資訊安全政策
竹北國民小學資通安全管理政策
實施原則
1.網路安全
1.1網路控制措施
1.1.1 與外界連線,應僅限於經由教育局(處)網路管理單位之管控,以符合一致性與單一性
之安全要求。
1.1.2應禁止以私人架設網路(如:電話線、2G或3G網路等)連結機房內之主機電腦或
網路設備。
1.1.3宜依業務性質之不同,區分不同內部網路網段,例如:教學、行政、宿網等,以降低
未經授權存取之風險。
1.1.4對於開放提供外部使用者或廠商存取之服務,必須限制使用者之來源IP及網路連線埠
(Port),以確保安全。
1.2無線網路存取
1.2.1 應禁止使用者私自將無線網路存取設備介接至校園網路;若有介接之必要應經權責
管理人員同意並設定帳號通行碼或加密金鑰以防未經許可之盜用。
1.2.2園內應提供無線網路存取服務,並採取適當安全管控措施。
2.系統安全
2.1 設備區隔
2.1.1伺服器主機可依個別應用系統之需要,設置專屬主機, 以避免未經授權之存取,
例如網路服務主機 (電子郵件、網站主機)、教學系統主機(例如隨選視訊主機)等。
2.2 對抗惡意軟體、隱密通道及特洛依木馬程式
2.2.1個人電腦應:
●裝置防毒軟體,將軟體設定為自動定期更新病毒碼;或由
伺服器端進行病毒碼更新的管理。
●作業系統及軟體應定期更新,以防範系統漏洞。
2.2.2個人電腦所使用的軟體應有授權。
2.2.3 新伺服器系統啟用前,應執行相關程序
(如:確認適合該作業系統之掃毒工具、預設通行碼更新、系統更新等,並記錄
於啟用與報廢紀錄單), 以防範可能隱藏的病毒或後門程式。
2.3 桌面淨空與螢幕淨空政策
2.3.1 個人電腦辦公桌面應避免存放機敏性文件,結束工作時,應將其所經辦或使用具有
機密或敏感特性的資料(如公文、學籍資料等)妥善存放。
2.3.2 個人電腦或終端機不使用時,應使用鍵盤鎖或其他控管措施保護個人電腦及終端機
安全個人電腦應設定螢幕保護機制。
2.4資料備份
2.4.1系統管理人員需針對學校重要電腦系統及資料(如:系統檔案、網站、資料庫等)
在可接受的 風險範圍內定期進行備份工作或應每週至少進行一次備份工作;
建議使用設備執行異地備份或使用光碟、隨身碟或外接式硬碟執行異地存放。
2.5資訊工作日誌
2.5.1系統管理人員需針對重要電腦系統進行檢查、維護、更新等動作時,應針對這些活動填寫
日誌予以紀錄,作為未來需要時之查核。
2.5.2系統管理人員應至少每季執行一次校時。
2.6資訊存取限制
共用的個人電腦(如:電腦教室電腦、教師休息室電腦等)應以特定功能為目的,並
設定特定安全管控機制(如:限制從網路非法下載檔案行為、限制自行安裝軟體行為、
限制特定資料的存取等)。
2.7使用者註冊
人員報到或離退職應會辦電腦系統帳號管理人員,執行電腦系統的使用者註冊及註銷程序,
透過該註冊及註銷程序來控制使用者資訊服務的存取,該作業應包括以下內容:
●使用唯一的使用者帳號。
●檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。
●保存一份包含所有帳號註冊的記錄。
●使用者調職或離職後,應移除其帳號的存取權限。
●每學期應檢查使用者帳號,以確保帳號的有效性。
2.8特權管理
電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明,應予以文件化記錄。
2.9通行碼(Password)之使用
2.9.1管制使用者第一次登入系統時,必須立即更改預設通行碼,預設通行碼應設定有效期限。
2.9.2資訊系統與服務應避免使用共用帳號及通行碼。
2.9.3由學校發佈通行碼制定與使用規則給使用者。
2.10 通報安全事件
2.10.1資訊安全事件包括:系統被入侵、對外攻擊、針對性攻擊、散播惡意程式、中繼站、
電子郵件社交工程攻擊、垃圾郵件、命令或控制伺服器、殭屍電腦、惡意網頁、
惡意留言、網頁置換、釣魚網頁、個資外洩等。
2.10.2 資訊安全事件等級,由輕微至嚴重區分等級1、2、3、4級。
2.10.3 本校任何人於校內發現異常情況或疑似資安事件,應立即向資訊組長
(連絡人)通報,並儘速進行處理並研判事件等級。
2.10.4發生研判事件等級3(含)以上之事件,資訊組長(連絡人)應立即通報資訊安全官
(教務主任)及校長,並以電話聯絡新竹縣教育研究發展及網路中心網路管理組,
由校長儘快召集會議研商處理的方式。
2.10.5發生無法處理之資通安全事件,應通報新竹縣教育研究發展及網路中心網路
管理組協助處理。
2.10.6教育機構資安通報平台(網址:https://info.cert.tanet.edu.tw/),
帳號為學校OID
2.10.7資安通報依情報來源分為「告知通報」與「自行通報」,
若收到「告知通報」事件通知,由資安業務承辦人登入教育機構資安
通報平台,完成通報及應變作業。
2.10.8資安事件若為校內人員自行發現,由資安業務承辦人登入教育機構資安
通報平台進行「自行通報」完成通報及應變作業。
2.10.9資安事件須於發生後1小時內進行通報,0、1、2級事件於事件發生後72小時
內處理完成並結案(包括通報與應變),3、4級事件於事件發生後36小時內完成並
結案。
2.10.10有收到教育機構資安通報平台「資安預警事件」通知,由資安業務承辦人
登入教育機構資安通報平台,進行資安預警事件單處理作業。
2.10.11相關通報應變流程請依照「教育機構資安通報應變手冊」規定辦理。
2.10.12學校應建立內部通報機制。
3.實體安全
3.1設備安置及保護
3.1.1主機機房及電腦教室宜設置偵煙、偵熱或滅火設備(氣體式滅火器),並禁止擺放
易燃物或飲食。
3.1.2主機機房及電腦教室的電源線插頭應有接地的連結或有避雷針等裝置,避免如
雷擊事件所造成損害情況。
3.1.3主機機房及電腦教室應實施門禁管制。
3.1.4人員進出安全區域(機房)需有安全管制登記。
3.2溫濕度控制
主要的資訊設備(如:主機機房等)宜有溫濕度控制措施(溫度建議控制在20℃~25℃
,濕度建議控制在相對濕度50%R.H.~70%R.H.),以防止資訊設備意外損壞。機房內應有
溫濕度顯示裝置,以觀察實際之溫濕度情況。
3.3電源供應
重要的資訊設備(如:主機機房等)應有適當的電力保護設施,例如設置UPS、
電源保護措施(如:穩壓器、接地等),以免斷電或過負載而造成損失,並設置緊急照明設備以
作為停電照明之用。
4.可攜式電腦設備與媒體
4.1公務用可攜式電腦設備(如:筆記型電腦、平板電腦、智慧型手機等)應設定保護機制
,如設定通行碼、圖形辨識、臉孔辨識或指紋辨識等。
4.2公務用可攜式電腦設備應執行安全相關程序。
(如:掃毒、預設通行碼更新、系統更新等),以防範可能隱藏的病毒或後門程式。
5.人員安全
5.1人員安全責任
非正式人員、約聘(僱)人員者,因業務需要,而接觸公務機密、個人權益及學校機敏資料者須填寫保密切結書。
5.2資訊安全教育
鼓勵所有教職員參與資訊安全教育訓練或宣導活動,以提昇資訊安全認知。
6.資訊業務委外管理
6.1要求委外廠商簽訂安全保密切結書
7.應對以下各項相關法令有基礎之認知,並利用各集會場合對全校師生口頭宣導
(至少一學期一次)。
7.1智慧財產權
7.2個人資訊的資料保護及隱私
7.3刑法電腦犯罪專章
8.要點經資訊安全小組研訂,吳 校長核可後實施,修正時亦同。
<>(十二)本要點經資訊安全小組研訂,吳 校長核可後實施,修正時亦同。