:::

公告 管理員 - 本站消息 | 2018-06-05 | 人氣:19
 

南市立龍崗國民小學資通安全管理辦法

103  3 日校務會議通過

 

 

一、依據

 

l     教育部 96  30  日函頒國中、小學資通安全管理系統實施原則。

l     個人資料保護法

中華民國 101 9 21 日行政院院臺法字第 1010056845  號令發布除第 654 條 條文外,其餘條文定自一百零一年十月一日施行。

l     個人資料保護法施行細則

中華民國 101 9 26 日法務部法令字第 10103107360       號令修正發布名稱及全文

33  條;並自一百零一年十月一日施行。

l     教育部資訊及科技教育司 100  年度教育機構個人資料保護工作事項暨檢核表。

 

二、目的

 

確保臺南市立龍崗國民小學(以下簡稱本校)所屬之資訊資產機密性、完整性及可用性, 並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。

 

三、適用範圍

 

本校校內電腦、資訊與網路服務相關的系統、設備、程序及人員,包含合約廠商及其它 經授權使用之人員。

 

四、組織與職權

 

為強化本校資通安全暨個資保護需求,健全資通安全管理制度,特設立「臺南市 XX 國 小資通安全委員會」(以下簡本委員)以推動校資通理業務運作。本委 員會之成員為校長、各處室主任及行政組長,由校長兼任召集人,資訊組長(網管)為 資通安全長,行政及技術相關事宜由資訊組負責。

 

本委員會權責如下:

 

1.     訂定本校資通安全政策及資通安全管控機制。

2.     督導資通安全政策之實施。

3.     資通安全事件通報、緊急應變及危機處理。

4.     規劃並督導資通安全教育訓練。

5.     督導個人資料保護工作之落實。 本委員會每年開會一次,必要時得召開臨時會議。會議須有應出席委員半數()以上出 席始得開會,並得邀請相關人員列席。

 

五、資安政策

維護本校資訊之機密性、完整性與可用性,保障使用者資料隱私。

 

l     保護本校網路資訊,避免未經授權的存取與修改。

l     本校業務執行須符合相關法令及法規之要求。

l     建立資訊業務永續運作計畫,確保本校業務永續運作。

 

六、實施原則

 

1.  網路安全

1.1  本校與外界連線僅限於經由教育局資中心之管控,以符合致性與單一性之安 全要求。並禁止以電話線連結主機電腦或網路設備。

1.2  網路安全管理服務委外廠商合約之安全要求,委外開發或維護廠商必須簽訂安全保 密切結書。

 

2.  系統安全

2.1 本校內的個人電腦應

l     裝置防毒軟體,將軟體設定為自動定期更新病毒碼;或由伺服器端進行病毒碼 更新的管理。

l     定期(至少每個月)進行如「Windows Update」之程式更新作業,以防範作業 系統之漏洞。

l     新系統啟用前,應經過掃毒與更新系統密碼程序,以防範可能隱藏的病毒或後 門程式。

2.2  本校內個人電腦所使用的軟體應有授權,嚴禁安裝各種非法軟體。

2.3  資料備份 本校系統管理人員需針對本校重要系統(例如系統檔案、應用系統、資料庫等)定 期進行備份工作,或採用自動備份機制;建議週期為每週進行一次。

2.4  操作員日誌

l     本校系統管理人員需針對敏感度高、或包含特殊資訊的電腦系統進行檢查、維 護、更新等動作時,應針對這些活動填寫日誌予以紀錄,作為未來需要時之檢 查。

l     日誌內容可包含以下各項:

n     系統例行檢查、維護、更新活動的起始時間

n     系統錯誤內容和採取的改正措施。

n     紀錄日誌項目人員姓名與簽名欄

2.5  使用者註冊

l     本校新進人員,資訊人員將會以教育局資訊中心郵件系統之帳號,註冊至本校 各應用系統上,再由使用者自訂其密碼。若使用者有其特殊需求,也可另行單 獨申請變更。

l     本校人員離職後,資訊人員應立即註銷該員在各應用系統的帳號及使用權。

n     本校資訊人員,必須妥善管理各應用系統之使用者帳號。

n     每人使用唯一的使用者識別碼(ID)。

n     檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。

n     保存一份包含所有識別碼註冊的記錄。

n     使用者調職或離職後,應移除其識別碼的存取權限。

n     定期(建議每學期)檢查並取消多餘的使用者識別碼和帳號。

n     定期(建議每學期)檢查新增之帳號,若有莫名帳號產生,應關閉帳號權 限,並依通報程序請求處理。

2.6  特權管理 本校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明,應予 以文件化記錄備查。

2.7  密碼(Password)之使用

l     本校各資訊系統與服務應避免使用共同帳號及密碼。

l     設定各應用系統的帳號密碼時,請遵循以下原則:

n     混合大寫與小寫字母、數字,特殊符號

n     密碼越長越好,最短也應該在 8 個字以上。

n     至少每三個月改一次密碼。

n     使用技巧記住密碼

l     使用字首字尾記憶法:

a.   My favorite student is named Sophie Chen,取字頭成為 mFSinsC

b.   There are 26 lovely kids in my English class,取字尾成為 Ee6ysnMEc

l     中文輸入按鍵記憶法:

a.   例如「密碼」的注音輸入為「wj/ vu/6a83

l     應該避免的作法

a.   嚴禁不設密碼、與帳號相同或與主機名稱相同。

b.   不要使用與自己有關的資訊,例如學校或家裡電話、親朋好友姓名、身份證 號碼、生日等。

c.   不重覆電腦鍵盤上的字母,例如 6666rrrr qwertyui zxcvbnm

d.   使 用連 續或 簡單 的 組合 的字 母或 數字 , 例如  abcdefgh  或  12345678  

 

24681024

e.   避免全部使用數字,例如 52526565

f.   不使用難記以至必須寫下來的密碼。

g.   避免使用字典找得到的英文單字或詞語,如 TomCruz  superman h.   不要使用電腦的登入畫面上任何出現的字。

i.    不分享密碼內容給任何人,包括男女朋友、職務代理人、上司等。

j.    因特殊需要擁有多個帳號時,可考慮使用一組複雜但相同的密碼。

2.8  原始程式庫之存取控制

學校與系統廠商間合約應加註對原始式庫安全之要求,防範資料庫隱

(SQL-injection)問題,針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。

2.9  通報安全事件與處理

l     本校發生資安事件之處理流程如右圖所示。

l     資通安全事件包括:任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或 網頁遭竄改、以及通訊中斷等。

 

3.  實體安全

3.1  設備安置及保護

l     本校重要的資訊設備(如主機機房)應置於設有空調空間。

l     本校資訊設備房、電腦教室應設置滅火設禁止擺放易燃 物、或飲食。

l     本校資訊設備主機機房、電腦教室區域內的電源線插頭應有接地的連結、或有 避雷針等裝置,避免如雷擊事件所造成損害情況。

l     本校資訊設備主機機房、電腦教室區域,應至少於入出口處加裝門鎖或其他同 等裝置。

3.2  電源供應

本校重要的資訊設備(如主機機房)應有適當的電力設施,例如設置 UPS、電源保 護措施,以免斷電或過負載而造成損失。

3.3  纜線安全 本校資訊設備主機機房、電腦教室區域內應避免明佈線。

3.4  設備與儲存媒體之安全報廢或再使用 所有包括儲存媒體的設備項目,在報廢前,應先確保已將任何敏感資料和授權軟體 刪除或覆寫。

3.5  設備維護

l     應與設備廠商建立維護合約。

l     廠商進入安全區域需簽訂安全保密切結書。

3.6  財產攜出

l     未經授權不應將學校的資訊設備、資訊或軟體攜出所在地。

l     當有必要將設備移出,應檢視相關授權,並實施登記與歸還記錄。

3.7  桌面淨空與螢幕淨空政策

l     結束工作時,所有學校教職員工應將其所經辦或使用具有機密或敏感特性的資 料(例如公文、學籍資料等)及資料的儲存媒體(如 USB 隨身碟、磁碟片、光 碟等),妥善存放。

l     本校職員工使用的個人電腦應設定個人密碼以及螢幕保護措施,螢幕保護啟動時 間必須 10 分鐘或是更少。

4.  人員安全

4.1  每學年至少要於校務會議上宣導一次本管理辦法,以及重要資通安全消息,以加強 教職員工的資安意識。

4.2  資通安全教育與訓練

l     本校資通安全長,每年至少要有十八小時的資通安全相關教育訓練,使其有足

夠能力執行日常基礎之資安管理系統維護工作,並使其瞭解資安事件通報之程 序。

l     其他教職員工每年至少要有六小時,參與資通安全教育訓練或宣導活動,以提 昇資通安全認知。

 

5.  個資保護要求

5.1  本校應就法律允下,因公務需求、處理及保存的個人料,公佈以下項目 至學校網站上。

l     個人資料檔案名稱。

l     保有機關名稱及聯絡方式。

l     個人資料檔案保有之依據及特定目的。

l     個人資料之類別。

5.2  本校教職員工必遵守個資法規定,不以任何理由,在沒有源依據或違反當事 人的意願下任意蒐集或洩露他人個資。

5.3  本校在辦理任何開活動,會有蒐集、理甚至公佈部份個資例:姓名)時,必 須在活動辦法及報名表中,陳述「本校之機關名稱」、「蒐集用途」及「使用地區 和期限」,在經「當事人同意」並報名後始得蒐集。若有公佈的需求時,必須加註

「將會公佈本活動優勝人(學)員名單」字樣。

5.4  若需於單位管理網站或網頁公布個人料時,須經所屬單位管核准,並依相關 法律及規範處理。

5.5  個人資料檔案使用完畢後,應立即退出應用程式。

5.6  學校在交換紙本人資料時,須採取彌或其他具備保密機制傳遞方式,並記錄 轉交或傳輸行為的流向。

5.7  含個資之紙本文件不得放置於公共區域明顯處,或回收再使用。

5.8 學校應於法律允許之範圍內提供資料當事人下列權益:查詢或請求閱覽、請求製給複 製本、請求補充或更正、請求停止蒐集、處理或利用及請求刪除。

5.9 外部團體或個人更新或維修儲存個人資料檔案之電腦設備時,須指派專人在場確保資 料安全。

5.10 儲存個人資料檔案之電腦或相關設備如需報廢或移轉他用,應刪除其所儲存之個人 資料檔案。

 

 

 

 

:::
ㄆㄠ    ㄓㄨㄢ    ㄧㄣ ˇ ˋ
比喻先以自己粗陋的見解或行動來引發別人美好的言論或行為。謙稱自己率先做事。
more...

線上使用者

1人線上 (1人在瀏覽校園佈告欄)

會員: 0

訪客: 1

更多…

近期事項