1. 資通安全維護計畫

 

 

 

臺南市學東國民小學

資通安全維護計畫

 

 

 

 

 

 

機密等級：一般

 

承辦人簽章：

單位主管簽章：

資安長簽章：

校長簽章：

 

台南市安南區學東國民小學資通安全維護計畫

 

目　　錄

 

壹、...... 依據及目的........................................................................... 4

貳、...... 適用範圍.............................................................................. 4

參、...... 核心業務及重要性............................................................... 4

肆、...... 資通安全政策及目標............................................................ 6

一、 資通安全政策....................................................................... 6

二、 資通安全目標....................................................................... 6

三、 資通安全政策及目標之核定程序......................................... 6

四、 資通安全政策及目標之宣導................................................ 6

五、 資通安全政策及目標定期檢討程序..................................... 7

伍、...... 資通安全推動組織............................................................... 7

一、 資通安全長........................................................................... 7

二、 資通安全推動組織............................................................... 7

陸、...... 專職(責)人力及經費配置..................................................... 8

一、 專職(責)人力及資源之配置.................................................. 8

二、 經費之配置........................................................................... 9

柒、...... 資訊及資通系統之盤點........................................................ 9

一、 資訊及資通系統盤點............................................................ 9

二、 機關資通安全責任等級分級................................................ 9

捌、...... 資通安全風險評估............................................................. 10

一、 資通安全風險評估............................................................. 10

二、 核心資通系統及最大可容忍中斷時間............................... 10

玖、...... 資通安全防護及控制措施.................................................. 10

一、 資訊及資通系統之管理...................................................... 10

二、 存取控制與加密機制管理.................................................. 11

三、 作業與通訊安全管理.......................................................... 13

四、 系統獲取、開發及維護...................................................... 17

五、 業務持續運作演練............................................................. 17

六、 執行資通安全健診............................................................. 17

七、 資通安全防護設備............................................................. 17

壹拾、....... 資通安全事件通報、應變及演練相關機制................... 17

壹拾壹、... 資通安全情資之評估及因應.......................................... 18

一、 資通安全情資之分類評估.................................................. 18

二、 資通安全情資之因應措施.................................................. 19

壹拾貳、... 資通系統或服務委外辦理之管理.................................. 19

壹拾參、... 資通安全教育訓練......................................................... 20

一、 資通安全教育訓練要求...................................................... 20

二、 資通安全教育訓練辦理方式.............................................. 20

壹拾肆、... 公務機關所屬人員辦理業務涉及資通安全事項之考核機制        20

壹拾伍、... 資通安全維護計畫及實施情形之持續精進及績效管理機制        20

一、 資通安全維護計畫之實施.................................................. 20

二、 資通安全維護計畫實施情形之稽核機制............................ 21

三、 資通安全維護計畫之持續精進及績效管理........................ 21

壹拾陸、... 資通安全維護計畫實施情形之提出.............................. 22

壹拾柒、... 相關法規、程序及表單................................................. 22

一、 相關法規及參考文件.......................................................... 22

二、 附件表單............................................................................ 23

 

壹、依據及目的

本計畫依據下列法規訂定：

• 資通安全管理法第10條及其施行細則第6條。
• 臺南市政府資訊安全政策。
• 其他相關業務法規名稱。

貳、適用範圍

本計畫適用範圍涵蓋學東國小全機關。

參、核心業務及重要性

• 核心業務及重要性：

本機關之核心業務及重要性如下表：

核心業務	核心資通系統	重要性說明	業務失效影響說明	最大可容忍中斷時間
教務業務：課程發展、課程編排、教學實施、學籍管理、成績評量、教學設備、教具圖書資料供應、教學研究及教學評鑑，並與輔導單位配合實施教育輔導等事項	國小學籍系統 (向上集中) 國小成績系統(向上集中)	為本機關依組織法執掌，足認為重要者。	可能使本校部分業務中斷	由上級管理單位訂之
學生事務：公民教育、道德教育、生活教育、體育衛生保健、學生團體活動及生活管理，並與輔導單位配合實施生活輔導等事項。	無	為本機關依組織法執掌，足認為重要者。	無	無
總務業務：學校文書、事務及出納等事項	公文系統 (向上集中)	為本機關依組織法執掌，足認為重要者。	可能使本校部分業務中斷	由上級管理單位訂之
輔導業務：學生資料蒐集與分析、學生智力、性向、人格等測驗之實施，學生興趣、學習成就與志願之調查、輔導諮商之進行，並辦理特殊教育及親職教育等事項。	國小輔導系統(向上集中)	為本機關依組織法執掌，足認為重要者。	可能使本校部分業務中斷	由上級管理單位訂之

各欄位定義：

1. 核心業務：請參考資通安全管理法施行細則第7條之規定列示。
2. 核心資通系統：該項核心業務所必須使用之資通系統名稱。
3. 重要性說明：說明該業務對機關之重要性，例如對機關財務及信譽上影響，對民眾影響，對社會經濟影響，對其他機關業務運作影響，法律遵循性影響或其他重要性之說明。
4. 業務失效影響說明：該項業務使用之系統失效後，機關業務運作有何影響。
5. 最大可容忍中斷時間單位以小時計(對外服務以小時，對內服務以工作小時計)。

• 非核心業務及說明：

本機關之非核心業務及說明如下表：

非核心業務	業務失效影響說明	最大可容忍中斷時間
學校首頁(向上集中)	可能使本校部分業務中斷	由上級管理單位訂之

各欄位定義：

1. 非核心業務系統：公務機關非核心業務相關之資通系統，如差勤服務、郵件服務、用戶端服務等。
2. 業務失效影響說明：該項業務使用之系統失效後，機關業務運作有何影響。
3. 最大可容忍中斷時間單位以小時計(對外服務以小時，對內服務以工作小時計)。

肆、資通安全政策及目標

一、資通安全政策

為使本機關業務順利運作，防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，並確保其機密性（Confidentiality）、完整性（Integrity）及可用性（Availability），依據臺南市政府資訊安全政策如下，以供全體同仁共同遵循：

1. 安全：確保資訊不遭竊取、竄改、滅失或遺漏。
2. 正確：資訊內容及處理過程精準無誤。
3. 迅速：對資安事件之處理、通報與回復能快速完成。

二、資通安全目標

1. 適時因應法令與技術之變動，調整資通安全維護之內容，以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以確保其機密性、完整性及可用性。
2. 達成資通安全責任等級分級之要求，並降低遭受資通安全風險之威脅。

三、資通安全政策及目標之核定程序

資通安全政策由本機關簽陳資通安全長核定。

四、資通安全政策及目標之宣導

1. 本機關之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式，向機關內所有人員進行宣導。
2. 本機關應每年向利害關係人(例如IT服務供應商、與機關連線作業有關單位)進行資安政策及目標宣導。

五、資通安全政策及目標定期檢討程序

資通安全政策及目標應定期於資通安全管理審查會議中檢討其適切性。

伍、資通安全推動組織

一、資通安全長

依本法第11條之規定，本機關擇請教導主任兼任本機關資通安全長，負責督導機關資通安全相關事項，其任務包括：

1. 資通安全管理政策及目標之核定、核轉及督導。
2. 資通安全責任之分配及協調。
3. 資通安全資源分配。
4. 資通安全防護措施之監督。
5. 資通安全事件之檢討及監督。
6. 資通安全相關規章與程序、制度文件核定。
7. 資通安全管理年度工作計畫之核定
8. 資通安全相關工作事項督導及績效管理。
9. 其他資通安全事項之核定。

二、資通安全推動組織

(一)本機關設置「資通安全推動小組」負責督導機關資通安全相關事項，為推動本機關之資通安全相關政策、落實資通安全事件通報及相關應變處理，由資通安全長召集人員代表成立資通安全推動小組，其任務宜包括：

1. 跨部門資通安全事項權責分工之協調。
2. 應採用之資通安全技術、方法及程序之協調研議。
3. 整體資通安全措施之協調研議。
4. 資通安全計畫之協調研議。
5. 其他重要資通安全事項之協調研議。

(二)分工及職掌

本機關之資通安全推動小組依下列分工進行責任分組，並依資通安全長之指示負責下列事項，本機關資通安全推動小組分組人員名單及職掌應列冊，並適時更新之：

1. 資通安全推動小組，其工作內容得參考下列事項：

1. 資通安全政策及目標之研議。
2. 訂定機關資通安全相關規章與程序、制度文件，並確保相關規章與程序、制度合乎法令及契約之要求。
3. 依據資通安全目標擬定機關年度工作計畫。
4. 傳達機關資通安全政策與目標。
5. 其他資通安全事項之規劃。
6. 資通安全技術之研究、建置及評估相關事項。
7. 資通安全相關規章與程序、制度之執行。
8. 資訊及資通系統之盤點及風險評估。
9. 資料及資通系統之安全防護事項之執行。
10. 資通安全事件之通報及應變機制之執行。
11. 其他資通安全事項之辦理與推動。
12. 每年定期召開資通安全管理審查會議，提報資通安全事項執行情形。

陸、專職(責)