二、資通安全推動小組 (一) 組織
本校設置「資通安全推動小組」負責督導校內資訊安全相關 事項,為推動本校之資通安全相關政策、落實資通安全事件通報 及相關應變處理,由資通安全管理代表召集各業務人員代表成立 資通安全推動小組,其任務包括:
1. 跨處室資通安全事項權責分工之協調。
2. 應採用之資通安全技術、方法及程序之協調研議。
3. 整體資通安全措施之協調研議。
4. 資通安全計畫之協調研議。
5. 其他重要資通安全事項之協調研議。
(二) 分工及職掌
本校之資通安全推動小組依下列分工進行責任分組,並依資 通安全管理代表指示負責下列事項,本校資通安全推動小組分組 人員名單及職掌應列冊,並適時更新之:
1. 資通安全推動小組:
(1) 資通安全政策及目標之研議。
(2) 訂定本校資通安全相關規章與程序、制度文件,並確保相 關規章與程序、制度合乎法令及契約之要求。
(3) 依據資通安全目標擬定年度工作計畫。
(4) 傳達資通安全政策與目標。
(5) 其他資通安全事項之規劃。
(6) 資訊及資通系統之盤點及風險評估。
(7) 資通安全相關規章與程序、制度之執行。
(8) 資料及資通系統之安全防護事項之執行。
(9) 資通安全事件之通報及應變機制之執行。
(10) 每年得須參加縣市辦理之相關資訊安全研習。
8
陸、專責人力及經費配置 一、專責人力及資源之配置
1. 本校依資通安全責任等級分級辦法之規定,屬資通安全責任等 級
D
級,本校現有資通安全人員名單及職掌應列冊,並適時更 新。2. 本校之承辦單位於辦理資通安全業務時,應加強資通安全人員 之培訓,並提升校內資通安全專業人員之資通安全管理能力。
如資通安全人力或經驗不足,得洽請新北市教育局或相關專業 機關(構)之人員,提供顧問諮詢服務。
3. 本校校長及各級業務主管人員,應負責督導所屬人員之資通安 全作業,防範不法及不當行為。
4. 人力資源之配置情形應每年定期檢討,並納入資通安全維護計 畫持續改善機制之管理審查。
二、經費之配置
1. 資通安全推動小組於規劃配置相關經費及資源時,應考量本校 之資通安全政策及目標,並提供建立、實行、維持及持續改善 資通安全維護計畫所需之資源。
2. 校內如有資通安全資源之需求,應向上級機關提出申請,由上 級機關審核後,進行相關之建置。
3. 資通安全經費、資源之配置情形應每年定期檢討,並納入資通 安全維護計畫持續改善機制之管理審查。
柒、資訊及資通系統之盤點 一、資訊及資通系統盤點
1. 本校每年辦理資訊及資通系統資產盤點,依管理責任及使用人 員指定對應之資產管理人,並依資產屬性進行分類,分別為資 訊資產、軟體資產、實體資產、支援服務資產等。
2. 資訊及資通系統資產項目如下:
(1) 資訊資產:以數位等形式儲存之資訊,如資料庫、資料檔 案、系統文件、操作手冊、訓練教材、研究報告、作業程 序、永續運作計畫、稽核紀錄及歸檔之資訊等。
9
(2) 軟體資產:應用軟體、系統軟體、開發工具、套裝軟體及 電腦作業系統等。
(3) 實體資產:電腦及通訊設備、可攜式設備及資通系統相關 之設備等。
(4) 支援服務資產:相關基礎設施級其他機關內部之支援服務,
如電力、消防等。
(5) 人員資產:校內各項資訊系統與設備使用人員清冊,以及 委外廠商駐點人員清冊等。
(6) 資料資產:以紙本形式儲存之資訊,如程序、清單、計畫、
報告、指引手冊、政策、公文、作業紀錄、作業規範、各 種應用系統文件及管理手冊,契約、法律文件、軟體使用 授權等等。
二、機關資通安全責任等級分級
依據教育部臺教資(四)字第 1070202157 號函文,本校為公立 高級中等以下學校,且配合資訊資源向上集中計畫,核心資訊系 統均由上級或監督機關兼辦或代管,其資通安全責任等級為 D 級。
捌、資通安全風險評估 一、資通安全風險評估
本校應每年針對資訊及資通系統資產進行風險評估,若配合資 訊資源向上集中計畫,資訊系統由上級或監督機關兼辦或代管,
則不需進行。
二、資通安全風險之因應
本校配合資訊資源向上集中計畫,核心資訊系統均由上級或監 督機關兼辦或代管,不再另行訂定。
玖、資通安全防護及控制措施
本校依據前章資通安全風險評估結果、自身資通安全責任等級 之應辦事項及資通系統之防護基準,採行相關之防護及控制措施如 下:
10
一、資訊及資通系統之管理 (一) 資訊及資通系統之保管
1. 資訊及資通系統管理人應確保資訊及資通系統已盤點造冊並 適切分級,並持續更新以確保其正確性。
2. 資訊及資通系統管理人應確保資訊及資通系統被妥善的保存 或備份。
3. 資訊及資通系統管理人應確保重要之資訊及資通系統已採取 適當之存取控制政策。
(二) 資訊及資通系統之使用
1. 本校同仁使用資訊及資通系統前應經其管理人授權。
2. 本校同仁使用資訊及資通系統時,應留意其資通安全要求事項,
並負對應之責任。
3. 本機關同仁使用資訊及資通系統後,應依規定之程序歸還。資 訊類資訊之歸還應確保相關資訊已正確移轉,並安全地自原設 備上抺除。
4. 非本校同仁使用本機關之資訊及資通系統,應確實遵守本機關 之相關資通安全要求,且未經授權不得任意複製資訊。
5. 對於資訊及資通系統,宜識別並以文件記錄及實作可被接受使 用之規則。
(三) 資訊及資通系統之刪除或汰除
1. 資訊及資通系統之刪除或汰除前應評估機關是否已無需使用 該等資訊及資通系統,或該等資訊及資通系統是否已妥善移轉 或備份。
2. 資訊及資通系統之刪除或汰除時宜加以清查,以確保所有機敏 性資訊及具使用授權軟體已被移除或安全覆寫。
3. 具機敏性之資訊或具授權軟體之資通系統,宜採取實體銷毀,
或以毀損、刪除或覆寫之技術,使原始資訊無法被讀取,並避 免僅使用標準刪除或格式化功能。
11
二、存取控制與加密機制管理 (一) 網路安全控管
1. 網路區域劃分如下:
(1) 外部網路:對外網路區域,連接外部廣網路 (Wide Area Network, WAN)。
(2) 內部區域網路 (Local Area Network, LAN) :機關內部單位 人員及內部伺服器使用之網路區段。
2. 外部網路及內部區域網路間連線需經防火牆進行存取控制,非 允許的服務與來源不能進入其他區域。
3. 本校應定期檢視防火牆政策是否適當,並適時進行防火牆軟、
硬體之必要更新或升級。若為向上集中管理,則由上級單位統 一辦理更新與升級。
4. 內部網路之區域應做合理之區隔,使用者應經授權後在授權之 範圍內存取網路資源。
5. 使用者應依規定之方式存取網路服務,不得於辦公室內私裝電 腦及網路通訊等相關設備。
6. 無線網路防護
(1) 機密資料原則不得透過無線網路及設備存取、處理或傳 送。
(2) 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與 工作站,應安裝防毒軟體,並定期更新病毒碼。
(二) 資通系統權限管理
1. 資通系統應設置通行碼管理,通行碼之要求需滿足:
(1) 通行碼長度 8 碼以上。
(2) 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種 以上。
(3) 使用者每 90 天應更換一次通行碼。
2. 使用者使用資通系統前應經授權,並使用唯一之使用者 ID,除 有特殊營運或作業必要經核准並紀錄外,不得共用ID。
3. 使用者無繼續使用資通系統時,應立即停用或移除使用者 ID,
12
資通系統管理者應定期清查使用者之權限。
(三) 特權帳號之存取管理
1. 資通系統之特權帳號請應經正式申請授權方能使用,特權帳號 授權前應妥善審查其必要性,其授權及審查記錄應留存。
2. 資通系統之特權帳號不得共用。
3. 資通系統之管理者每季應清查系統特權帳號。
(四) 加密管理
1. 機密資訊於儲存或傳輸時應進行加密。
2. 加密保護措施應遵守下列規定:
(1) 應落實使用者更新加密裝置並備份金鑰。
(2) 一旦加密資訊具遭破解跡象,應立即更改之。
三、作業與通訊安全管理
(一) 防範惡意軟體之控制措施
1. 主機及個人電腦應安裝防毒軟體,並時進行軟、硬體之必要更 新或升級。
(1) 經任何形式之儲存媒體所取得之檔案,於使用前應先掃描 有無惡意軟體。
(2) 電子郵件附件及下載檔案於使用前,宜於他處先掃描有無 惡意軟體。
(3) 確實執行網頁惡意軟體掃描
2. 使用者未經同意不得私自安裝應用軟體,管理者並應每半年定 期針對管理之設備進行軟體清查。
3. 使用者不得私自使用已知或有嫌疑惡意之網站。
4. 設備管理者應定期進行作業系統及軟體更新,以避免惡意軟體 利用系統或軟體漏洞進行攻擊。
(二) 遠距工作之安全措施
(1) 提供虛擬桌面存取,以防止於私有設備上處理及儲存資 訊。
13
(2) 遠距工作終止時之存取權限撤銷,並應返還相關設備。
(三) 確保實體與環境安全措施 1. 電腦機房之門禁管理
(1) 電腦機房應進行實體隔離。
(2) 機關人員或來訪人員應申請及授權後方可進入電腦機房,
管理者並應定期檢視授權人員之名單。
(3) 人員及設備進出應留存記錄。
2. 電腦機房之環境控制
(1) 電腦機房之空調、電力應建立備援措施。
(2) 電腦機房應安裝之安全偵測及防護措施,包括熱度及煙霧 偵測設備、火災警報設備、溫濕度監控設備、漏水偵測設
(2) 電腦機房應安裝之安全偵測及防護措施,包括熱度及煙霧 偵測設備、火災警報設備、溫濕度監控設備、漏水偵測設