臺南市立東陽國民小學資通安全管理辦法
經 103 年 02 月 12 日校務會議通過
一、依據
二、目的
確保臺南市立東陽國民小學(以下簡稱本校)所屬之資訊資產機密性、完整性及可用性,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。
三、適用範圍
本校校內電腦、資訊與網路服務相關的系統、設備、程序及人員,包含合約廠商及其它經授權使用之人員。
四、組織與職權
為強化本校資通安全暨個資保護需求,健全資通安全管理制度,特設立「臺南市東陽國小資通安全委員會」(以下簡稱本委員會),以推動本校資通安全管理業務之運作。本委員會之成員為校長、各處室主任及行政組長,由校長兼任召集人,資訊組長(網管)為資通安全長,行政及技術相關事宜由資訊組負責。
本委員會權責如下:
本委員會每年開會一次,必要時得召開臨時會議。會議須有應出席委員半數(含)以上出席始得開會,並得邀請相關人員列席。
五、資安政策
維護本校資訊之機密性、完整性與可用性,保障使用者資料隱私。
六、實施原則
1. 網路安全
1.1 本校與外界連線,僅限於經由教育局資訊中心之管控,以符合一致性與單一性之安全要求。並禁止以電話線連結主機電腦或網路設備。
1.2 網路安全管理服務委外廠商合約之安全要求,委外開發或維護廠商必須簽訂安全保密切結書。
2. 系統安全
2.1 本校內的個人電腦應
2.2 本校內個人電腦所使用的軟體應有授權,嚴禁安裝各種非法軟體。
2.3 資料備份
本校系統管理人員需針對本校重要系統(例如系統檔案、應用系統、資料庫等)定期進行備份工作,或採用自動備份機制;建議週期為每週進行一次。
2.4 操作員日誌
◎系統例行檢查、維護、更新活動的起始時間
◎系統錯誤內容和採取的改正措施。
◎紀錄日誌項目人員姓名與簽名欄
2.5 使用者註冊
◎本校資訊人員,必須妥善管理各應用系統之使用者帳號。
◎每人使用唯一的使用者識別碼( ID )。
◎檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。
◎保存一份包含所有識別碼註冊的記錄。
◎使用者調職或離職後,應移除其識別碼的存取權限。
◎定期(建議每學期)檢查並取消多餘的使用者識別碼和帳號。
◎定期(建議每學期)檢查新增之帳號,若有莫名帳號產生,應關閉帳號權限,並依通報程序請求處理。
2.6 特權管理
本校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明,應予以文件化記錄備查。
2.7 密碼( Password )之使用
◎混合大寫與小寫字母、數字,特殊符號。
◎密碼越長越好,最短也應該在 8 個字以上。
◎至少每三個月改一次密碼。
◎使用技巧記住密碼
◎使用字首字尾記憶法:
a. My favorite student is named Sophie Chen ,取字頭成為 mFSinsC
b. There are 26 lovely kids in my English class ,取字尾成為 Ee6ysnMEc
◎使用字首字尾記憶法:中文輸入按鍵記憶法:
例如「密碼」的注音輸入為「wj/ vu/6a83」
◎使用字首字尾記憶法:應該避免的作法
◦ 嚴禁不設密碼、與帳號相同或與主機名稱相同。
◦ 不要使用與自己有關的資訊,例如學校或家裡電話、親朋好友姓名、身份證號碼、生日等。
◦ 不重覆電腦鍵盤上的字母,例如 6666rrrr 或 qwertyui 或 zxcvbnm 。
◦ 不使用連續或簡單的組合的字母或數字,例如 abcdefgh 或 12345678 或 24681024
◦ 避免全部使用數字,例如 52526565 。
◦ 不使用難記以至必須寫下來的密碼。
◦ 避免使用字典找得到的英文單字或詞語,如 TomCruz 、 superman
◦ 不要使用電腦的登入畫面上任何出現的字。
◦ 不分享密碼內容給任何人,包括男女朋友、職務代理人、上司等。
2.8 原始程式庫之存取控制
學校與系統廠商間的合約應加註對原始程式庫安全之要求,並防範資料庫隱碼(SQL-injection)問題,針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。
2.9 通報安全事件與處理
3. 實體安全
3.1 設備安置及保護
3.2 電源供應
本校重要的資訊設備(如主機機房)應有適當的電力設施,例如設置 UPS 、電源保護措施,以免斷電或過負載而造成損失。
3.3 纜線安全
本校資訊設備主機機房、電腦教室區域內應避免明佈線。
3.4 設備與儲存媒體之安全報廢或再使用
所有包括儲存媒體的設備項目,在報廢前,應先確保已將任何敏感資料和授權軟體刪除或覆寫。
3.5 設備維護
3.6 財產攜出
3.7 桌面淨空與螢幕淨空政策
4. 人員安全
4.1 每學年至少要於校務會議上宣導一次本管理辦法,以及重要資通安全消息,以加強教職員工的資安意識。
4.2 資通安全教育與訓練
5. 個資保護要求
5.1 本校應就法律允許下,因公務需求所蒐集、處理及保存的個人資料,公佈以下項目至學校網站上。
5.2 本校教職員工必須遵守個資法規定,不得以任何理由,在沒有法源依據或違反當事人的意願下任意蒐集或洩露他人個資。
5.3 本校在辦理任何公開活動,會有蒐集、處理甚至公佈部份個資(例:姓名)時,必須在活動辦法及報名表中,陳述「本校之機關名稱」、「蒐集用途」及「使用地區和期限」,在經「當事人同意」並報名後始得蒐集。若有公佈的需求時,必須加註「將會公佈本活動優勝人(學)員名單」字樣。
5.4若需於單位管理之網站或網頁公布個人資料時,須經所屬單位主管核准,並依相關法律及規範處理。
5.5 個人資料檔案使用完畢後,應立即退出應用程式。
5.6 學校在交換紙本個人資料時,須採取彌封或其他具備保密機制之傳遞方式,並記錄轉交或傳輸行為的流向。
5.7 含個資之紙本文件不得放置於公共區域明顯處,或回收再使用。
5.8 學校應於法律允許之範圍內提供資料當事人下列權益:查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理或利用及請求刪除。
5.9 外部團體或個人更新或維修儲存個人資料檔案之電腦設備時,須指派專人在場確保資料安全。
5.10 儲存個人資料檔案之電腦或相關設備如需報廢或移轉他用,應刪除其所儲存之個人資料檔案。
6. 應對以下各項相關法令有基礎之認知
6.1 智慧財產權
6.2 個人資料保護及隱私
6.3 電子簽章法
