一、本校為依個人資料保護法(以下簡稱本法）執行所保有個人資料之管理與維護，特訂定本要點。

二、各處室應指定專人辦理或督導所屬人員辦理下列事項：

   （一）辦理當事人依本法第10條、第11條所定請求事項。

   （二）本法第18條所定個人資料檔案安全維護。

  （三）個人資料保護事項之協調聯繫。

  （四）處室內個人資料損害預防及危機處理應變之通報與窗口。

  （五）本校個人資料保護政策之執行、處室內個人資料保護之自行查核。

   （六）其他處室內個人資料保護管理之規劃及執行。

三、各處室蒐集、處理或利用所列管之個人資料，應確實依本法第5條至第9條、第15、16條規定為之，且應採取適當安全維護措施。

四、各處室應依本法第17條規定，將下列事項公開於電腦網站，或以其他適當方式供公眾查閱；其有變更者，亦同：

    (一)、個人資料檔案名稱。

    (二)、保有機關名稱及聯絡方式。

    (三)、個人資料檔案保有之依據及特定目的。

    (四)、個人資料之類別。

    前項1至4款明細由各處室負責提供，經人事室彙整後送資訊人員公佈於本校網站。

五、各處室依本法第15條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：

    (一)、公務機關名稱。

    (二)、蒐集之目的。

    (三)、個人資料之類別。

    (四)、個人資料利用之期間、地區、對象及方式。

    (五)、當事人依第三條規定得行使之權利及方式。

    (六)、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

    有下列情形之一者，得免為前項之告知：

    (一)、依法律規定得免告知。

    (二)、個人資料之蒐集係執行法定職務所必要。

    (三)、告知將妨害公務機關執行法定職務。

    (四)、告知將妨害第三人之重大利益。

    (五)、當事人明知應告知之內容。

六、各處室依本法第十五條規定蒐集非由當事人提供之個人資料，應於處理或利用前，依本法第9條規定辦理。

七、各處室依本法第7條規定經當事人書面同意者，應取得當事人同意書(詳參考範例)。

八、對於個人資料之利用，不得為資料庫之恣意連結，且不得濫用。

    個人資料已刪除、停止處理或利用者，資料保有處室及各該處室應確實記錄。

九、本校違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害情事者，經查明後，應由資料外洩處室以適當方式儘速通知當事人。

十、當事人依本法規定之請求，承辦處室應於三十日內為准駁之決定；必要時得予延長，延長期間不得逾三十日，並應將其原因以書面通知請求人。

十一、為防止個人資料被竊取、竄改、毀損、滅失或洩漏，各處室應依本要點指定專人或督導相關人員依相關規定辦理個人資料檔案安全維護事項，並送受相關訓練。

十二、為強化個人資料檔案資訊系統之存取安全，防止非法授權存取，維護個人資料之隱私性，應建立個人資料檔案安全稽核制度，並由資訊人員負責稽核。

前項個人資料檔案資訊系統之帳號、密碼、權限管理及存取紀錄等相關管理事宜，由資訊人員依相關作業要點辦理之。

十三、本要點經校長核可後實施，修正時亦同;如有未盡事宜悉依相關規定辦理。

個人資料提供、使用同意書

個人資料使用同意書

本人茲同意桃園市平鎮區新勢國民小學，為促進個人資料之合理利用，並依「個人資料保護法」及其他相關法規有效管理、處理本人及子、女個人資料，同意桃園市平鎮區新勢國民小學基於特定目的儲存、建檔、轉介、運用、處理本人所提供之各項資料，其資料並得於電磁紀錄物或其他類似媒體永久保存及利用。特立此書。

此致

桃園市平鎮區新勢國民小學

子女姓名：

立書人簽章(或簽名)：

中華民國    年    月    日 

資通安全管理規範

一、   目標

本文件提供國中、小學資通安全系統管理實施原則建議，以增進資訊作業之安全性，確保學校資料之機密性、完整性與可用性。

二、   適用範圍

國中、小學內電腦、資訊與網路服務相關的系統、設備、程序、及人員。

三、   實施規定

1    網路安全

1.1   網路控制措施

1.1.1    與外界連線，應僅限於經由教育局(處)網路管理單位之管控，以符合一致性與單一性之安全要求。

1.1.2    應禁止以私人架設網路（如：電話線、2G或3G網路等）連結機房內之主機電腦或網路設備。

1.1.3    宜依業務性質之不同，區分不同內部網路網段，例如：教學、行政、宿網等，以降低未經授權存取之風險。

1.1.4    對於開放提供外部使用者或廠商存取之服務，必須限制使用者之來源IP及網路連線埠(Port)，以確保安全。

1.2   無線網路存取

1.2.1    應禁止使用者私自將無線網路存取設備介接至校園網路；若有介接之必要應經權責管理人員同意並設定帳號通行碼或加密金鑰以防未經許可之盜用。

1.2.2    校園內應提供無線網路存取服務，並採取適當安全管控措施：

l   專供行政使用之無線網路熱點建議設定加密金鑰防護，並避免使用開放之無線網路存取重要資訊系統及處理敏感性資料。

l   於教學區域、會議室等場所佈建之無線網路熱點應具有使用者身分認證機制，並經由校園無線路漫遊服務系統提供外校來賓使用。

l   專供師生教學活動使用之無線網路熱點，若採用其他管理方式確有不便時，應採取限定開放時間及限制開放區域等管理措施，減少遭受不當利用之機會。

l   開放校外人士出入之公共空間可視需要提供民眾無線上網服務，其網段應與校園網路隔離，或委由網路服務業者提供。

2    系統安全

2.1   設備區隔

伺服器主機可依個別應用系統之需要，設置專屬主機，以避免未經授權之存取，例如網路服務主機(電子郵件、網站主機)、教學系統主機(例如隨選視訊主機)等。

2.2   對抗惡意軟體、隱密通道及特洛依木馬程式

2.2.1    個人電腦應：

l  裝置防毒軟體，將軟體設定為自動定期更新病毒碼；或由伺服器端進行病毒碼更新的管理。

l  作業系統及軟體應定期更新，以防範系統漏洞。

2.2.2    個人電腦所使用的軟體應有授權。

2.2.3    新伺服器系統啟用前，應執行相關程序(如：確認適合該作業系統之掃毒工具、預設通行碼更新、系統更新等，並記錄於啟用與報廢紀錄單)，以防範可能隱藏的病毒或後門程式。（參考啟用與報廢紀錄單格式，文件編號A-1）

2.3   桌面淨空與螢幕淨空政策

2.3.1    個人電腦辦公桌面應避免存放機敏性文件，結束工作時，應將其所經辦或使用具有機密或敏感特性的資料（如公文、學籍資料等）妥善存放。

2.3.2    當個人電腦或終端機不使用時，應使用鍵盤鎖或其他控管措施保護個人電腦及終端機安全個人電腦應設定螢幕保護機制。

2.4   資料備份

2.4.1    系統管理人員需針對學校重要電腦系統及資料（如:系統檔案、網站、資料庫等）應每週至少進行一次備份工作；建議使用設備執行異地備份或使用光碟、隨身碟或外接式硬碟執行異地存放。

2.4.2    每年應定期檢查備份資料之可用性與完整性。

2.5   資訊工作日誌

2.5.1    系統管理人員需針對重要電腦系統進行檢查、維護、更新等動作時，應針對這些活動填寫日誌予以紀錄，作為未來需要時之查核。（參考資訊工作日誌格式，文件編號A-2）

2.5.2    系統管理人員應至少每季執行一次校時。

2.6   資訊存取限制

共用的個人電腦（如：電腦教室電腦、教師休息室電腦等）應以特定功能為目的，並設定特定安全管控機制（如：限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取等）。

2.7   使用者註冊

人員報到或離退職應會辦電腦系統帳號管理人員，執行電腦系統的使用者註冊及註銷程序，透過該註冊及註銷程序來控制使用者資訊服務的存取，該作業應包括以下內容：

l  使用唯一的使用者帳號。

l  檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。

l  保存一份包含所有帳號註冊的記錄。

l  使用者調職或離職後，應移除其帳號的存取權限。

l  每學期應檢查使用者帳號，以確保帳號的有效性。（參考帳號申請單格式，文件編號A-3）

2.8   特權管理

電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明，應予以文件化記錄。（參考系統特權帳號清單格式，文件編號A-4）

2.9   通行碼（Password）之使用

2.9.1    管制使用者第一次登入系統時，必須立即更改預設通行碼，預設通行碼應設定有效期限。

2.9.2    資訊系統與服務應避免使用共用帳號及通行碼。

2.9.3    由學校發佈通行碼制定與使用規則給使用者(參考優質通行碼設定原則與使用原則文件，文件編號：A-5)，內容應包含以下各項：

l  使用者應該對其個人所持有通行碼盡保密責任。

l  要求使用者的通行碼設定，應該包含英文字及數字，長度為8碼（含）以上。

2.10  通報安全事件與處理

2.10.1  資訊安全事件包括：系統被入侵、對外攻擊、針對性攻擊、散播惡意程式、中繼站、電子郵件社交工程攻擊、垃圾郵件、命令或控制伺服器、殭屍電腦、惡意網頁、惡意留言、網頁置換、釣魚網頁、個資外洩等。

2.10.2  資訊安全事件等級，由輕微至嚴重區分等級如下：

l   符合下列任一情形者，屬0級事件：

(1)  未確定事件或待確認工單:來自不同計畫所使用新型技術(A-SOC，miniSOC,…)所產生之工單，但其正確性有待確認。

(2)  其他單位所告知教育部所屬單位所發生未確定之資安事件。

(3)  教育部及區、縣網路中心檢舉信箱通告之資安事件。

l   符合下列任一情形者，屬1級事件：

(1)  非核心業務資料遭洩漏。

(2)  非核心業務系統或資料遭竄改。

(3)  非核心業務運作遭影響或短暫停頓。

l   符合下列任一情形者，屬2級事件：

(1)  非屬密級或敏感之核心業務資料遭洩漏。

(2)  核心業務系統或資料遭輕微竄改。

(3)  核心業務運作遭影響或系統效率降低，於可容忍中斷時間內回復正常運作。

l   符合下列任一情形者，屬3級事件：

(1)  密級或敏感公務資料遭洩漏。

(2)  核心業務系統或資料遭嚴重竄改。

(3)  核心業務運作遭影響或系統停頓，無法於可容忍中斷時間內回復正常運作。

l   符合下列任一情形者，屬4級事件：

(1)  國家機密資料遭洩漏。

(2)  國家重要資訊基礎建設系統或資料遭竄改。

(3)  國家重要資訊基礎建設運作遭影響或系統停頓，無法於可容忍中斷時間內回復正常運作。

2.10.3  本校任何人於校內發現異常情況或疑似資安事件，應立即向資安業務承辦人通報，資安業務承辦人應儘速進行處理並研判事件等級。

2.10.4  資安業務承辦人當發生研判事件等級3（含）以上之事件，應立即通報資訊業務主管及校長，並以電話聯絡教育局(處)資訊安全管理單位，由校長儘快召集會議研商處理的方式。(參考資安事件通報程序，文件編號：A-6)

2.10.5  當發生無法處理之資通安全事件，應通報教育局(處)資訊安全管理單位協助處理。

2.10.6  教育機構資安通報平台（網址：https://info.cert.tanet.edu.tw/），帳號為學校OID：                                                。

2.10.7  資安通報依情報來源分為「告知通報」與「自行通報」，若收到「告知通報」事件通知，由資安業務承辦人登入教育機構資安通報平台，完成通報及應變作業。

2.10.8  資安事件若為校內人員自行發現，由資安業務承辦人登入教育機構資安通報平台進行「自行通報」完成通報及應變作業。

2.10.9  資安事件須於發生後1小時內進行通報，0、1、2級事件於事件發生後72小時內處理完成並結案(包括通報與應變)，3、4級事件於事件發生後36小時內完成並結案。

2.10.10 如有收到教育機構資安通報平台「資安預警事件」通知，由資安業務承辦人登入教育機構資安通報平台，進行資安預警事件單處理作業。

2.10.11 相關通報應變流程請依照「教育機構資安通報應變手冊」規定辦理。

3    實體安全

3.1   設備安置及保護

3.1.1    主機機房及電腦教室宜設置偵煙、偵熱或滅火設備（氣體式滅火器），並禁止擺放易燃物或飲食。

3.1.2    主機機房及電腦教室的電源線插頭應有接地的連結或有避雷針等裝置，避免如雷擊事件所造成損害情況。

3.1.3    主機機房及電腦教室應實施門禁管制。

3.2   溫濕度控制

重要的資訊設備（如：主機機房等）宜有溫濕度控制措施(溫度建議控制在20℃~25℃，濕度建議控制在相對濕度50%R.H.~70%R.H.)，以防止資訊設備意外損壞。機房內應有溫濕度顯示裝置，以觀察實際之溫濕度情況。

3.3   電源供應

重要的資訊設備（如：主機機房等）應有適當的電力保護設施，例如設置UPS、電源保護措施(如：穩壓器、接地等)，以免斷電或過負載而造成損失，並設置緊急照明設備以作為停電照明之用。

3.4   纜線安全

主機機房及電腦教室內線路應考量設置保護設施(如：高架地板、線槽、套管等)。設備與儲存媒體之安全報廢或再使用

所有包括儲存媒體的設備項目，在報廢前應填寫「啟用與報廢紀錄單」，確認已將任何敏感資料和授權軟體刪除或覆寫。（參考啟用與報廢紀錄單格式，文件編號A-1）

3.5   財產攜出

3.5.1    禁止資訊設備在未經授權之情況下攜離所屬區域，若需將設備攜出，應遵守財產管理相關規定並填寫「設備進出紀錄表」。（參考設備進出紀錄表格式，文件編號A-7）

3.5.2    當有必要將設備移出，應檢視相關授權，並實施登記與歸還記錄。

4    可攜式電腦設備與媒體

4.1   公務用可攜式電腦設備(如：筆記型電腦、平板電腦、智慧型手機等)應設定保護機制，如設定通行碼、圖形辨識、臉孔辨識或指紋辨識等。

4.2   公務用可攜式電腦設備應執行安全相關程序（如：掃毒、預設通行碼更新、系統更新等），以防範可能隱藏的病毒或後門程式。

4.3   公務用可攜式儲存媒體(如：隨身碟、光碟、磁帶等)應依儲存資料的機敏性實施安全控管措施，如檔案加密儲存或將該儲存媒體存放於上鎖儲櫃或安全處所。

5    人員安全

5.1   人員安全責任

非正式人員、約聘(僱)人員者，因業務需要，而接觸公務機密、個人權益及學校機敏資料者須填寫保密切結書。（參考切結書格式，文件編號A-8）

5.2   資訊安全教育與訓練

5.2.1    鼓勵資安業務承辦人參加資安管理系統相關教育訓練。

5.2.2    鼓勵所有教職員參與資訊安全教育訓練或宣導活動，以提昇資訊安全認知。

6    資訊業務委外管理

6.1   服務委外廠商合約之安全要求

6.1.1    在資訊業務委外合約中，應訂定委外廠商的資訊安全責任及保密規定。

6.1.2    應要求委外廠商簽訂安全保密切結書。(參考切結書格式，文件編號A-9)

6.1.3    委外廠商人員到校服務時，應請其簽署委外廠商人員保密切結書。(參考切結書格式，文件編號A-10)

6.2   委外廠商服務異動或終止時，應中止或刪除其系統上的帳號與權限。（參考帳號申請單格式，文件編號A-3）

7    應對以下各項相關法令有基礎之認知，並利用各集會場合對全校師生口頭宣導(至少一學期一次)。

7.1   智慧財產權

著作權法

7.2   個人資訊的資料保護及隱私

個人資料保護法及施行細則

刑法電腦犯罪專章

一、 依據教育部九十一年一月三日(九O)電字90187600號令核定的「教育部校園網路使用規範」，為提本校網路資源使用、網路管理及安全，並恪遵台灣學術網路(TANet)之使用精神，特訂定本規範。

二、 本校校園網路之建立，係以提供全校教職員生，從事教學研究、校務行政業務等相關活動為目標。

三、 本校校園網路之管理單位為電腦中心(以下簡稱中心)。校園網路範圍係指在本校校園內之資訊設備，及利用本校校園網路連線之所有資訊設備。凡利用上述設備之個人或單位皆為本校校園網路之使用者。

四、網路使用者應尊重智慧財產權，並不得有涉及下列侵害智慧財產權之行為：

    (一) 安裝、儲存、使用未經授權之電腦程式。

    (二) 違法下載或拷貝受著作權法保護之著作。

    (三) 未經著作權人之同意，將受保護之著作上傳於公開之網站上。

    (四) 電子佈告欄系統(BBS)或其他線上討論區上之文章，經著作人明示禁止轉載，而仍然任意轉載。

    (五) 架設網站供公眾違法下載受保護之著作。

    (六) 其他可能涉及侵害智慧財產權之行為。

五、 合法的商業性軟體之智慧財產權擁有者，若願意提供其軟體給本校教職員生使用，必須由該軟體版權業者出具軟體合法授權使用證明，方得安裝該軟體於校園網路之電腦系統上。

六、網路使用者不得有下列濫用網路系統行為：

    (一) 私設或竄改校園網路上任何電腦之網際網路位址(IP Address，簡稱IP)。

    (二) 散布電腦病毒或其他干擾或破壞系統機能之程式。

    (三) 以破解、盜用或冒用他人帳號及密碼等方式，未經授權使用網路資源。無故洩漏他人或公務之帳號及密碼或將帳號借予他人使用。

    (四) 擅自截取網路傳輸訊息或窺視他人之電子郵件或檔案。

    (五) 以任何方式濫用網路資源，包括以電子郵件大量傳送廣告信、連鎖信或無用之信息，或以灌爆信箱、掠奪資源等方式，影響系統之正常運作。

    (六) 以電子郵件、BBS、留言板、線上談話或類似功能之方法散布詐欺、誹謗、侮辱、猥褻、騷擾、非法軟體交易或其他違法之訊息。

    (七) 洩漏機密之校務檔案資料、網路資訊或網路架構等給非教育主管機關之不相干之校外機構或個人。

    (八) 入侵他人主機或資料庫，進行盜拷竄改毀損資料、攻擊破壞干擾系統作業。

    (九) 利用學校之網路資源從事未經本校許可的商業或違法、不當行為。

七、為執行本規範之內容，校園網路管理事項如下：

    (一)協助網路使用者建立自律機制。

    (二)對網路流量做適當之區隔與管控。

    (三)對於違反本規範或影響網路正常運作者，得暫停該網路使用者使用之權利。

    (四)BBS及其他網站應設置專人負責管理與維護。違反網站使用規則者，負責人得刪除其文章或暫停其使用。其情節重大、違反校規或法令時，並應轉請學校處置。

    (五)使用者若發現系統安全有任何缺陷，應儘速通報網路管理單位。

    (六)其他有關校園網路管理之事項。

八、 網管單位應尊重網路隱私權，不得任意窺伺使用者之個人資料或有其他侵犯隱私權之行為。但有下列情形之一者，不在此限：

    (一)為維護或檢查系統安全。

    (二)依合理之根據，懷疑有違反網路使用規範之情事時，為取得證據或調查不當行為。

    (三)為配合司法機關之調查。

    (四)其他依法令之行為。

九、 網路上所有可存取之資源，皆屬其擁有之個人或單位所有，除非已正式開放或已獲授權使用，否則網路使用者禁止使用此等資源。

十、 使用者擁有之校園網路資源服務之帳號密碼，如E-mail帳號密碼、網頁及檔案空間帳號密碼等，禁止相互轉借、買賣，並不得私設或竄改校園網路節點上任何電腦之網際網路位址(IP Address，簡稱IP)，亦不得洩漏任何私人及公用帳號密碼或網路資訊或網路架構等給不相干之外人。

十一、 欲架設網站或子網域者，必須向中心申請登記，經核准後始得架設，該網站或子網域負責人並應負責其網站或子網域電腦系統的正常運作。

十二、 若本校使用者利用網路從事觸犯法律或違反校規之行為，除必須自負刑責外，本校得不經使用者同意，配合相關單位提供相關資料。

十三、 若違規事件經查證屬實，學生部份依「學生獎懲實施要點」之規定處罰，教職員工部份則移送相關處室處理。

十四、 本規範未訂定之事項，得依據「台灣學術網路使用規範」會議決議辦理。

十五、 本辦法經校務會議討論通過，呈請校長核定後公佈實施，修正時亦同。

聯絡人：資訊組長

電話：4937563轉216

email：ctes.tyc@gmail.com