Empty Title

• 專職(責)人力及經費配置
  • 專職(責)人力及資源之配置

1. 本機關依資通安全責任等級分級辦法之規定，屬資通安全責任等級D級，其分工如下。

1. 資通安全認知與訓練業務，負責推動資通安全教育訓練等業務之推動。
2. 資通安全防護業務，資通安全防護設施建置及資通安全事件通報及應變業務之推動。
3. 資通安全管理法法遵事項業務，負責本機關對所屬公務務機關或所管特定非公務機關之法遵義務執行事宜。

2. 本機關之承辦單位於辦理資通安全業務時，如資通安全人力或經驗不足，得洽請相關學者專家或專業機關（構）提供顧問諮詢服務。
3. 本機關負責重要資通系統之管理、維護、設計及操作之人員，應妥適分工，分散權責，若負有機密維護責任者，應簽屬書面約定，並視需要實施人員輪調，建立人力備援制度。
4. 本機關之首長及各級業務主管人員，應負責督導所屬人員之資通安全作業，防範不法及不當行為。
5. 專業人力資源之配置情形應每年定期檢討，並納入資通安全維護計畫持續改善機制之管理審查。
   • 經費之配置

1. 資通安全推動小組於規劃配置相關經費及資源時，應考量本機關之資通安全政策及目標，並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源。
2. 各單位如有資通安全資源之需求，應配合機關預算規劃期程向資通安全推動小組提出，由資通安全推動小組視整體資通安全資源進行分配，並經資通安全長核定後，進行相關之建置。
3. 資通安全經費、資源之配置情形應每年定期檢討，並納入資通安全維護計畫持續改善機制之管理審查。

• 資訊及資通系統之盤點
  • 資訊及資通系統盤點

本機關每年辦理資訊及資通系統資產盤點，依管理責任指定對應之資產管理人。相關事項本機關未訂者得參考引用ISMS-02-06 資訊資產管理規範」要求辦理。

• • 機關資通安全責任等級分級

依據教育部臺教資(四)第1070202157號函文，本校為公立高級中等以下學校，且配合資訊資源向上集中計畫，核心資訊系統均由上級或監督機關兼辦或代管， 其資通安全責任等級為 D 級。

• 資通安全風險評估
  • 資通安全風險評估

1. 本機關應每年針對資訊及資通系統資產進行風險評估，若配合資訊資源向上集中計畫，資訊系統由上級或監督機關兼辦或代管，則不需進行。
2. 執行風險評估時應參考行政院國家資通安全會報頒布之最新「資訊系統風險評鑑參考指引」，並依其中之｢詳細風險評鑑方法｣進行風險評估之工作。
3. 相關事項本機關未訂者得參考引用ISMS-02-01 風險評鑑與管理規範」要求辦理。
4. 本機關應每年依據資通安全責任等級分級辦法之規定，分別就機密性、完整性、可用性、法律遵循性等構面評估自行或委外開發之資通系統防護需求分級。
   • 核心資通系統及最大可容忍中斷時間

本校配合資訊資源向上集中計畫，核心資訊系統均由上級或監督機關兼辦或代管，不再另行訂定。

• 資通安全防護及控制措施

本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項及核心資通系統之防護基準，採行相關之防護及控制措施如下:

1. • 資訊及資通系統之管理
     • 資訊及資通系統之保管
1. 資訊及資通系統管理人應確保資訊及資通系統已盤點造冊並適切分級，並持續更新以確保其正確性。
2. 資訊及資通系統管理人應確保資訊及資通系統被妥善的保存或備份。
3. 資訊及資通系統管理人應確保重要之資訊及資通系統已採取適當之存取控制政策。
   • • 資訊及資通系統之使用

1. 本機關同仁使用資訊及資通系統前應經其管理人授權。
2. 本機關同仁使用資訊及資通系統時，應留意其資通安全要求事項，並負對應之責任。
3. 本機關同仁使用資訊及資通系統後，應依規定之程序歸還。資訊類資訊之歸還應確保相關資訊已正確移轉，並安全地自原設備上抺除。
4. 非本機關同仁使用本機關之資訊及資通系統，應確實遵守本機關之相關資通安全要求，且未經授權不得任意複製資訊。
5. 對於資訊及資通系統，宜識別並以文件記錄及實作可被接受使用之規則。
   • • 資訊及資通系統之刪除或汰除

1. 資訊及資通系統之刪除或汰除前應評估機關是否已無需使用該等資訊及資通系統，或該等資訊及資通系統是否已妥善移轉或備份。
2. 資訊及資通系統之刪除或汰除時宜加以清查，以確保所有機敏性資訊及具使用授權軟體已被移除或安全覆寫。
3. 具機敏性之資訊或具授權軟體之資通系統，宜採取實體銷毀，或以毀損、刪除或覆寫之技術，使原始資訊無法被讀取，並避免僅使用標準刪除或格式化功能。
   • 存取控制與加密機制管理
     • 網路安全控管

1. 本機關應定期檢視防火牆政策是否適當，並適時進行防火牆軟、硬體之必要更新或升級。若為向上集中管理，則由上級單位統一辦理更新與升級。
2. 對於通過防火牆之來源端主機IP位址、目的端主機IP位址、來源通訊埠編號、目的地通訊埠編號、通訊協定、登入登出時間、存取時間以及採取的行動，均應予確實記錄。
3. 對網路系統管理人員或資通安全主管人員的操作，均應建立詳細的紀錄。並應定期檢視網路安全相關設備設定規則與其日誌紀錄，並檢討執行情形。
4. 使用者應依規定之方式存取網路服務，不得於辦公室內私裝電腦及網路通訊等相關設備。
5. 無線網路防護

1. 機密資料原則不得透過無線網路及設備存取、處理或傳送。
2. 無線設備應具備安全防護機制以降低阻斷式攻擊風險，且無線網路之安全防護機制應包含外來威脅及預防內部潛在干擾。
3. 行動通訊或紅外線傳輸等無線設備原則不得攜入涉及或處理機密資料之區域。
4. 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站，應安裝防毒軟體，並定期更新病毒碼。
   • • 資通系統權限管理

1. 本機關之資通系統應設置通行碼管理，通行碼之要求需滿足：

1. 通行碼長度8碼以上。
2. 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。
3. 使用者每90天應更換一次通行碼。

2. 使用者使用資通系統前應經授權，並使用唯一之使用者ID，除有特殊營運或作業必要經核准並紀錄外，不得共用ID。
3. 使用者無繼續使用資通系統時，應立即停用或移除使用者ID，資通系統管理者應定期清查使用者之權限。
   • • 特權帳號之存取管理

1. 資通系統之特權帳號請應經正式申請授權方能使用，特權帳號授權前應妥善審查其必要性，其授權及審查記錄應留存。
2. 資通系統之特權帳號不得共用。
3. 對於特權帳號，宜指派與該使用者日常公務使用之不同使用者ID。
4. 資通系統之特權帳號應妥善管理，並應留存特殊權限帳號之使用軌跡。
5. 資通系統之管理者每季應清查系統特權帳號並劃定特權帳號逾期之處理方式。
   • • 加密管理

1. 本機關之機密資訊於儲存或傳輸時應進行加密。
2. 本機關之加密保護措施應遵守下列規定：

1. 應避免留存解密資訊。
2. 一旦加密資訊具遭破解跡象，應立即更改之。
   • • 其它相關事項本機關未訂者得參考引用ISMS-02-11 存取控制管理規範」與「ISMS-03-11 帳號註冊註銷作業程序書」要求辦理。