臺北市民族國民小學資訊安全管理辦法

 

壹、 目的 

 

一、 臺北市民族國小 (以下簡稱本校) 為推動所屬各單位及人員資訊安全管理，確保資料、系統、設備及網路安全，及保障使用者權益，配合政府資訊安全管理政策，並依據「行政院及所屬各機關資訊安全管理要點」特訂定本辦法。 

 

貳、通則

 

二、 本辦法所稱各單位及人員，指本校所屬各處室及所有員工，包含代課代理教師。 

三、 本校應依有關使用規範，考量日常業務以及使用情況，進行資訊安全風險評估，確定各項資訊作業安全需求水準，採行適當及充足之資訊安全措施，確保各單位資訊蒐集、處理、傳送、儲存及流通之安全。 

四、 本辦法所稱適當及充足之資訊安全措施，應綜合考量各項資訊資產之重要性及價值，以及因人為疏失、蓄意或自然災害等風險，致相關資訊資產遭不當使用、洩漏、竄改、破壞等情事，影響及危害機關業務之程度，採行與資訊資產價值相稱及具成本效益之管理、作業及技術等安全措施。 

 

五、 針對下列事項，訂定資訊安全計畫實施，並定期評估實施成效： 

（一） 資訊安全政策訂定 

（二） 資訊安全權責分工 

（三） 人員管理及資訊安全教育訓練 

（四） 電腦系統安全管理 

（五） 網路安全管理 

（六） 系統存取控制管理 

（七） 系統發展及維護安全管理 

（八） 資訊資產安全管理 

（九） 實體及環境安全管理 

（十） 業務永續運作計畫管理 

（十一） 其他資訊安全管理事項 

 

 

六、 本辦法所稱資訊安全政策，指本校為達成資訊安全目標訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等。 

 

參、資訊安全政策

 

七、 本校之資訊安全政策配合政府法令及現況，至少每年評估一次，以確保資訊安全實務作業之有效性。 

 

肆、組織及權責

 

八、 本校的整體資通安全維護任務，由教務主任召集，總務主任負責協調，其他相關事務性工作由資訊組執行。 

（一） 學校之網路資通安全維護由資訊組負責規劃執行。 

（二） 行政網路資通安全維護，由各處室主任、資訊組共同負責規劃執行。 

（三） 各處室由單位主管協同資訊組共同處理單位資安相關事宜。 

 

伍、人員管理及資訊安全教育訓練 

 

九、 有關資訊相關職務及工作，應進行安全評估，並於人員進用、工作及任務指派時，審慎評估人員之適任性，並進行必要的考核。 

十、 針對管理、業務及資訊等不同工作類別之需求，定期辦理或參與學校資訊安全教育訓練及宣導，建立並加強員工資訊安全認知，提升資訊安全水準。 

十一、 應加強資訊安全管理人力之培訓，提升資訊安全管理能力。 

十二、 針對負責重要資訊系統之管理、維護、設計及操作之人員，應妥適分工，分散權責，並視需要建立制衡機制，實施人員輪調，建立人力備援     制度。 

十三、 除因公務需要且經單位主管核可外，同仁不得使用點對點（Peer-to-Peer, P2P）分享軟體，各處室主任與管理人員應定期檢視。 

十四、 本校各級業務主管人員，應負責督導所屬員工之資訊作業安全，防範不法及不當行為。 

十五、 若有違反資訊安全之不法或不當行為，由主管單位送請校方依相關法令懲處。 

 

陸、電腦系統安全管理 

 

十六、 各處室自行架站管理，應先向資訊組申請，並定時與系統管理負責人連繫管理狀況，配合資訊安全管理規範之執行。 

十七、 定期弱點掃瞄，以提供各重要主機設備資訊安全弱點資料，系統管理負責人應配合修正。 

十八、 Server系統事件記錄檔必須至少保留一年。 

 

柒、系統發展及維護安全管理 

 

十九、 自行開發或委外發展系統，應在系統生命週期之初始階段，即將資訊安全需求納入考量；系統之維護、更新、上線執行及版本異動作業，應予安全管制，避免不當軟體、暗門及電腦病毒等危害系統安全。 

二十、 對廠商之軟硬體系統建置及維護人員，應規範及限制其可接觸之系統與資料範圍。 

二十一、 嚴禁核發長期性之系統辨識碼及通行密碼，若基於實際作業需要，得核發短期性及臨時性之系統辨識及通行密碼供廠商使用，使用完畢後應立即取消其使用權限。 

二十二、 委託廠商建置及維護重要之軟硬體設施，應在機關相關人員監督及陪同下始得為之。 

 

捌、網路安全管理 

 

二十三、 網路作業管理 

（一）IP位址分配作業：各使用處室IP位址區段的規劃，概由資訊組統一規劃管理，一般網路使用者應依所分配之IP位址區段進行使用，不得任意佔用其他使用者之IP位址區段，以維護校園網路內各使用者之合法權益。

（二）網路服務管理：網路系統管理人員應於網路設備及主機系統中限制不當的網路服務功能與通訊協定，而開放其他正常的網路服務功能與通訊協定。

（三）網路流量管理：網路系統管理人員每日應監控各網路區段流量(流進+流出)，如該區段有流量或連線異常之情況，應立即查明原因。

二十四、 無線網路安全管理 

（一）嚴禁在未經資訊組核准下私自架設無線網路。

（二）應變更廠商出廠之SSID預設值。

 

玖、系統存取控制

 

二十五、 職務權責區分：人員的職務須考量適當的權責區隔，基於業務上之需要，各項工作應訂定工作職務代理人，盡可能符合權責區隔之原則。 

二十六、 使用者工作所需最小權限：各作業系統（含公用程式）、應用系統、資料庫系統及網路設備之使用需經過授權，且應有身份鑑別機制；資訊存取權限之設定以工作所需之最小權限與最少資訊為原則。 

二十七、 密碼管理原則 

（一）一般之靜態密碼的安全性及使用須符合至少8碼之規定。

（二）使用者初次登入電腦系統，應有立即變更密碼之措施。

（三）密碼須妥善保管，避免他人知悉。

（四）各系統應有設定連續密碼登入錯誤次數限制，要有錯誤紀錄，必要時得停止該帳號之登入或鎖定該帳號。

（五）每隔三個月須變更密碼。

（六）上述規範若屬功能限制或老舊系統無法提供此功能，待版本升級或更新系統時改善。

 

二十八、 存取事件紀錄：系統有提供紀錄功能應予啟動，若無則視系統之重要性，以書面方式紀錄之。 

二十九、 委外人員資訊存取：如有資訊設備連線之需求，須由廠商填寫「廠商連線申請單」，經系統負責人同意後，執行權限開放；若為外部連線申請，須經由廠商主管核准，並經相關單位主管核准後，執行權限開放。 

三十、 本校校務行政應用系統資安準則 

（一）系統的開發與使用維護, 應考量機密性 (confidentiality) ，完整性 (Integrity)，以及可以用性 (Availability) 三大基本原則。 

（二）行政電腦資料應由應用程式異動資料，不應透過電腦系統程式異動資料，且系統管理者不可任意竄改。 

（三）行政電腦資料異動，應記錄核准時間與核准者、異動時間與異動者，並可回復到任何歷史時間點之正確資料。 

（四）行政電腦資料應考慮有復原計畫，復原計畫所需時間與正確性必須符合業務所需，系統上線時必須經第三者驗證可行。 

（五）所有行政電腦資料應具備份復原計畫。 

 

拾、業務永續運作之規劃

 

三十一、 訂定業務永續運作計畫，評估各種人為及天然災害對機關正常業務運作之影響，訂定緊急應變及回復作業程序及相關人員之權責，並定期演練及調整更新計畫。 

三十二、 建立資訊安全事件緊急處理機制，在發生資訊安全事件時，應依規定之處理程序，立即向權責主管單位或人員通報，採取反應措施，並聯繫檢警調單位協助偵查。 

三十三、 訂定及區分資料安全等級，並依不同安全等級，採取適當及充足之資訊安全措施。 

 

拾壹、其他 

三十四、 本校應就設備安置、周邊環境及人員進出管制等，訂定妥善之實體及環境安全管理措施。 

 

三十五、 本辦法經行政會報通過，校長公告後實施，修訂時亦同。