中華民國104年5月1日核定

第一條 東隆國小為有效管理無線網路資源，提供全校教職員生良好安全的無線網路使用環境，訂定「屏東縣東隆國民小學無線網路管理辦法」（以下簡稱本辦法) 。

第二條 本校無線網路主要使用對象及場域如下：

一、對象：

（一）本校教職員及學生

（二）已加入教育部校際無線網路漫遊計畫之學校成員

二、場域：

（一）行政辦公室

（二）會議室

（三）視聽教室

（四）禮堂

（五）文化走廊

（六）其他指定空間

第三條 本校無線網路基地台架設由資訊組統一控管，加密處理及不定期更換密碼。為避免影響全校無線網路收訊品質，禁止私下架設無線網路基地台，若經發現將立即阻斷網路連線。

第四條 訪客、廠商及其他校外人士若需使用本校之無線網路，須提出申請，經資訊組核可後方得使用。

第五條 無線網路頻寬有限，服務僅提供公務使用與支援學術研究用途。

第六條 禁止使用無線網路做為干擾或破壞網路上其他使用者或節點之軟硬體系統。前述行為包括散佈電腦病毒、嘗試侵入未經授權之電腦系統及其他相關不法情事。若有惡意攻擊他人電腦等重大違規，足以影響網路通訊品質時，東隆國小有權得停止其使用權利，並依相關規定處理。

第七條 專供師生教學活動使用之無線網路熱點，採取限定開放時間及限制開放區域等管理措施，減少遭受不當利用之機會。

第八條 本辦法未盡事宜，依東隆國小「校園網路使用規範」辦理。

第九條 本辦法陳請校長核定後公布施行，修正時亦同。

一、規範目的
為充分發揮本校校園網路（以下簡稱網路）功能、普及尊重法治觀念，並提供網路使用者可資遵循之準據，以促進教育及學習，特訂定本規範。

二、網路規範與委員會
本校參考教育部校園網路使用規範訂定網路使用規範，並視實際需要設置委員會或指定專人辦理下列事項：
（一）協助學校處理網路相關法律問題。
（二）採取適當之措施以維護網路安全。
（三）宣導網路使用之相關規範，並引導網路使用者正確使用資訊資源、重視網路相關法令及禮節。
（四）其他與網路有關之事項。

三、尊重智慧財產權
網路使用者應尊重智慧財產權。
本校應宣導網路使用者避免下列可能涉及侵害智慧財產權之行為：
（一）使用未經授權之電腦程式。
（二）違法下載、拷貝受著作權法保護之著作。
（三）未經著作權人之同意，將受保護之著作上傳於公開之網站上。
（四）BBS或其他線上討論區上之文章，經作者明示禁止轉載，而仍然任意轉載。
（五）架設網站供公眾違法下載受保護之著作。
（六）其他可能涉及侵害智慧財產權之行為。

四、禁止濫用網路系統
使用者不得為下列行為：
（一）散布電腦病毒或其他干擾或破壞系統機能之程式。
（二）擅自截取網路傳輸訊息。
（三）以破解、盜用或冒用他人帳號及密碼等方式，未經授權使用網路資源，或無故洩漏他人之帳號及密碼。
（四）無故將帳號借予他人使用。
（五）隱藏帳號或使用虛假帳號。但經明確授權得匿名使用者不在此限。
（六）窺視他人之電子郵件或檔案。
（七）以任何方式濫用網路資源，包括以電子郵件大量傳送廣告信、連鎖信或無用之信息，或以灌爆信箱、掠奪資源等方式，影響系統之正常運作。
（八）以電子郵件、線上談話、電子佈告欄（BBS）或類似功能之方法散布詐欺、誹謗、侮辱、猥褻、騷擾、非法軟體交易或其他違法之訊息。
（九）利用學校之網路資源從事非教學研究等相關之活動或違法行為。

五、網路之管理
本校為執行本規範之內容，其有關網路之管理事項如下：
（一）協助網路使用者建立自律機制。
（二）對網路流量應為適當之區隔與管控。
（三）對於違反本規範或影響網路正常運作者，得暫停該使用者使用之權利。
（四）BBS及其他網站應設置專人負責管理、維護。違反網站使用規則者，負責人得刪除其文章或暫停其使用。情節重大、違反校規或法令者，並應轉請學校處置。
（五）其他有關校園網路管理之事項。
使用者若發現系統安全有任何缺陷，應儘速報告網路管理單位。

六、網路隱私權之保護
本校教職員工及學生應尊重網路隱私權，不得任意窺視使用者之個人資料或有其他侵犯隱私權之行為。但有下列情形之一者，不在此限：
（一）為維護或檢查系統安全。
（二）依合理之根據，懷疑有違反校規之情事時，為取得證據或調查不當行為。
（三）為配合司法機關之調查。
（四）其他依法令之行為。

七、違反之效果
網路使用者違反本規範者，將受到下列之處分：
（一）停止使用網路資源。
（二）接受校規之處分。
網路管理者違反本規範者，應加重其處分。
依前兩項規定之處分者，其另有違法行為時，行為人尚應依民法、刑法、著作權法或其他相關法令負法律責任。

八、處理原則及程序
本校訂定之校園網路使用規範明定於校規。
前項校規和網路管理單位對違反本規範之行為人，或為防範違反本規範，對行為人或非特定對象所採取之各項管制措施，應符合必要原則、比例原則及法律保留原則。
本校對違反本規範之行為人所為之處分，應依正當法律程序，提供申訴和救濟機制。
本校處理相關網路申訴或救濟程序時，應徵詢校內網路委員會或指定專人之意見。

中 華 民 國 103 年 8 月 1 日

一、目標
本文件提供東隆國小資通安全系統管理實施原則建議，以增進資訊作業之安全性，確保學校資料之機密性、完整性與可用性。

二、適用範圍
東隆國小內電腦、資訊與網路服務相關的系統、設備、程序、及人員。

三、實施規定
1 網路安全
1.1 網路控制措施
1.1.1 與外界連線，應僅限於經由教育局(處)網路管理單位之管控，以符合一致性與單一性之安全要求。
1.1.2 應禁止以私人架設網路（如：電話線、2G或3G網路等）連結機房內之主機電腦或網路設備。
1.1.3 宜依業務性質之不同，區分不同內部網路網段，例如：教學、行政、宿網等，以降低未經授權存取之風險。
1.1.4 對於開放提供外部使用者或廠商存取之服務，必須限制使用者之來源IP及網路連線埠(Port)，以確保安全。

1.2 無線網路存取
1.2.1 應禁止使用者私自將無線網路存取設備介接至校園網路；若有介接之必要應經權責管理人員同意並設定帳號通行碼或加密金鑰以防未經許可之盜用。
1.2.2 校園內應提供無線網路存取服務，並採取適當安全管控措施：
 專供行政使用之無線網路熱點建議設定加密金鑰防護，並避免使用開放之無線網路存取重要資訊系統及處理敏感性資料。
 於教學區域、會議室等場所佈建之無線網路熱點應具有使用者身分認證機制，並經由校園無線路漫遊服務系統提供外校來賓使用。
 專供師生教學活動使用之無線網路熱點，若採用其他管理方式確有不便時，應採取限定開放時間及限制開放區域等管理措施，減少遭受不當利用之機會。

 開放校外人士出入之公共空間可視需要提供民眾無線上網服務，其網段應與校園網路隔離，或委由網路服務業者提供。

2 系統安全
2.1 設備區隔
 伺服器主機可依個別應用系統之需要，設置專屬主機，以避免未經授權之存取，例如網路服務主機(電子郵件、網站主機)、教學系統主機(例如隨選視訊主機)等。

2.2 對抗惡意軟體、隱密通道及特洛依木馬程式
2.2.1 個人電腦應：
 裝置防毒軟體，將軟體設定為自動定期更新病毒碼；或由伺服器端進行病毒碼更新的管理。
 作業系統及軟體應定期更新，以防範系統漏洞。
2.2.2 個人電腦所使用的軟體應有授權。
2.2.3 新伺服器系統啟用前，應執行相關程序(如：確認適合該作業系統之掃毒工具、預設通行碼更新、系統更新等，並記錄於啟用與報廢紀錄單)，以防範可能隱藏的病毒或後門程式。（參考啟用與報廢紀錄單格式，文件編號A-1）

2.3 桌面淨空與螢幕淨空政策
2.3.1 個人電腦辦公桌面應避免存放機敏性文件，結束工作時，應將其所經辦或使用具有機密或敏感特性的資料（如公文、學籍資料等）妥善存放。
2.3.2 當個人電腦或終端機不使用時，應使用鍵盤鎖或其他控管措施保護個人電腦及終端機安全個人電腦應設定螢幕保護機制。

2.4 資料備份
2.4.1 系統管理人員需針對學校重要電腦系統及資料（如:系統檔案、網站、資料庫等）應每週至少進行一次備份工作；建議使用設備執行異地備份或使用光碟、隨身碟或外接式硬碟執行異地存放。
2.4.2 每年應定期檢查備份資料之可用性與完整性。

2.5 資訊工作日誌
2.5.1 系統管理人員需針對重要電腦系統進行檢查、維護、更新等動作時，應針對這些活動填寫日誌予以紀錄，作為未來需要時之查核。（參考資訊工作日誌格式，文件編號A-2）
2.5.2 系統管理人員應至少每季執行一次校時。

2.6 資訊存取限制
共用的個人電腦（如：電腦教室電腦、教師休息室電腦等）應以特定功能為目的，並設定特定安全管控機制（如：限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取等）。

2.7 使用者註冊
人員報到或離退職應會辦電腦系統帳號管理人員，執行電腦系統的使用者註冊及註銷程序，透過該註冊及註銷程序來控制使用者資訊服務的存取，該作業應包括以下內容：
 使用唯一的使用者帳號。
 檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。
 保存一份包含所有帳號註冊的記錄。
 使用者調職或離職後，應移除其帳號的存取權限。
 每學期應檢查使用者帳號，以確保帳號的有效性。（參考帳號申請單格式，文件編號A-3）

2.8 特權管理
 電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明，應予以文件化記錄。（參考系統特權帳號清單格式，文件編號A-4）

2.9 通行碼（Password）之使用
2.9.1 管制使用者第一次登入系統時，必須立即更改預設通行碼，預設通行碼應設定有效期限。
2.9.2 資訊系統與服務應避免使用共用帳號及通行碼。
2.9.3 由學校發佈通行碼制定與使用規則給使用者(參考優質通行碼設定原則與使用原則文件，文件編號：A-5)，內容應包含以下各項：
 使用者應該對其個人所持有通行碼盡保密責任。
 要求使用者的通行碼設定，應該包含英文字及數字，長度為8碼（含）以上。

2.10 通報安全事件與處理
2.10.1 資訊安全事件包括：系統被入侵、對外攻擊、針對性攻擊、散播惡意程式、中繼站、電子郵件社交工程攻擊、垃圾郵件、命令或控制伺服器、殭屍電腦、惡意網頁、惡意留言、網頁置換、釣魚網頁、個資外洩等。
2.10.2 資訊安全事件等級，由輕微至嚴重區分等級如下：
 符合下列任一情形者，屬0級事件：
(1) 未確定事件或待確認工單:來自不同計畫所使用新型技術(A-SOC，miniSOC,...)所產生之工單，但其正確性有待確認。
(2) 其他單位所告知教育部所屬單位所發生未確定之資安事件。
(3) 教育部及區、縣網路中心檢舉信箱通告之資安事件。
 符合下列任一情形者，屬1級事件：
(1) 非核心業務資料遭洩漏。
(2) 非核心業務系統或資料遭竄改。
(3) 非核心業務運作遭影響或短暫停頓。
 符合下列任一情形者，屬2級事件：
(1) 非屬密級或敏感之核心業務資料遭洩漏。
(2) 核心業務系統或資料遭輕微竄改。
(3) 核心業務運作遭影響或系統效率降低，於可容忍中斷時間內回復正常運作。
 符合下列任一情形者，屬3級事件：
(1) 密級或敏感公務資料遭洩漏。
(2) 核心業務系統或資料遭嚴重竄改。
(3) 核心業務運作遭影響或系統停頓，無法於可容忍中斷時間內回復正常運作。
 符合下列任一情形者，屬4級事件：
(1) 國家機密資料遭洩漏。
(2) 國家重要資訊基礎建設系統或資料遭竄改。
(3) 國家重要資訊基礎建設運作遭影響或系統停頓，無法於可容忍中斷時間內回復正常運作。
2.10.3 本校任何人於校內發現異常情況或疑似資安事件，應立即向資安業務承辦人通報，資安業務承辦人應儘速進行處理並研判事件等級。
2.10.4 資安業務承辦人當發生研判事件等級3（含）以上之事件，應立即通報資訊業務主管及校長，並以電話聯絡教育局(處)資訊安全管理單位，由校長儘快召集會議研商處理的方式。(參考資安事件通報程序，文件編號：A-6)
2.10.5 當發生無法處理之資通安全事件，應通報教育局(處)資訊安全管理單位協助處理。
2.10.6 教育機構資安通報平台（網址：https://info.cert.tanet.edu.tw/），帳號為學校OID： 。
2.10.7 資安通報依情報來源分為「告知通報」與「自行通報」，若收到「告知通報」事件通知，由資安業務承辦人登入教育機構資安通報平台，完成通報及應變作業。
2.10.8 資安事件若為校內人員自行發現，由資安業務承辦人登入教育機構資安通報平台進行「自行通報」完成通報及應變作業。
2.10.9 資安事件須於發生後1小時內進行通報，0、1、2級事件於事件發生後72小時內處理完成並結案(包括通報與應變)，3、4級事件於事件發生後36小時內完成並結案。
2.10.10 如有收到教育機構資安通報平台「資安預警事件」通知，由資安業務承辦人登入教育機構資安通報平台，進行資安預警事件單處理作業。
2.10.11 相關通報應變流程請依照「教育機構資安通報應變手冊」規定辦理。

3實體安全
3.1 設備安置及保護
3.1.1 主機機房及電腦教室宜設置偵煙、偵熱或滅火設備（氣體式滅火器），並禁止擺放易燃物或飲食。
3.1.2 主機機房及電腦教室的電源線插頭應有接地的連結或有避雷針等裝置，避免如雷擊事件所造成損害情況。
3.1.3 主機機房及電腦教室應實施門禁管制。

3.2 溫濕度控制
 重要的資訊設備（如：主機機房等）宜有溫濕度控制措施(溫度建議控制在20℃~25℃，濕度建議控制在相對濕度50%R.H.~70%R.H.)，以防止資訊設備意外損壞。機房內應有溫濕度顯示裝置，以觀察實際之溫濕度情況。

3.3 電源供應
 重要的資訊設備（如：主機機房等）應有適當的電力保護設施，例如設置UPS、電源保護措施(如：穩壓器、接地等)，以免斷電或過負載而造成損失，並設置緊急照明設備以作為停電照明之用。

3.4 纜線安全
 主機機房及電腦教室內線路應考量設置保護設施(如：高架地板、線槽、套管等)。

3.5 設備與儲存媒體之安全報廢或再使用
 所有包括儲存媒體的設備項目，在報廢前應填寫「啟用與報廢紀錄單」，確認已將任何敏感資料和授權軟體刪除或覆寫。（參考啟用與報廢紀錄單格式，文件編號A-1）

3.6 財產攜出
3.6.1 禁止資訊設備在未經授權之情況下攜離所屬區域，若需將設備攜出，應遵守財產管理相關規定並填寫「設備進出紀錄表」。（參考設備進出紀錄表格式，文件編號A-7）
3.6.2 當有必要將設備移出，應檢視相關授權，並實施登記與歸還記錄。

4可攜式電腦設備與媒體
4.1 公務用可攜式電腦設備(如：筆記型電腦、平板電腦、智慧型手機等)應設定保護機制，如設定通行碼、圖形辨識、臉孔辨識或指紋辨識等。
4.2 公務用可攜式電腦設備應執行安全相關程序（如：掃毒、預設通行碼更新、系統更新等），以防範可能隱藏的病毒或後門程式。
4.3 公務用可攜式儲存媒體(如：隨身碟、光碟、磁帶等)應依儲存資料的機敏性實施安全控管措施，如檔案加密儲存或將該儲存媒體存放於上鎖儲櫃或安全處所。

5人員安全
5.1 人員安全責任
 非正式人員、約聘(僱)人員者，因業務需要，而接觸公務機密、個人權益及學校機敏資料者須填寫保密切結書。（參考切結書格式，文件編號A-8）

5.2 資訊安全教育與訓練
5.2.1 鼓勵資安業務承辦人參加資安管理系統相關教育訓練。
5.2.2 鼓勵所有教職員參與資訊安全教育訓練或宣導活動，以提昇資訊安全認知。

6資訊業務委外管理
6.1 服務委外廠商合約之安全要求
6.1.1 在資訊業務委外合約中，應訂定委外廠商的資訊安全責任及保密規定。
6.1.2 應要求委外廠商簽訂安全保密切結書。(參考切結書格式，文件編號A-9)
6.1.3 委外廠商人員到校服務時，應請其簽署委外廠商人員保密切結書。(參考切結書格式，文件編號A-10)

6.2 委外廠商服務異動或終止時，應中止或刪除其系統上的帳號與權限。（參考帳號申請單格式，文件編號A-3）

7應對以下各項相關法令有基礎之認知，並利用各集會場合對全校師生口頭宣導(至少一學期一次)。
7.1 智慧財產權
 著作權法
7.2 個人資訊的資料保護及隱私
 個人資料保護法及施行細則
7.3 刑法電腦犯罪專章

8應對以下各項相關法令有基礎之認知
8.1 智慧財產權
8.1.1 經濟部智慧財產局 http://www.tipo.gov.tw/
8.1.2 著作權法 http://www.tipo.gov.tw/copyright/copyright_law/copyright_law_92.asp

8.2 個人資訊的資料保護及隱私
8.2.1 電腦處理個人資料保護法www.fpppc.gov.tw/bulletin/menu4-7/93year/pcinfo.doc

8.3 電子簽章法
8.3.1 電子簽章法
 http://www.moea.gov.tw/~meco/doc/ndoc/s5_p05.htm
8.3.2 電子簽章法施行細則http://www.moea.gov.tw/~meco/doc/ndoc/s5_p05_p01.htm
8.3.3 核可憑證機構名單
 http://www.moea.gov.tw/~meco/doc/ndoc/s5_p07_p03.htm