為強化本校資訊安全管理,建立安全及可信賴之電子化機關,確保資料、系統、設備及網路安全,保障教職員工生權益。
本要點所稱各單位,指本校所屬各行政單位及教學單位。
肆、系統與網路之安全管理
(一)、電腦病毒防制軟體應定期更新。
(二)、對來路不明及內容不確定的檔案,應在使用前詳加檢查是否感染電腦病毒。
(三)、定期修補系統漏洞程式。
(一)、應依據電腦處理個人資料保護法等相關規定,審慎處理個人資訊。
(二)、應建立個人資料控制及管理機制,促使相關人員瞭解各處室應負的個人資料保護責任,以及應遵守之作業程序。
(一)、應準備足夠的備援設施,定期執行必要的資料及軟體備份及備援作業(可進行異地備援),以便發生災害或是儲存媒體失效時,可迅速回復正常作業。
(二)、系統發生作業錯誤時,應正式記錄下來,報告權責主管人員,並採取必要的更正行動。
(三)、電腦作業環境如溫度、溼度及電源供應之品質等,應隨時監測,並採取必要的補救措施。
(一)、系統文件應鎖在安全的儲櫃或其他安全場所。
(二)、帶離辦公場所的儲存媒體,應以書面的授權規定,並填寫使用紀錄。
(三)、可重複使用的資料儲存媒體,不再繼續使用時,應將儲存的內 容消除。
(四)、應保護重要的資料檔案,以防止遺失、毀壞、被偽造或竄改。
(五)、與他單位進行電子資料交換,應採行保護措施,以防止資料受損及未經授權的資料存取及竄改。
(六)、如有委外處理的電腦文件、設備、媒體蒐集及委外處理資料,應慎選有足夠安全管理能力及經驗的機構作為委辦對象。
(一)、系統的最高使用權限,應經權責主管人員審慎評估後,交付可信賴的人員管理。
(二)、提供給內部人員使用的網路服務,與開放業務有關人員從遠端登入內部網路系統的網路服務,應執行嚴謹的身分辨識作業,或使用防火牆代理伺服器進行安全控管。
(三)、網路系統管理人員未經權責主管人員許可,不得閱覽使用者之私人檔案;但如發現有可疑的網路安全情事,網路系統管理人員得依授權規定檢查其檔案。
(四)、網路硬體設備視需要應加裝不斷電系統,以防止不正常的斷電狀況。
(五)、離(休)職人員應依資訊安全規定及程序,取消其存取網路之權利。
(一)、使用者應遵守「臺灣學術網路使用規範」及本校校園網路使用相關規定。
(二)、使用者應遵守相關安全規定,如有違反,應撤消其網路資源存取 權利,並依相關法規處理。
(三)、網路使用者不得將自己的登入身份識別與登入網路的密碼交付他人使用。
(四)、被授權的網路使用者,限於授權範圍內存取網路資源。
(五)、禁止網路使用者以任何方法竊取他人的登入身份與登入網路識別碼。
(六)、禁止及防範網路使用者以任何儀器設備或軟體工具竊聽網路上的通訊。
(七)、使用者不得對學校電腦(含教學與行政用電腦)自行安裝非法或未經授權之任何軟體,如有違反並經警調單位查獲者,須負法律之相關責任。
(八)、嚴禁使用者利用學校網路下載未經授權或非法之軟體,亦嚴禁以點對點( BT)方式從事網路傳輸,以避免學校網路塞車。
(九)、嚴禁教師於上班時間,從事非關教學準備、教學活動或學校行政事務之網路瀏覽。
本校存放學生資料庫資料及敏感性資料伺服器主機( Server 2003),除作業系統既有的安全設定外,應強化身份辨識之安全機制,防止遠端撥接或遠端登入資料經由電話線路或網際網路傳送時,被偷窺或截取(如一般網路服務 HTTP 、 Telnet 、 FTP 等的登入密碼),及防止非法使用者假冒合法使用者身分登入主機進行偷竊、破壞等行為。
(一)、立即拒絕入侵者任何存取動作,防止災害繼續擴大;當防護網被突破時,系統應設定拒絕任何存取;並於事後全面檢討網路安全措施及修正防火牆的設定,以防禦類似的入侵與攻擊。
(二)、為達到追查入侵者的目的,可考慮讓入侵者做有條件的連接,一旦入侵者危害到內部網路安全,則必須立即切斷入侵者的連接。
(三)、對入侵者的追查,除利用稽核檔案提供的資料外,得使用系統指令執行反向查詢,並聯合相關單位(如網路服務公司),追蹤入侵者。
(四)、入侵者之行為若觸犯法律規定,構成犯罪事實,應立即告知檢警憲調單位,請其處理入侵者之犯罪事實調查。
(一)、建立及維持系統使用者之註冊資料紀錄,以備日後查考。
(二)、使用者調整職務及離(休)職時,應儘速註銷其系統存取權利。
(三)、應定期檢查及取消閒置不用的識別碼及帳號。
(一)、以嚴謹的程序核發識別碼,明確規定使用者應負的責任。
(二)、個人應負責保護識別碼,維持識別碼的機密性。
(三)、當有跡象足以顯示使用者密碼可能遭破解時,應立即更改密碼。
1、設備應安置在適當的地點並予保護,以減少環境不安全引發的危險及未經授權存取系統的機會。
2、設備安置應遵循的原則如下:
( 1)設備應儘量安置在可減少人員不必要經常進出的工作地點。處理機密性及敏感性資料的工作站,應放置在員工可以注意及照顧的地點。
( 2)需要特別保護的設備,應考量與一般的設備區隔,安置在獨立的區域。
( 3)應檢查及評估火災、煙、水、灰塵、震動、化學效應、電力供應、電磁幅射等可能的風險。
( 4)電腦作業區應禁止抽煙及飲用食物。
( 5)在特定的作業環境下,可考慮使用鍵盤保護膜。
( 6)應考量同一樓層地板可能導致的的危險外,也應考量鄰近建築樓層地板可能導致的危險。
1、電腦設備之設置,應予保護,以防止斷電或其他電力不正常導致的傷害;電源供應依據製造廠商提供的規格設置。
2、應考量安置預備電源,並考量使用不斷電系統。
3、資訊安全事件緊急處理應變計畫應將不斷電系統失效之後的應變措施納入;不斷電系統應依據製造廠商的建議,定期進行測試。
4、應謹慎使用電源延長線,以免電力無法負荷導致火災等安全情事。
1、應妥善地維護設備,以確保設備的完整性及可以持續使用。
2、設備維護的原則如下:
( 1)應依據廠商建議的維修服務期限及說明進行設備維護。
( 2)設備的維護只能由授權的維護人員執行。
( 3)應將所有的錯誤或是懷疑的錯誤予以記載。
1、設置在單位外部支援單位業務運作的資訊設備,應同樣遵守資訊安全管理授權規定,維持與單位內部資訊設備一樣的安全水準。
2、設置在單位外部的資訊設備安全措施原則如下:
( 1)如果未採取電腦病毒防範措施,執行單位業務所使用的個人電腦,不應在家裡使用。
( 2)外出差勤時,電腦設備及資料儲存媒體在公共場所應有人看管。
( 3)外勤使用之攜帶型電腦,易於被偷取、遺失或是遭未經授權的取用,應提供適當的存取保護措施,例如設定識別碼或是將檔案資料加密。
( 4)應隨時遵循設備製造廠商提供的保護使用說明。
( 5)各種安全風險如損害、偷竊或竊聽等,可能會因不同的安置地點而有所不同;在決定最適當的安全措施時,應將不同地點的安全風險納入考量。
含有儲存媒體的設備項目(例如硬碟)應在處理前詳加檢查,以確保任何機密性、敏感性的資料及有版權的軟體已經被移除。
1、單位提供的資訊設施,如有業務目的以外的使用,或是超出授權目的以外的使用需求,應經權責主管人員的核准,並課予相關人員的責任。
2、如從監督性的資訊或是從其他方法發現資訊設施有不當使用情形,應作適當的紀律處理。
3、應以書面或其他電子方式明確告知使用者的系統存取授權範圍。
4、單位員工以及其他第三者,除非獲得正式的授權,任何人皆不得進行系統存取。
1、實體環境的安全保護,應以事前劃定的各項周邊設施為基礎,並以設置必要的障礙(例如:使用身分識別卡之安全門),達成安全控管的目的。
2、每項資訊設施的實體保護程度,以及實體障礙設置的位置,應依資訊資產及服務系統的價值及安全的風險決定。
3、實體環境的安全保護原則如下:
( 1)應明確界定有那些周邊設施須列為安全管制的對象。
( 2)不應對非相關的人員提供過多有關管制區的作業細節。
( 3)資訊支援人員或維護服務人員,只有在被要求或是被授權的情形下,才能進入管制區域,並視需要限制(如限制存取敏感性的資料)及監督其活動。
1、管制區內應有適當的進出管制保護措施,以確保只有被授權的人員始得進入。
2、進出管制應考量的事項如下:
( 1)來訪人員進入管制區應予適當的管制,並記錄進出時間;來訪人員只有在特定的目的或是被授權情形下,才能進入管制區。
( 2)機關員工離職後,應即撤銷進入管制區的權利
1、重要業務運作的資訊中心及電腦機房,應設立良好的實體安全措施;資訊中心及電腦機房地點的選定,應考量火災、水災、地震等災害的可能性,並考量鄰近空間的可能安全威脅。
2、資料中心及機房安全應考量的事項如下:
( 1)主要的設施應遠離大眾或是公共運輸系統可直接進出的地點。
( 2)危險性及易燃性的物品,應存放在遠離資料中心或電腦機房的安全地點。
( 3)單位資訊安全緊急處理作業程序應以書面方式記載,並定期演練及測試。
1、應考量採用辦公桌面的淨空政策,以減少文件及磁碟片等在正常的辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。
2、應考量的事項如下:
( 1)文件及磁碟片在不使用或是不上班時,應存放在櫃子內。
( 2)機密性及敏感性資訊不使用或下班時應該上鎖,最好是放在防火櫃之內。
( 3)個人電腦及電腦終端機不再使用時,應以上鎖、識別碼或其他控制措施保護。
( 4)應考量保護一般郵件進出的地點,以及無人看管的傳真機。
電腦設備、資料或是軟體,在沒有管理人員書面授權的情形下,不應被帶離辦公室。
業務永續運作計畫,應考量下列事項:
一、應就緊急應變程序及作業流程,進行員工教育及訓練
二、應測試緊急應變計畫。
三、應定期更新緊急應變計畫。