:::
教務處 資料

資訊安全管理作業要點

2020/02/25

新北市私立能仁家商資訊安全管理作業要點

本要點依據「行政院及所屬各機關資訊安全管理要點」、「教育體系資通安全管理規範」規定訂定。

 

一、資訊安全權責分工

(一)對處理敏感性、機密性資料之人員及因工作需要須賦於系統管理權限之人員,應妥適分工,分散權責,視需要建立人員相互支援制度。

(二)對離職人員,依據人員離職之處理程序辦理,並立即取消使用各項系統資源所有權限。

(三)針對不同層級人員,視實際需要辦理資訊安全教育訓練及宣導,促使人員瞭解資訊安全的重要性,各種可能的安全風險,以提高人員資訊安全意識,促其遵守資訊安全規定。

(四)各業務主管,須負責督導所屬人員之資訊作業安全,防範不法及不當行為。

 

二、電腦系統安全管理

(一)使用臺灣學術網路危機處理中心(TACERT)教育機構資安通報平台,建立資訊設施及系統的變更管理通報機制,以免造成系統安全上的漏洞。

(二)依據電腦處理個人資料保護法之相關規定,審慎處理及保護個人資訊。

(三)建立系統備援設施,定期執行必要的資料、軟體備份並存放在不同主機,以便發生災害或儲存媒體失效時,可迅速回復正常作業。

(四)重要的資訊設備、個人電腦均需設定具有密碼管制之銀幕保護程式。

 

三、網路安全管理

(一)本校與外界網路連接之網點,須設立防火牆控管外界與內部網路之資料傳輸及資源存取。

(二)機密性及敏感性的資料或文件,不得存放在對外開放的資訊系統中,敏感性資訊如有電子傳送之必要,需經加密或電子簽章等安全技術處理後傳送。

(三)審慎評估開放外界連線及本校間資料傳送作業,必要時簽訂契約或協定,限制系統可運作之權限,並明定應遵守之資訊安全規定、程序及應負之責任。

 

四、系統存取控制管理

(一)視安全管理需求核發及變更密碼。

(二)登入學校網域或網站時,依各處室人員職掌所必要之系統存取權限,由系統管理人員設定賦予權限之帳號與密碼。

(三)各單位之重要資料如需委外建檔者,不論在所內或所外執行,均須與委外廠商簽訂適當之安全管制條款,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。

 

五、系統發展及維護之安全管理

(一)在資訊系統規劃之需求分析階段,即將資訊安全納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。

(二)資訊業務委外時,應於事前審慎評估可能的潛在安全風險,須明定廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守。

(三)對於委外建置之軟硬體系統及維護人員,應規範及限制其可接觸之系統與資料範圍,並於使用完畢後立即取消其使用權限。

(四)依據智慧財產權之相關規定,規範各種軟體之使用。

 

六、實體及環境安全管理

(一)系統伺服主機、設備應安置於主機房,並由資訊組專責管理,並管制非相關人員隨意進出。

(二)評估各種人為及天然災害對正常業務運作之影響,並視需要調整更新計畫。