:::
教務處 資料

資通安全維護計畫

2020/02/25

資通安全維護計畫


 


  • 資通安全推動小組成員及分工表

新北市私立能仁家商資通安全推動小組

暨個人資料保護管理執行小組成員及分工表

單位職級

職掌事項

分機

備註

校長

督導資安及個資保護工作

100

資通安全長

教務主任

統籌資安及個資保護工作相關業務

160

資安策略規劃與管理組

學務主任

協助資安及個資保護工作推動

150

 

輔導主任

協助資安及個資保護工作推動

140

 

實習主任

協助資安及個資保護工作推動

170

 

總務主任

協助資安及個資保護工作推動

600

 

主任教官

協助資安及個資保護工作推動

151

 

圖書主任

協助資安及個資保護工作推動

500

 

人事主任

協助資安及個資保護工作推動

130

 

會計主任

協助資安及個資保護工作推動

120

 

各科主任

協助資安及個資保護工作推動

 

 

進修部教導組長

協助資安及個資保護工作推動

180

 

進修部生輔組長

協助資安及個資保護工作推動

181

 

電腦中心組長

(資通安全專職人員)

執行資通安全及個資保護工作相關業務

資通安全事件通報

163

資安策略規劃與管理組

資通安全長:

 

  • 實施計畫
  • 依據及目的

本計畫依據資通安全管理法第10條及施行細則第6條訂定。

本計畫依據下列法規訂定:

  1. 資通安全管理法第10條及其施行細則第6條。
  2. 其他業務法規名稱。
  • 適用範圍

本計畫適用範圍涵蓋本校各單位。

  • 核心業務及重要性

核心業務

核心資通系統

重要性說明

業務失效影響說明

最大可容忍中斷時間

教學組、註冊組、生輔組管理系統

校務系統

為本機關依組織法執掌,足認為重要者

影響查詢和輸入排代課、學籍、成績、考勤、獎懲業務,故障可暫由人工作業處理

24小時

  1. 核心業務及重要性:

本校之核心業務及重要性如下表:

  1. 核心業務名稱:請參考資通安全管理法施行細則第7條之規定列示。
  2. 作業名稱:該項業務內各項作業程序的名稱。
  3. 重要性說明:說明該業務對學校之重要性,例如對學校財務及信譽上影響,對民眾影響,對社會經濟影響,對其他學校業務運作影響,法律遵循性影響或其他重要性之說明。
  4. 最大可容忍中斷時間單位以小時計。
  1. 非核心業務及說明:

本校之非核心業務及說明如下表:

非核心業務

業務失效影響說明

最大可容忍中斷時間

官網網站

學校公告佈達、各科網站榮譽事蹟發佈,影響行政運作

8小時

會計系統

預算輸入和會計核銷,影響行政運作

24小時

人事系統

人事、差勤輸入和查詢,影響行政運作

24小時

圖書館系統

圖書館網站、圖書借還,影響校務運作

24小時

選課系統

學生多元選課,影響校務運作

8小時

教學社群系統

教師教學、社群,影響校務運作

24小時

學生學習歷程檔案系統

學生上傳學習歷程檔案

,影響校務運作

24小時

公文系統

學校內外公文傳遞簽核

,影響行政運作

24小時

  • 資通安全政策及目標
  1. 資通安全政策

為使本校業務順利運作,防止資訊或資通業務受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:

  1. 定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
  2. 針對各資料的機密性與完整性應妥善保護,避免資料遭竄改。
  3. 建立資通安全防護(如:防火牆、防毒軟體)。
  4. 辦理資通安全教育訓練(一般使用者與主管,每人每年三小時以上之一般資通安全教育訓練),提升同仁資通安全意識。
  5. 針對辦理資通安全業務有功相關人員應依資通安全管理法子法之「公務機關所屬人員資通安全事項獎懲辦法」進行獎勵。
  6. 禁止多人共用同一帳號。
  7. 落實資通安全通報機制。
  1. 資通安全目標
  1. 資安事件發生,於規定的時間完成通報、應變及復原作業。
  2. 全年度資安通報平臺之資安事件不超過10件。
  3. 達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
  1. 資通安全政策及目標核定程序

資通安全維護計畫(含資通安全政策)由電腦中心簽陳校長通過後實施,修正時亦同。

  1. 資通安全政策及目標之宣導
  1. 本校之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向學校內所有人員進行宣導,並檢視執行成效。
  2. 本校應每年向本校維運自行或委由廠商建置之資通系統進行資安政策及目標宣導,並檢視執行成效。
  1. 資通安全政策及目標定期檢討程序

資通安全政策及目標應定期於資訊發展會議中檢討其適切性。

  • 資通安全推動組織
  1. 資通安全長

依本法第11條之規定,本校訂定校長為資通安全長,負責督導學校資通安全相關事項,其任務包括:

  1. 資通安全管理政策及目標之核定、核轉及督導。
  2. 資通安全責任之分配及協調。
  3. 資通安全資源分配。
  4. 資通安全防護措施之監督。
  5. 資通安全事件之檢討及監督。
  6. 資通安全相關規章與程序、制度文件核定。
  7. 資通安全管理年度工作計畫之核定。
  8. 資通安全相關工作事項督導及績效管理。
  9. 其他資通安全事項之核定。
  1. 資通安全推動小組暨個人資料保護管理執行小組
  1. 組織

為推動本校之資通安全相關政策、落實資通安全事件通報及相關應變處理,由資通安全長召集各處室科主任以上之人員代表成立資通安全推動小組暨個人資料保護管理執行小組,其任務包括:

  1. 跨處室資通安全事項權責分工之協調。
  2. 應採用之資通安全技術、方法及程序之協調研議。
  3. 整體資通安全措施之協調研議。
  4. 資通安全計畫之協調研議。
  5. 其他重要資通安全事項之協調研議。
  6. 個人資料保護管理事項之協調研議。
  1. 工作職掌
  1. 資通安全政策及目標之研議
  2. 訂定學校資通安全相關規章與程序,並確保相關規章與程序、制度

合乎法令之要求。

  1. 依據資通安全目標擬定學校年度工作計畫。
  2. 傳達學校資通安全政策與目標。
  3. 資通安全相關規章與程序、制度之執行。
  4. 資訊及資通系統之盤點。
  5. 資料及資通系統之安全防護事項之執行。
  6. 資通安全事件之通報及應變機制之執行。
  7. 每年固定召開資通安全管理審查會議,提報資通安全事項執行情形

,以利教育部稽核審查使用。

  1. 其他資通安全事項之規劃。
  • 專職人力及經費配置
  1. 人力及資源配置
  1. 本校依資通安全責任等級分級辦法之規定,屬資通安全責任等級C級,

最低應設置資通安全專職人員1人,其職務如下,本校現有資通安全專責人員名單及職掌應列冊,並適時更新。

  1. 負責資通系統分級、內部資通安全稽核、防護基準及教育訓練業務

之推動。

  1. 負責資通安全防護設施建置及資通安全事件通報及應變業務之推動。
  1. 本校之承辦單位於辦理資通安全人力資源業務時,應加強資通安全人員

之培訓,並提升學校內資通安全專業人員之資通安全管理能力。本校之相關單位於辦理資通安全業務時,如資通安全人力或經驗不足,得洽請相關學者專家或專業學校(構)提供顧問諮詢服務。

  1. 本校負責重要資通設備之管理、維護、設計及操作之人員,應妥適分工,分散權責,若負有機密維護責任者,應簽屬書面約定,並視需要實施人員輪調,建立人力備援制度。
  2. 各單位主管應負責督導所屬人員之資通安全作業,防範不法及不當行為。
  3. 專業人力資源之配置情形應每年定期檢討,並納入資通安全維護計畫持

續改善機制之管理審查。

  1. 經費配置
  1. 資通安全推動小組於規劃配置相關經費及資源時,應考量本校之資通安

全政策及目標,並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源。

  1. 各單位於規劃建置資通系統建置時,應一併規劃資通系統之資安防護需

求,並於整體預算中合理分配資通安全預算所佔之比例。

  1. 各單位如有資通安全資源之需求,應配合學校預算規劃期程向資通安全

推動小組提出,由資通安全推動小組視整體資通安全資源進行分配,並經資通安全長(資通安全管理代表)核定後,進行相關之建置。

  1. 資通安全經費、資源之配置情形應每年定期檢討,並納入資通安全維護

計畫持續改善機制之管理審查。

  • 資訊及資通系統之盤點
  1. 資訊及資通系統盤點
  1. 本校每年辦理資訊及資通系統資產盤點,依管理責任指定對應之資產管

理人,並依資產屬性進行分類,分別為資訊資產、軟體資產、實體資產

、支援服務資產等。

  1. 資訊及資通系統資產項目如下:

資產類別

資產項目

資訊資產

(未含有個資)

教學軟體

軟體資產

  1. 系統軟體,例如:Windows Server。
  2. 套裝軟體,例如:Windows、Office 等。

硬體資產

  1. 電腦設備,例如:伺服器、個人主機、筆記型電腦及平板電腦等。
  2. 通訊設備,例如:路由器、網路交換器、數據機、傳真機、印表機及影印機等。
  3. 儲存媒體,例如:隨身碟、光碟機及光碟等。
  4. 其他支援設備,例如:監視器、不斷電系統、空調系統、消防系統、環控系統及機房用發電機等。

服務資產

一般維運支援性服務,例如:中華電信網路專線、市電系統、供水服務等。

人員資產

  1. 內部同仁。
  2. 外部(常駐型)人員,例如:保全公司駐點人員等。

個資資產

  1. 紙本個資,例如:通訊錄、報名表、履歷表等。
  2. 檔案形式個資,例如:個人電腦中或主機內個人資料檔案等。
  3. 資料庫個資,例如:資訊系統含有個人資料資料庫等。
  1. 本校每年度應依資訊及資通系統盤點結果,製作「資訊及資通系統資產清冊」,欄位應包含:資訊及資通系統名稱、資產名稱、資產類別、擁有者、管理者、使用者、存放位置、防護需求等級。
  2. 資訊及資通系統資產應以標籤標示於設備明顯處,並載明財產編號、保管人、廠牌、型號等資訊。
  3. 各單位管理之資訊或資通系統如有異動,應通知資通安全推動小組更新資產清冊。
  1. 學校資通安全責任等級分級

本校自行辦理資通業務,未維運自行或委外開發之資通系統者,其資通安全責任等級為C級。

  • 資通安全防護及控制措施

學校之防護及控制措施詳如本校資通安全維護計畫,採行相關之防護及控制措施如下:

  1. 資訊及資通設備之管理
  1. 資訊及資通設備之使用
    1. 本校同仁使用資訊及資通設備須遵守設備管理學校相關規範。
    2. 本校同仁使用資訊及資通設備時,應留意其資通安全要求事項,並負對應之責任。
    3. 本校同仁使用資訊及資通設備後,應依規定之程序歸還。資訊類設備之歸還應確保相關資訊已正確移轉,並安全地自原設備上抺除。
    4. 非本校同仁使用本校之資訊及資通設備,應確實遵守本校之相關資通安全要求,且未經授權不得任意複製資訊。
    5. 對於資訊及資通設備,宜識別並以文件記錄及實作可被接受使用之規則。
  1. 存取控制與加密機制管理
  1. 網路安全控管
  1. 本校之防火牆由本校自行管理,區域劃分如下:
    1. 外部網路:對外網路區域,連接外部廣域網路(Wide Area Network, WAN)。
    2. 內部區域網路 (Local Area Network, LAN):學校內部單位人員及內部伺服器使用之網路區段。
  1. 外部網路及內部區域網路間連線需經防火牆進行存取控制,非允許的服務與來源不能進入其他區域。
  2. 本校應定期檢視防火牆政策是否適當。
  3. 本校內部網路之區域應做合理之區隔,使用者應經授權後在授權之範圍內存取網路資源。
  4. 對網路系統管理人員或資通安全主管人員的操作,均應建立詳細的紀錄。並應定期檢視網路安全相關設備設定規則與其日誌紀錄,並檢討執行情形。
  5. 使用者應依學校規定之方式存取網路服務。
  6. 網域名稱系統(DNS)防護
    1. 一般伺服器應關閉DNS服務,防火牆政策亦應針對DNS進行控管,關閉不需要的DNS服務存取。
    2. DNS伺服器應經常性進行弱點漏洞管理與修補、落實存取管控機制。
    3. 內部主機位置查詢應指向學校內部DNS伺服器。
  7. 無線網路防護
    1. 機密資料原則不得透過無線網路及設備存取、處理或傳送。
    2. 無線設備應具備安全防護機制以降低阻斷式攻擊風險,且無線網路之安全防護機制應包含外來威脅及預防內部潛在干擾。
    3. 行動通訊或紅外線傳輸等無線設備原則不得攜入涉及或處理機密資料之區域。
    4. 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站,應安裝防毒軟體,並定期更新病毒碼。
  1. 資通業務權限管理
  1. 本校之資通業務應設置通行碼管理,通行碼之要求需滿足:
    1. 通行碼長度8碼以上。
    2. 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。
  2. 使用者辦理資通業務前應經授權,並使用唯一之使用者ID,除有特殊營運或作業必要經核准並紀錄外,不得共用ID。
  3. 使用者無繼續辦理資通業務時,應立即停用或移除使用者ID,資通業務管理者應定期清查使用者之權限。
  1. 特權帳號之存取管理
  1. 資通設備之特權帳號請應經正式申請授權方能使用,特權帳號授權前應妥善審查其必要性,其授權及審查記錄應留存。
  2. 資通設備之特權帳號不得共用。
  3. 對於特權帳號,宜指派與該使用者日常公務使用之不同使用者ID。
  4. 資通設備之特權帳號應妥善管理,並應留存特殊權限帳號之使用軌跡。
  5. 資通設備之管理者每季應清查系統特權帳號並劃定特權帳號逾期之處理方式。
  1. 加密管理
  1. 本校之機密資訊於儲存或傳輸時應進行加密。
  2. 本校之加密保護措施應遵守下列規定:
    1. 應落實使用者更新加密裝置並備份金鑰。
    2. 應避免留存解密資訊。
    3. 一旦加密資訊具遭破解跡象,應立即更改之。
  1. 作業與通訊安全管理
  1. 防範惡意軟體之控制措施
    1. 本校之主機及個人電腦應安裝防毒軟體,並時進行軟、硬體之必要更新或升級。
  1. 經任何形式之儲存媒體所取得之檔案,於使用前應先掃描有無惡意軟體。
  2. 電子郵件附件及下載檔案於使用前,宜於他處先掃描有無惡意軟體。
  3. 確實執行網頁惡意軟體掃描。
    1. 管理者並應每年定期針對管理之設備進行軟體清查。
    2. 使用者不得私自使用已知或有嫌疑惡意之網站。
    3. 使用者應定期進行作業系統及軟體更新,以避免惡意軟體利用系統或軟體漏洞進行攻擊。
  1. 遠距工作之安全措施
    1. 本校資通業務之操作及維護以現場操作為原則,避免使用遠距工作,如有緊急需求時,應申請並經系統管理師同意後始可開通。
    2. 系統管理師應定期審查已授權之遠距工作需求是否適當。
    3. 針對遠距工作之連線應採適當之防護措施(並包含伺服器端之集中過濾機制檢查使用者之授權),並且記錄其登入情形。
  1. 提供適當通訊設備,並指定遠端存取之方式。
  2. 提供虛擬桌面存取,以防止於私有設備上處理及儲存資訊。
  3. 遠距工作終止時之存取權限撤銷,並應返還相關設備。
  1. 電子郵件安全管理
    1. 使用者使用電子郵件時應提高警覺,並使用純文字模式瀏覽,避免讀取來歷不明之郵件或含有巨集檔案之郵件。
    2. 原則不得電子郵件傳送機密性或敏感性之資料,如有業務需求者應依相關規定進行加密或其他之防護措施。
    3. 使用者不得利用學校所提供電子郵件服務從事侵害他人權益或違法之行為。
    4. 使用者應確保電子郵件傳送時之傳遞正確性。
    5. 本校應配合上級機關辦理電子郵件社交工程演練,並檢討執行情形。
  2. 確保實體與環境安全措施
    1. 通訊機房(機櫃)之管理
  1. 通訊機房(機櫃)應進行實體隔離。
  2. 學校人員或來訪人員應申請及授權後方可進入通訊機房(機櫃),通訊機房(機櫃)管理者並應定期檢視授權人員之名單。
  3. 人員進入管制區應配載身分識別之標示,並隨時注意身分不明或可疑人員。
  4. 僅於必要時,得准許外部支援人員進入通訊機房(機櫃)。
  5. 人員及設備進出通訊機房(機櫃)應留存記錄。
    1. 通訊機房(機櫃)之環境控制
  1. 通訊機房(機櫃)之空調、電力得建立備援措施。
  2. 通訊機房(機櫃)得安裝之安全偵測及防護措施,包括熱度及煙霧偵測設備、火災警報設備、溫濕度監控設備、漏水偵測設備、入侵者偵測系統,以減少環境不安全引發之危險。
  3. 各項安全設備應定期執行檢查、維修,並應定時針對設備之管理者進行適當之安全設備使用訓練。
    1. 辦公室區域之實體與環境安全措施
  1. 應考量採用辦公桌面的淨空政策,以減少文件及可移除式媒體等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。
  2. 文件及可移除式媒體在不使用或不上班時,應存放在櫃子內。
  3. 機密性及敏感性資訊,不使用或下班時應該上鎖。
  4. 機密資訊或處理機密資訊之資通業務應避免存放或設置於公眾可接觸之場域。
  5. 顯示存放機密資訊或具處理機密資訊之資通業務地點之通訊錄及內部人員電話簿,不宜讓未經授權者輕易取得。
  6. 資訊或資通業務相關設備,未經管理人授權,不得被帶離辦公室。
  1. 資料備份
    1. 重要資料應進行資料備份,其備份之頻率應滿足復原時間點目標之要求,並執行異地存放。
    2. 本校應每季確認重要資料備份之有效性。且測試該等資料備份時,宜於專屬之測試系統上執行,而非直接於覆寫回原資通設備。
    3. 敏感或機密性資訊之備份應加密保護。
  2. 媒體防護措施
    1. 使用隨身碟或磁片等存放資料時,具機密性、敏感性之資料應與一般資料分開儲存,不得混用並妥善保管。
    2. 資訊如以實體儲存媒體方式傳送,應留意實體儲存媒體之包裝,選擇適當人員進行傳送,並應保留傳送及簽收之記錄。
    3. 為降低媒體劣化之風險,宜於所儲存資訊因相關原因而無法讀取前,將其傳送至其他媒體。
    4. 對機密與敏感性資料之儲存媒體實施防護措施,包含機密與敏感之紙本或備份磁帶,應保存於上鎖之櫃子,且需由專人管理鑰匙。
  3. 電腦使用之安全管理
    1. 電腦、業務系統或自然人憑證,若超過十五分鐘不使用時,應立即登出或啟動螢幕保護功能並取出自然人憑證。
    2. 禁止私自安裝點對點檔案分享軟體及未經合法授權軟體。
    3. 連網電腦應隨時配合更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
    4. 筆記型電腦及實體隔離電腦應定期以人工方式更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
    5. 下班時應關閉電腦及螢幕電源。
    6. 如發現資安問題,應主動循學校之通報程序通報。
    7. 支援資訊作業的相關設施如影印機、傳真機等,應安置在適當地點,以降低未經授權之人員進入管制區的風險,及減少敏感性資訊遭破解或洩漏之機會。
  4. 行動設備之安全管理
    1. 機密資料不得由未經許可之行動設備存取、處理或傳送。
    2. 機敏會議或場所不得攜帶未經許可之行動設備進入
  1. 資通安全防護設備
  1. 本校應建置防毒軟體、網路防火牆、電子郵件過濾裝置,持續使用並適時進行軟、硬體之必要更新或升級。
  2.