彰化縣芳苑鄉王功國民小學「資通安全管理系統實施原則」

一、依據：

教育部頒定「國中小學資通安全管理系統實施原則」。

 

二、目標：

有效降低校園資訊安全事件發生、落實資訊安全事件回報機制及處理、提高資訊安全素 養。校園資訊安全事件如資訊設備失竊、機敏資料外洩、違反智財權相關法令或電腦處 理個人資料保護法規定、任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁

遭竄改、以及通訊中斷等。

 

三、實施原則

(一)網路安全、網路控制措施

1．學校與外界連線，應僅限於經由市網中心之管控，以符合一致性與單一性之安全要求。

2．禁止以電話線連結主機電腦或網路設備。

3．系統安全 對抗惡意軟體、隱密通道及特洛依木馬程式

4．學校內的個人電腦應裝置防毒軟體，將軟體設定為自動定期更新病毒碼；或由伺服器端進行病毒碼更新的管理

5．學校內的個人電腦應定期（至少每個月）進行如「Windows Update」之程式更新作業，以防範作業系統之漏洞

6．學校內個人電腦所使用的軟體應有授權。新系統啟用前，應經過掃毒與更新系統密碼程序，以防範可能隱藏的病毒或後門程式。

 

(二)資訊存取限制

學校內所共用的個人電腦以教育功能為目的，資訊組有權設定特定安全管控機制制，例如限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取，通行碼(密碼)之使用等。

1．使用者第一次登入系統時，必須立即更改預設通行碼。

2．資訊系統與服務應避免使用共同帳號及通行碼。

3．由學校發佈通行碼（Password）制定與使用規則給使用者，[參考優質通行碼設定原 則與使用原則，文件編號 A-8]，內容包含以下各項：

l  使用者應該對其個人所持有通行碼盡保密責任

l  要求使用者的通行碼設定，應該包含英文字、數字、特殊符號，長度為 8 碼(含) 以上。因特殊需要擁有多個帳號時，可考慮使用一組複雜但相同的通行碼。

 

 (三)通報安全事件與處理

資訊安全事件包括：任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。

1．學校通報流程如圖

2．所訂出資訊安全事件通報程序公布於校園內使用電腦與網路之場所，提供使用者瞭解。

 

 

 

 

 

(四)實體安全、設備安置及保護

1．學校資訊設備主機機房、電腦教室區域，應設置滅火設備，並禁止擺放易燃物、或

飲食。

2．學校資訊設備主機機房、電腦教室區域內的電源線插頭應有接地的連結、或有避雷針等裝置，避免如雷擊事件所造成損害情況。

3．學校資訊設備主機機房、電腦教室區域，應至少於入出口處加裝門鎖或其他同等裝置。

(五)設備與儲存媒體之安全報廢或再使用

所有包括儲存媒體的設備項目，在報廢前，應先確保已將任何敏感資料和授權軟體刪除或覆寫。[參照設備啟用與報廢紀錄單，編號A-5]

 

 

(六)財產攜出

1．未經授權不應將學校的資訊設備、資訊或軟體攜出所在地。

2．因業務需要將機敏資料交付委外廠商時(如辦理保險、校外教學等)，廠商必須簽訂安全保密切結書(參考資訊應用委外廠商服務內容暨保密切結書，文件編號 A-6)。

3．當有必要將設備移出，應檢視相關授權，並實施登記與歸還記錄。[參照設備進出入紀錄單，編號A-4]

4．相關財產之攜出應依教育部或學校既有之相關規定處理。

 

(七)桌面淨空與螢幕淨空政策

結束工作時，所有學校教職員工應將其所經辦或使用具有機密或敏感特性的資料（例 如公文、學籍資料等）及資料的儲存媒體（如 USB 隨身碟、磁碟片、光碟等），妥善存放。

學校提供教職員工或學生使用的個人電腦應設定保護裝置，如個人鑰匙、個人密碼 以及螢幕保護。

 

(八)學校非正式人員與約聘(僱)人員因業務需要而接觸公務機密、個人權益及學校機敏資料者是填寫保密切結書。[參照保密切結書，編號A-1] 

四、法令認知 遵守智慧財產權相關法令規定

經濟部智慧財產局 http://www.tipo.gov.tw/ch/

著作權法 http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=J0070017

遵守個人資訊保護法規定 http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021

遵守教育部校園網路使用規範 http://www.cyut.edu.tw/admin/cc/service/edu_net_rule.htm 

伍、本「資通安全管理系統實施原則」經校長核可後實施，修正亦同。

資通安全管理系統實施原則.doc (203KB)