桃園市大溪區仁和國小資訊安全計畫實施要點
壹、依據
桃園市大溪區仁和國小 (以下簡稱本校) 為推動資訊安全教育,強化資訊安全管理,確保資料、系統、設備及網路安全,保障使用者權益,特依照『行政院及所屬各機關資訊安全管理要點』行政院八十八年九月十五日台八十八經字第三四七三五號函訂頒,訂定本計畫。
貳、目標
1.維持校務行政系統及校園教學網路持續運作。
2.防止駭客、病毒等入侵及破壞校務行政系統及校園網路。
3.防止人為意圖不當及不法使用校務行政系統及校園網路。
4.維護校務行政系統及校園網路實體環境安全。
5.避免人為疏失意外。
6.推廣並實施資訊安全教育,培育具有資訊素養的新一代。
叁、實施範圍
一、人員:本校教職員工、學生及使用本校系統資源之委外廠商人員。
二、應用系統:包含教務行政系統、公文系統、校園網路等。
三、硬體設備:
1.行政電腦:校務行政系統所安裝之主機、伺服器及與個人電腦。
2.班級及教師電腦:各班級學生及教師使用之個人電腦。
3.教學電腦(電腦教室):進行電腦資訊課程所安裝之個人電腦。
四、資訊安全教育:
1.研習活動及宣導:定期舉行資訊安全研習,鼓勵教職員工參加,並利用教師朝會時間,宣導資訊安全,提供新知。
2.班級教學:利用彈性課程,結合資訊議題,設計不同年級所需之資訊安全教育,並實施之。
肆、權責與分工
本校資訊安全工作之權責分工如下:
一、資訊安全政策、計畫及規範之建置及評估等事項,由資訊組負責辦理。
二、資料及資訊系統之安全需求、使用管理及保護等事項,由各業務承辦人員負責辦理。
三、資訊機密維護及資訊安全之稽核事項,由各業務承辦人員辦理。
四、資訊安全教育由本校全體教師共同辦理。
伍、安全管理
一、電腦病毒及惡意軟體之防範
1.伺服器及個人電腦:應有事前預防及保護措施,防制及偵測電腦病毒及惡意軟體等的侵入。
2.電腦病毒防範應考量的重要原則
(1)使用者應遵守軟體授權規定,禁止使用未取得授權的軟體。
(2)使用電腦病毒防制軟體,應依下列原則:
‧電腦病毒防治軟體及病毒碼應定期更新版本。
‧應定期或即時(real time)掃瞄電腦系統及資料儲存媒體。
‧對來路不明及內容不確定的磁片,應在使用前詳加檢查是否感染電腦病毒。
‧應定期將必要的資料備份。
二、軟體版權之控管
1、軟體之使用,應遵守相關法令及契約規定。
2、軟體版權管理應考量下列事項:
(1)禁止教職員工及學生保有或使用未取得授權的軟體。
(2)禁止教職員工及學生在未取得授權同意前,將軟體安裝到電腦設備上。
(3)須在原授權許可之外的電腦設備上使用軟體時,應取得正式的授權或另行採購。
(4)應依[政府所屬各級行政機關電腦軟體管理作業要點]規定,建立軟體使用的註冊管理機制。
三、日常作業之安全管理
1.應定期執行必要的資料及軟體備份,以便發生災害或是儲存媒體失效時,可迅速回復正常作業。
2.電腦及網路系統更新、維修、問題處理:
(1)電腦軟硬體及網路系統出現問題時,應迅速報告相關人員或資訊組。
(2)電腦軟硬體及網路系統更新、維修、問題處理應定期記錄,以供日後查考。
四、資料安全之管理
1.電腦媒體之使用管理:
(1)包括可攜帶移動的磁碟、光碟、筆記型電腦等,應依保存規格要求,存放在安全的環境。媒體儲存的資料,不再繼續使用時,應將儲存的內容消除。
(2)內含機密性或敏感性資料的媒體報廢時,應以安全的方式處理,例如:燒毀、以碎紙機處理,或將資料從媒體中完全清除。
(3)資訊累積一段時間作處理時,應特別注意及防止大量非機密性資料彙總成為敏感性或機密性資料。
2.處理、收受機密性、敏感性的資料,應防範洩漏或不法及不當的使用,視各業務單位之需求,可於獨立的或是專屬的電腦中執行,或在傳輸、儲存過程中以加密方法保護
3.個人資料的蒐集、公告、利用、更正、刪除及相關的申請登記、損害賠償、處罰等事宜應依「電腦處理個人資料保護法」等有關法令規定辦理。
4.電子檔案之保管
(1)電子資料檔案應妥善保管定期備份,以防止遺失、損毀、或不當使用。
(2)超過保存時限的檔案,應依相關規定刪除或銷毀。
五、網路安全管理
1.校園網路使用者之管理
(1)本校教職員工及學生,依其身分及所執行之工作,成為合法授權的校園網路使用者(以下簡稱使用者)。
(2)校園網路使用者使用者應遵循以下規定:
‧不得將自己的登入身份識別帳號與密碼交付他人使用。
‧不得使用他人的登入身份識別帳號與密碼。
‧禁止利用校園網路從事不法、不當得利之情事。
‧網路使用者不得以任何手段蓄意干擾或妨害校園網路的正常運作。
2.主機之安全防護
(1)避免提供遠端登入,以防資料經由電話線路或網際網路傳送時,被偷窺或截取(如一般網路服務HTTP、Telnet、FTP等的登入密碼)。
(2)防制非法使用者假冒合法使用者身分登入主機進行偷竊、破壞等情事。
(3)機密性及敏感性的資料或文件,不得存放在對外開放的資訊系統中。
3.系統之安全管理由資訊組負責,包括伺服主機的開關機,伺服主機的管理,伺服主機的正常運轉,管理者密碼管理,資料的安全管制,資料的備份與復原,網路線路的正常使用。
4.網路入侵之處理
若發現網路被入侵或疑似被入侵時(如:網頁遭竄改、分散式攻擊、資料非法存取、密碼被破解等),應立即依下列程序處理,並採取必要的行動。
(1)立即拒絕入侵者任何存取動作,防止災害繼續擴大;當防護網被突破時,系統應設定拒絕任何存取;或入侵者已被嚴密監控,在不危害內部網路安全的前題下,得適度允許入侵者存取動作,以利追查入侵者。
(2)切斷入侵者的網路連接,如無法切斷則必須關閉防火牆;或為達到追查入侵者的目的,可考慮讓入侵者做有條件的連接,一旦入侵者危害到內部網路安全,則必須立即切斷入侵者的網路連接。
(3)應全面檢討網路安全措施及修正防火牆的設定,以防範類似的入侵與攻擊。
(4)應正式記錄入侵的情形及評估影響的層面。
(5)立即向權責主管人員報告入侵情形。
(6)事件發生24小時內向基隆市教育局的資訊安全緊急處理小組反應通報,以獲取必要的外部協助,並在72小時內完成系統修復。
六、網路安全稽核
1.網路安全稽核事項
(1)操作紀錄及作業紀錄應予以保存。
(2)對於通過防火牆之各項連線資訊,均應予記錄。
(3)各伺服主機應記載各項連結服務的作業紀錄(system log)。
2.網路入侵之追查
(1)對入侵者的追查,除使用系統指令執行反向查詢外,並聯合相關單位(如中華電信),追蹤入侵者。
(2)入侵者之行為若觸犯法律規定,構成犯罪事實,應立即通知有關單位,請其處理入侵者之犯罪事實調查。
七、使用者之註冊及使用理管理
1.對於多人使用的資訊系統(校務行政系統、學校、班級網頁),必須依循安全的註冊程序。
2.帳號及權限管理,必須考量的事項如下:
(1)確認使用者是否已經取得使用資訊系統之正式授權。
(2)確認使用者被授權的程度是否與業務目的相稱,是否符合資訊安全政策及規定,再依執行業務之需求,賦予使用者系統存取特別權限。
(3)使用者調整職務及離(休)職時,必須儘速註銷其系統存取權限。
(4)確認系統存取特別權限之事項以及人員名單,定期檢查及取消閒置不用的帳號。。
3.密碼之管理
(1)為維持密碼的機密性,使用者須於首次使用時,立即更改通行密碼的方式處理。
(2)使用者忘記通行密碼時,提供臨時的密碼,以利系統辨認使用者。
(3)個人必須負責保護密碼,以維持其機密性。
(4)避免將通行密碼記錄在書面上,或張貼在個人電腦或終端機螢幕或其他容易洩漏秘密之場所。
(5)當有跡象足以顯示系統及使用者密碼可能遭破解時,應立即更改密碼。
(6)密碼的長度最少應由六位長度組成(不得為空白),且應英數混和。
(7)更換維護廠商時,防火牆及主機之相關帳號及密碼須刪除或修改
八、設備安全管理
1.設備應安置在適當地點,以減少環境不安全引發之危險及未經授權存取系統的機會。
2.設備安置應遵循的原則如下:
(1)設備應儘量安置在不需經常進出之地點。處理機密性資料工作站,應放置在可注意及可就近照顧之地點。
(2)需特別保護之設備,應考量與一般設備區隔。
(3)應檢查及評估火災、煙、水、灰塵、震動、化學效應、電力供應、電磁幅射等加諸於設備之危害。
(4)電腦作業區應禁止抽煙及飲用食物。
(5)應考量其他可能導致之危險因素。
3.辦公桌面之安全管理
(1)公文及磁片長時間不使用及下班後,應妥為存放;機密性、敏感性資訊,應妥為收存。
(2)棄置之手寫或影印公文廢紙及已過保存期限之公文,應視需要予以銷毀。
(3)個人電腦及終端機不使用時,應予關機、登出、設定螢幕密碼或是以其他控制措施保護。
陸、資訊安全事件通報處理機制
一、資訊安全事件之通報
1.因資訊安全事件(包括系統有安全漏洞、遭受非法入侵及破壞、遭遇阻斷服務攻擊及功能不正常事件等),致電腦系統無法運作或影響執行效率時,相關人員應視其狀況嚴重程度及影響層面,循序向各權責主管報告。
2.資訊組發現有資訊安全事件時,應依基隆市資訊小組資訊安全事件通報管道,迅速通報權責主管單位及人員處理。
3.發現資訊安全事件時,應迅速通報資訊組或權責主管單位,或請維護廠商協助處理。
二、通報後應採行之措施
1.應立即停止使用受影響之電腦系統或設備,並保留現況。
2.值班人員接獲通報後應紀錄相關的訊息。
3.系統管理人員處理後,應向直屬業務主管回報處理結果,並作成紀錄。
三、緊急應變計畫
1.人員請假或有緊急事故時,可將重要事項交託職務代理人代為處理,若需人員親自處理時,可透過電話聯繫及網路連線作必要之處置,若家中無電腦之同仁,可以借用筆記型電腦來連線。
2.系統方面緊急應變措施:定期執行資料及軟體之備份及備援作業,以便發生災害或是儲存媒體失效時,可迅速回復正常作業。系統當機時,同仁先自行排除,若無法排除時立即連絡維護廠商處理。
柒、本計畫經校長核可後實施,修正時亦同。