責重要資訊系統之管理、維護、設計及操作之人員,應妥 適分工,分散權責,並視需要建立人力備援制度。 6.各處室主任,須負責督導所屬員工之資訊作業安全,防範不法 及不當行為。 (四)電腦系統安全管理 1.辦理資訊業務委外作業,須明定廠商之資訊安全責任及保密規 定,並列入契約,要求廠商遵守並定期考核。 2.對於系統變更作業或更新功能,由資訊組執行控管並詳細紀錄, 以備查考。 3.各系統伺服器所存放之機房須由資訊組專人專責管理,並嚴禁 無關人員進出。 (五)網路安全管理 1.各系統伺服器與外界網路連接之網點,須設立防火牆以控管外 界與內部網路之資料傳輸及資源
5、存取,必要時應以代理伺服器 等方式提供外界存取資料,避免外界直接進入資訊系統或資料 庫存取資料。 2.各單位使用電子郵件傳輸公務文件及資料須加密碼保護,機密 性資料及文件,不得以電子郵件或其他電子方式傳送。 3.開放外界連線作業,須由資訊單位事前與連線單位簽訂契約或 協定,限制系統可運作之權限,並明定應遵守之資訊安全規定、 程序及應負之責任。 (六)系統存取控制管理 1.登入各作業系統時,依各級人員執行法定任務所必要之系統存取 權限,由資訊單位系統管理人員設定應賦予權限之帳號與密碼, 並得於六個月內更換一次。 2.對離(休)職人員,須立即取消使用各項資訊資源所有權限,並 列入人員離(休)職之必
6、要手續。 3.對機關內外擁有系統存取特別權限之人員,由資訊組建立使用人 員名冊,加強安全控管,並縮短密碼更新周期為兩個月。 4.各單位之重要資料如需委外建檔者,不論在機關內外執行,均由 資訊單位與委外廠商簽訂適當之安全管制合約,防止資料被竊取、 竄改、販售、洩漏及不當備份等情形發生。 (七)系統發展及維護安全管理 1.各單位自行開發或委外發展系統,須在系統開發初期階段,即將 資訊安全納入考量;系統之維護、更新、上線執行及版本異動3作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害 系統安全。 2.對委外廠商之軟硬體系統建置及維護人員,應規範及限制其可接 觸之系統與資料範圍,並嚴禁資訊單位核
7、發長期性之系統辨識 碼及通行密碼。 3.對委外廠商或系統維護人員基於實際作業需要,資訊組得核發短 期性及臨時性之系統辨識及通行密碼供廠商使用,惟使用完畢 後應立即取消其使用權限。 4.各單位委託廠商建置及維護重要軟硬體設施時,應在各單位系統 管理人員與資訊單位人員監督及陪同下始得為之。 (八)資訊資產安全管理 1.為防斷電時造成系統毀損或資料流失,主機房須配置不斷電系統 因應斷電時有足夠時間做存檔與正常關機。 2.不使用來源不明之磁片。 3.不使用非經許可之軟體程式。 4.電腦設備須裝置防毒軟體,並開啟於即時掃瞄狀態;對所收電子 郵件之附加檔案更須先經過掃瞄確定安全後始得開啟。 5.網路主機須
8、設置防火牆。 6.個人文件檔案存檔時須養成加密保護習慣,若檔案需提供網路共 享則必須加密保護。 (九)實體及環境安全管理 1.資訊組就系統伺服器主機設備安置於主機房,由資訊組專責管理, 並管制非相關人員隨意進出。 2.主機房須設置空調恆溫控制,並配置適量之化學消防設施。 3.若非資訊單位人員或維修人員,不得自行拆卸電腦機殼及更換內 部零組件。 (十)業務永續運作計畫管理 1.為因應各種人為及天然災害造成業務運作受影響,資訊組須於系 統中安裝救援回復軟體並每天定期作備份。 2.各單位在發生資訊安全事件時,應立即向權責主管單位或資訊單 位系統管理人員通報,並聯繫檢警調單位協助偵查。 六、經費來源:六、經費來源:學校年度預算暨社會資源支付 七、本計畫如有未盡事宜,得隨時修正補充之。七、本計畫如有未盡事宜,得隨時修正補充之。組長:組長: 主任:主任: 校長:校長:
