桃園市復興區羅浮國民小學 資通安全管理
辦法一、 依據 教育部 96 年 5 月 30 日函頒國中、小學資通安全管理系統實施原則。
個人資料保護法 中華民國 101 年 9月 21 日行政院臺法字第 日行政院臺法字第 1010056845 號令發布除第 6、54 條文外,其餘定自一百零年十月日施行
個人資料保護法施行細則 中華民國 101 年 9月 26 日法務部令字第 日法務部令字第 10103107360 號令修正發布 名稱及全文 33 條;並自一百零年十月日施行。
二、 目的確保 桃園市羅浮國小 (以下簡稱本校)所屬之資訊產機密性、完整及可 (以下簡稱本校)所屬之資訊產機密性、完整及可 (以下簡稱本校)所屬之資訊產機密性、完整及可 (以下簡稱本校)所屬之資訊產機密性、完整及可 用性,並符合相關法規之要求使其免於遭受內、外部的蓄意或威脅。 用性,並符合相關法規之要求使其免於遭受內、外部的蓄意或威脅。 用性,並符合相關法規之要求使其免於遭受內、外部的蓄意或威脅。 用性,並符合相關法規之要求使其免於遭受內、外部的蓄意或威脅。 用性,並符合相關法規之要求使其免於遭受內、外部的蓄意或威脅。 用性,並符合相關法規之要求使其免於遭受內、外部的蓄意或威脅。 用性,並符合相關法規之要求使其免於遭受內、外部的蓄意或威脅。
三、 適用範圍本校內電腦、資訊與網路服務相關的系統設備程序及人員,包含合約 本校內電腦、資訊與網路服務相關的系統設備程序及人員,包含合約 本校內電腦、資訊與網路服務相關的系統設備程序及人員,包含合約 本校內電腦、資訊與網路服務相關的系統設備程序及人員,包含合約 本校內電腦、資訊與網路服務相關的系統設備程序及人員,包含合約 本校內電腦、資訊與網路服務相關的系統設備程序及人員,包含合約 本校內電腦、資訊與網路服務相關的系統設備程序及人員,包含合約 本校內電腦、資訊與網路服務相關的系統設備程序及人員,包含合約 本校內電腦、資訊與網路服務相關的系統設備程序及人員,包含合約 廠商及其它經授權使用之人員。
四、 組織與職權為強化本校資通安全暨個保護需求,健管理制度特設立「 為強化本校資通安全暨個保護需求,健管理制度特設立「 為強化本校資通安全暨個保護需求,健管理制度特設立「 為強化本校資通安全暨個保護需求,健管理制度特設立「 為強化本校資通安全暨個保護需求,健管理制度特設立「 為強化本校資通安全暨個保護需求,健管理制度特設立「 桃 園市羅浮國小 資通安全委員會」 (以下簡稱本委員會 ),以推動本校資通安全 ,以推動本校資通安全 管理業務之運作。本委員會成為校長、各處室主任及行政 管理業務之運作。本委員會成為校長、各處室主任及行政 管理業務之運作。本委員會成為校長、各處室主任及行政 管理業務之運作。本委員會成為校長、各處室主任及行政 管理業務之運作。本委員會成為校長、各處室主任及行政 組長 ,由校組長 ,由校組長 ,由校兼任召集人,資訊 兼任召集人,資訊 兼任召集人,資訊 教師 為資通安全長,行政及技術相關事宜由訊組負責。 為資通安全長,行政及技術相關事宜由訊組負責。 為資通安全長,行政及技術相關事宜由訊組負責。本委員會權責如下:
1. 訂定本校資通安全政策及管控機制。
2. 督導資通安全政策之實施。
3. 資通安全事件報、緊急應變及危機處理。
4. 規劃並督導資通安全教育訓練。5. 督導個人資料保護工作之落實。本委員會每年開一次,必要時得召臨議。須有應出席半數 本委員會每年開一次,必要時得召臨議。須有應出席半數 本委員會每年開一次,必要時得召臨議。須有應出席半數 本委員會每年開一次,必要時得召臨議。須有應出席半數 本委員會每年開一次,必要時得召臨議。須有應出席半數 (含)以上出席始得開會,並邀請相關人員列。
五、 資安政策維護本校資訊之機密性、完整與可用,保障使者料隱私。保護本校網路資訊,避免未經授權的存取與修改。 本校業務執行須符合相關法令及規之要求。 建立資訊業務永續運作計畫,確保本校。
六、 實施規定
1 網路安全
1.1 網路控制措施
1.1.1 與外界連線,應僅限於經由教育局 與外界連線,應僅限於經由教育局 與外界連線,應僅限於經由教育局 (處)網路管理單位之控,以 網路管理單位之控,以 網路管理單位之控,以 符合一致性與單之安全要求。
1.1.2 應禁止以私人架設網路 (如:電話線、 (如:電話線、 (如:電話線、 (如:電話線、 2G 或 3G 網路等) 連結機 房內之主機電腦或網路設備。
1.1.3 宜依業務性質之不同,區分內部網路段例如:教學、行 宜依業務性質之不同,區分內部網路段例如:教學、行 宜依業務性質之不同,區分內部網路段例如:教學、行 宜依業務性質之不同,區分內部網路段例如:教學、行 宜依業務性質之不同,區分內部網路段例如:教學、行 宜依業務性質之不同,區分內部網路段例如:教學、行 宜依業務性質之不同,區分內部網路段例如:教學、行 宜依業務性質之不同,區分內部網路段例如:教學、行 宜依業務性質之不同,區分內部網路段例如:教學、行 宜依業務性質之不同,區分內部網路段例如:教學、行 政、宿網等,以降低未經授權存取之風險。
1.1.4 對於開放提供外部使用者或廠商存取之 服務,必須限制對於開放提供外部使用者或廠商存取之 服務,必須限制對於開放提供外部使用者或廠商存取之 服務,必須限制來源 IP 及網路連線埠 (Port) ,以確保安全。
1.2 無線網路存取
1.2.1 應禁止使用者私自將無線網路存取設備介 接至校園;若有應禁止使用者私自將無線網路存取設備介 接至校園;若有應禁止使用者私自將無線網路存取設備介 接至校園;若有接之必要應經權責管理人員同意並設定帳號通行碼或加密金鑰以防未經許可之盜用。
1.2.2 校園內應提供無線網路存取服務,並採適當安全管控措施: 專供行政使用之無線網路熱點建議設定加密金鑰防護,並避 專供行政使用之無線網路熱點建議設定加密金鑰防護,並避 專供行政使用之無線網路熱點建議設定加密金鑰防護,並避 免使用開放之無線網路存取重要資訊系統及處理敏感性料。 於教學區域、會議室等場所佈建之無線網路熱點應具有使用 於教學區域、會議室等場所佈建之無線網路熱點應具有使用 於教學區域、會議室等場所佈建之無線網路熱點應具有使用 於教學區域、會議室等場所佈建之無線網路熱點應具有使用 者身分認證機制,並經由校 園無線路漫遊服務系統提供外者身分認證機制,並經由校 園無線路漫遊服務系統提供外者身分認證機制,並經由校 園無線路漫遊服務系統提供外者身分認證機制,並經由校 園無線路漫遊服務系統提供外來賓使用。 專供師生教學活動使用之無線網路熱點,若採其他管理方 專供師生教學活動使用之無線網路熱點,若採其他管理方 專供師生教學活動使用之無線網路熱點,若採其他管理方 式確有不便時,應採取限定開放間及 式確有不便時,應採取限定開放間及 式確有不便時,應採取限定開放間及 限制開放區域等管理 措施,減少遭受不當利用之機會。 開放校外人士出入之公共空間可視需要提供民眾無線上 網 服務,其 網段 應與校園網路隔離,或委由服務業者提 供。2 系統安全2.1 設備區隔伺服器主機 可依個別應用系統之需要,設置專屬 依個別應用系統之需要,設置專屬 依個別應用系統之需要,設置專屬 主機 ,以避免未經授權 之存取, 例如網路服務主機 (電子郵件、網站主機 )、教學系統主機 (例 如隨選視訊主機 )等。2.2 對抗惡意軟體、隱密通道及特洛依木馬程式2.2.1 個人電腦應: 裝置防毒軟體,將設定為自動期更新病碼;或由伺服器 裝置防毒軟體,將設定為自動期更新病碼;或由伺服器 裝置防毒軟體,將設定為自動期更新病碼;或由伺服器 裝置防毒軟體,將設定為自動期更新病碼;或由伺服器 裝置防毒軟體,將設定為自動期更新病碼;或由伺服器 端進行病毒碼更新的管理。 作業系統及軟體應定期更新,以防範漏洞。2.2.2 個人電腦所使用的軟體應有授權。
2.2.3 新伺服器系統啟用前,應 執行相關程序 (如: 確認 適合該 作業 系 統之掃毒工具 、預設 、預設 通行碼 更新、系統等,並記錄於啟用與 更新、系統等,並記錄於啟用與 更新、系統等,並記錄於啟用與 更新、系統等,並記錄於啟用與 更新、系統等,並記錄於啟用與 更新、系統等,並記錄於啟用與 報廢紀錄單 ),以防範可能隱藏的病毒或後門程式 ,以防範可能隱藏的病毒或後門程式 。(參考啟用與 。(參考啟用與 報廢紀錄單格式,文件編號 A-1)
2.3 桌面淨空與螢幕政策
2.3.1 個人電腦辦公桌面應避免存放機敏性文件, 個人電腦辦公桌面應避免存放機敏性文件, 結束工作時,應將其 結束工作時,應將其 結束工作時,應將其 所經辦或使用具有機密敏感特性的資料(如公文、學籍等) 所經辦或使用具有機密敏感特性的資料(如公文、學籍等) 所經辦或使用具有機密敏感特性的資料(如公文、學籍等) 所經辦或使用具有機密敏感特性的資料(如公文、學籍等) 妥善存放。
2.3.2 當個人電腦或終端機不使用時,應鍵盤鎖其他控管措施保 當個人電腦或終端機不使用時,應鍵盤鎖其他控管措施保 當個人電腦或終端機不使用時,應鍵盤鎖其他控管措施保 當個人電腦或終端機不使用時,應鍵盤鎖其他控管措施保 護個人電腦及 終端機 安全 個人電腦應設定螢幕保護機制。
2.4 資料備份
2.4.1 系統 管理人員需針對學校重要電腦及資料 (如 :系統檔案、 網站、資料庫等)應每週至少進行一次備份工作; 網站、資料庫等)應每週至少進行一次備份工作; 網站、資料庫等)應每週至少進行一次備份工作; 網站、資料庫等)應每週至少進行一次備份工作; 網站、資料庫等)應每週至少進行一次備份工作; 網站、資料庫等)應每週至少進行一次備份工作; 建議 使用設備 執行異地備份或使用光碟、隨身外接式硬存放。 執行異地備份或使用光碟、隨身外接式硬存放。 執行異地備份或使用光碟、隨身外接式硬存放。 執行異地備份或使用光碟、隨身外接式硬存放。2.4.2 每年應定期檢查備份資料之可用性與完整。
2.5 資訊工作 日誌
2.5.1 系統管理人員需針對重要電腦進行檢查、維護更新等動作 系統管理人員需針對重要電腦進行檢查、維護更新等動作 系統管理人員需針對重要電腦進行檢查、維護更新等動作 系統管理人員需針對重要電腦進行檢查、維護更新等動作 系統管理人員需針對重要電腦進行檢查、維護更新等動作 時,應針對這些活動填寫日誌予以紀錄作為未來需要之 時,應針對這些活動填寫日誌予以紀錄作為未來需要之 時,應針對這些活動填寫日誌予以紀錄作為未來需要之 時,應針對這些活動填寫日誌予以紀錄作為未來需要之 時,應針對這些活動填寫日誌予以紀錄作為未來需要之 查核。 (參考資訊工作日誌格式,文件編號 A-2)
2.5.2 系統管理人員應至少每季執行一次校時。
2.6 資訊存取限制共用的個人電腦 (如:電腦教室、師休息等 電腦教室、師休息等 電腦教室、師休息等 )應以特定功 能為目的,並設定特安全管控機制(如 能為目的,並設定特安全管控機制(如 能為目的,並設定特安全管控機制(如 能為目的,並設定特安全管控機制(如 :限制從網路非法下載檔案行 為、限制自行安裝軟體特定資料的存取等)。 為、限制自行安裝軟體特定資料的存取等)。
2.7 使用者註冊人員報到或離退職應會辦 電腦系統帳號管理人員 ,執行電腦系統的使用 ,執行電腦系統的使用 者註冊及銷程序,透過該來控制使用資訊服務的存 者註冊及銷程序,透過該來控制使用資訊服務的存 者註冊及銷程序,透過該來控制使用資訊服務的存 者註冊及銷程序,透過該來控制使用資訊服務的存 取,該作業應包括以下內容: 使用唯一的者 帳號 。 檢查使用者是否經過系統管理單位之授權資訊或服務。 保存一份包含所有 帳號 註冊的記錄。 使用者調職或離後,應移除其帳號的存取權限。 每學期應檢查使用者帳號 ,以確保的有效性 。(參考帳號申 。(參考帳號申 請單 格式,文件編號 A-3)
2.8 特權管理電腦與網路系統資訊具有存取特權人員清單、及其所持的限說明, 電腦與網路系統資訊具有存取特權人員清單、及其所持的限說明, 電腦與網路系統資訊具有存取特權人員清單、及其所持的限說明, 應予以文件化記錄。(參考系統特權帳號 清單格式,編應予以文件化記錄。(參考系統特權帳號 清單格式,編A-4)
2.9 通行碼( Password )之使用
2.9.1 管制使用者第一次登入系統時,必須立即更改預設 通行碼管制使用者第一次登入系統時,必須立即更改預設 通行碼管制使用者第一次登入系統時,必須立即更改預設 通行碼管制使用者第一次登入系統時,必須立即更改預設 通行碼管制使用者第一次登入系統時,必須立即更改預設 通行碼通行碼應設定有效期限。
2.9.2 資訊系統與服務應避免使用共帳號及通行碼。
2.9.3 由學校發佈通行碼制定與使用規則給者 (參考優質通行碼設 定原則與使用文件,編號: 定原則與使用文件,編號: 定原則與使用文件,編號: 定原則與使用文件,編號: A-5) ,內容應包含以下各項: ,內容應包含以下各項: 使用者應該對其個人所持有通行碼盡保密責任。 要求使用者的通行碼設定,應該包含英文字及數長度為 8碼(含)以上。
2.10 通報安全事件與處理
2.10.1 資訊安全事件包括 :系統被入侵、對外攻擊 :系統被入侵、對外攻擊 :系統被入侵、對外攻擊 :系統被入侵、對外攻擊 :系統被入侵、對外攻擊 、針對性攻擊、散播 針對性攻擊、散播 針對性攻擊、散播 惡意程式、中繼站電子郵件社交工攻擊垃圾命令或 惡意程式、中繼站電子郵件社交工攻擊垃圾命令或 惡意程式、中繼站電子郵件社交工攻擊垃圾命令或 惡意程式、中繼站電子郵件社交工攻擊垃圾命令或 惡意程式、中繼站電子郵件社交工攻擊垃圾命令或 惡意程式、中繼站電子郵件社交工攻擊垃圾命令或 惡意程式、中繼站電子郵件社交工攻擊垃圾命令或 惡意程式、中繼站電子郵件社交工攻擊垃圾命令或 惡意程式、中繼站電子郵件社交工攻擊垃圾命令或 惡意程式、中繼站電子郵件社交工攻擊垃圾命令或 控制伺服器、殭屍電腦惡意網頁留言置換釣魚 控制伺服器、殭屍電腦惡意網頁留言置換釣魚 控制伺服器、殭屍電腦惡意網頁留言置換釣魚 控制伺服器、殭屍電腦惡意網頁留言置換釣魚 控制伺服器、殭屍電腦惡意網頁留言置換釣魚 控制伺服器、殭屍電腦惡意網頁留言置換釣魚 控制伺服器、殭屍電腦惡意網頁留言置換釣魚 控制伺服器、殭屍電腦惡意網頁留言置換釣魚 控制伺服器、殭屍電腦惡意網頁留言置換釣魚 控制伺服器、殭屍電腦惡意網頁留言置換釣魚 控制伺服器、殭屍電腦惡意網頁留言置換釣魚 控制伺服器、殭屍電腦惡意網頁留言置換釣魚 網頁、個資外洩等。
2.10.2 資訊安全事件等級,由輕微至嚴重區分如下: 符合下列任一情形者,屬 0級事件:
(1) 未確定事件或待認工單 :來自不同計畫所使用新型技術 (A -SOC ,miniSOC, …)所產生之工單,但其正確性有待認。 所產生之工單,但其正確性有待認。 所產生之工單,但其正確性有待認。 所產生之工單,但其正確性有待認。
(2) 其他單位所告知教育部屬發生未確定之資安事件。
(3) 教育部及區、縣網路中心檢舉信箱通告之資安事件。 符合下列任一情形者,屬 1級事件:(1) 非核心業務資料遭洩漏。(2) 非核心業務系統或資料遭竄改。(3) 非核心業務運作遭影響或短暫停頓。 符合下列任一情形者,屬 2級事件:(1) 非屬密級或敏感之核心業務資料遭洩漏。(2) 核心業務系統或資料遭輕微竄改。(3) 核心業務運作遭影響或系統效率降低,於可容忍中斷時間內 核心業務運作遭影響或系統效率降低,於可容忍中斷時間內 核心業務運作遭影響或系統效率降低,於可容忍中斷時間內 回復正常運作。 符合下列任一情形者,屬 3級事件:(1) 密級或敏感公務資料遭洩漏。(2) 核心業務系統或資料遭嚴重竄改。(3) 核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內 核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內 核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內 核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內 回復正常運作。 符合下列任一情形者,屬 4級事件:(1) 國家機密資料遭洩漏。(2) 國家重要資訊基礎建設系統或料遭竄改。(3) 國家重要資訊基礎建設運作遭影響或系統停頓,無法於可容 國家重要資訊基礎建設運作遭影響或系統停頓,無法於可容 國家重要資訊基礎建設運作遭影響或系統停頓,無法於可容 忍中斷時間內回復正常運作。
2.10.3 本校任何人於內發現異常情況或疑似資安事件 ,應立即向 資安 業務 承辦人 通報, 通報, 資安業務承辦人 應儘速進行處理並研判事件等 應儘速進行處理並研判事件等 級。
2.10.4 資安業務承辦人 當發生研判事件等級 3(含)以上之事件,應立 (含)以上之事件,應立 (含)以上之事件,應立 (含)以上之事件,應立 即通報資訊業務主管及校長,並以電話聯絡教育局 即通報資訊業務主管及校長,並以電話聯絡教育局 即通報資訊業務主管及校長,並以電話聯絡教育局 即通報資訊業務主管及校長,並以電話聯絡教育局 (處)資訊安全 管理 單位,由校長儘快召集會議研商處的方式。 (參考資安事 件通報程序,文編號: A-6)
2.10.5 當發生無法處理之資通安全事件,應報教育局 當發生無法處理之資通安全事件,應報教育局 當發生無法處理之資通安全事件,應報教育局 當發生無法處理之資通安全事件,應報教育局 (處)資訊安全管 理單位協助處。2.10.6 教育機構資安通報平台(網址:https://info.cert.tanet.edu.tw/ ),帳號為學校 ),帳號為學校 OID : 。
2.10.7 資安通報依情來源分為「告知」與自行,若收到 資安通報依情來源分為「告知」與自行,若收到 「告知通報」事件,由 「告知通報」事件,由 「告知通報」事件,由 「告知通報」事件,由 資安業務承辦人 資安業務承辦人 登入教育機構資安通 報平台,完成通及應變作業。
2.10.8 資安事件若為校內人員自行發現, 資安事件若為校內人員自行發現, 由資安業務承辦人 資安業務承辦人 登入教育機 構資安通報平台進行「自」完成及應變作業。
2.10.9 資安事件須於發生後 1小時內進行通報, 小時內進行通報, 0、1、2級事件 於發生後 72 小時內處理完成並結案 (包括通報與應變 ),3、4級事 件於事發生後 36 小時內完成並結案。
2.10.10 如有收到教育機構資安通報平台「預警事件 如有收到教育機構資安通報平台「預警事件 」通知,由 通知,由 通知,由 資安 業務承辦人 登入教育機構資安通報平台,進行預警事件單處 登入教育機構資安通報平台,進行預警事件單處 登入教育機構資安通報平台,進行預警事件單處 理作業。
2.10.11 相關通報應變流程請依照「教育機構資安手冊」規定辦 相關通報應變流程請依照「教育機構資安手冊」規定辦 相關通報應變流程請依照「教育機構資安手冊」規定辦 理。
3 實體安全
3.1 設備安置及保護
3.1.1 主機房及電腦教室宜設置偵煙、熱或滅火 備(氣體式主機房及電腦教室宜設置偵煙、熱或滅火 備(氣體式主機房及電腦教室宜設置偵煙、熱或滅火 備(氣體式主機房及電腦教室宜設置偵煙、熱或滅火 備(氣體式器),並禁止擺放易燃物或飲食。 器),並禁止擺放易燃物或飲食。
3.1.2 主機房及電腦教室的源線插頭應有接地連結或避雷針等裝置,避免如雷擊事件所造成損害情況。
3.1.3 主機房及電腦教室應 實施門禁管制 。
3.2 溫濕度控制重要的資訊設備(如 :主機房 等)宜有溫濕度控制措施 (溫度建議控 制在 20 ℃~25 ℃,濕度 建議控制在相對℃,濕度 建議控制在相對℃,濕度 建議控制在相對50%R.H.~70%H.) ,以防止 ,以防止 資訊設備意外損壞。機房內應 資訊設備意外損壞。機房內應 資訊設備意外損壞。機房內應 有溫濕度顯示裝置 ,以觀察實際之溫濕度 ,以觀察實際之溫濕度 情況。
3.3 電源供應重要的資訊設備 (如:主機房等) (如:主機房等) (如:主機房等) 應有適當的電力保護設 施,例如應有適當的電力保護設 施,例如應有適當的電力保護設 施,例如置 UPS 、電源保護措施 、電源保護措施 (如:穩壓器、接地等 穩壓器、接地等 穩壓器、接地等 ),以免斷電或過負載而造 ,以免斷電或過負載而造 成損失,並設置緊急照明備以作為停電之用。
3.4 纜線安全主機房及電腦教室內線路應考量設置保護施 (如:高架地板、 線槽高架地板、 線槽高架地板、 線槽套管等 )。
3.5 設備與儲存媒體之安全報廢或再使用所有包括儲存媒體的設備項目, 在報廢前應填寫「啟用與紀錄單」所有包括儲存媒體的設備項目, 在報廢前應填寫「啟用與紀錄單」所有包括儲存媒體的設備項目, 在報廢前應填寫「啟用與紀錄單」所有包括儲存媒體的設備項目, 在報廢前應填寫「啟用與紀錄單」所有包括儲存媒體的設備項目, 在報廢前應填寫「啟用與紀錄單」所有包括儲存媒體的設備項目, 在報廢前應填寫「啟用與紀錄單」確認已將任何敏感資料和授權軟體刪除或覆寫。(參考啟用與報廢紀錄 確認已將任何敏感資料和授權軟體刪除或覆寫。(參考啟用與報廢紀錄 單格式,文件編號 A-1)
3.6 財產攜出
3.6.1 禁止資訊設備在未經授權之情況下攜 離所屬區域,若需將禁止資訊設備在未經授權之情況下攜 離所屬區域,若需將禁止資訊設備在未經授權之情況下攜 離所屬區域,若需將出,應 遵守財產管理相關 規定並 填寫「設備進出紀錄表」。(參考 填寫「設備進出紀錄表」。(參考 填寫「設備進出紀錄表」。(參考 填寫「設備進出紀錄表」。(參考 填寫「設備進出紀錄表」。(參考 設備進出紀錄表格式,文件編號 A-7)
3.6.2 當有必要將設備移出,應檢視相關授權並實施登記與歸還錄。
4 可攜式電腦設備與媒體
4.1 公務用可攜式 電腦 設備 (如:筆記型電腦 、平板電腦 、智慧型手機等 )應設定 保護機制,如應設定 保護機制,如應設定 保護機制,如通行碼 、圖形辨識臉孔或指紋等。 、圖形辨識臉孔或指紋等。 、圖形辨識臉孔或指紋等。 、圖形辨識臉孔或指紋等。 、圖形辨識臉孔或指紋等。
4.2 公務用可攜式 電腦 設備 應執行 安全 相關程序 (如:掃毒、預設 通行碼 更新、系統等),以防範可能隱藏的病毒或後門程式 更新、系統等),以防範可能隱藏的病毒或後門程式 。
4.3 公務用可攜式儲存媒體 (如:隨身碟 如:隨身碟 如:隨身碟 、光碟 、磁帶 、磁帶 等)應依儲存資料的機 敏性實施安全控管措,如檔案加密儲存或將該媒體放於上鎖儲櫃或安全處所。
5 人員安全
5.1 人員安全責任非正式人員 、約聘 (僱)人 員者,因業務需要而接觸公機密、個權益及學校機敏資料者須填寫保密切結書。(參考格式,文件編 權益及學校機敏資料者須填寫保密切結書。(參考格式,文件編 權益及學校機敏資料者須填寫保密切結書。(參考格式,文件編 號 A-8)
5.2 資訊安全教育與訓練
5.2.1 鼓勵 資安業務承辦人 參加 資安管理系統 相關教育訓練 。
5.2.2 鼓勵所有教職員參與資訊 安全育訓練或宣導活動,以提昇鼓勵所有教職員參與資訊 安全育訓練或宣導活動,以提昇鼓勵所有教職員參與資訊 安全育訓練或宣導活動,以提昇安全認知。
6 資訊業務委外管理
6.1 服務委外廠商合約之安全要求
6.1.1 在資訊業務委外合約中,應訂定廠商的安全責任及保密 在資訊業務委外合約中,應訂定廠商的安全責任及保密 在資訊業務委外合約中,應訂定廠商的安全責任及保密 在資訊業務委外合約中,應訂定廠商的安全責任及保密 規定。
6.1.2 應要求委外廠商簽訂安全保密切結書 。(參考切結書格式,文件 編號 A-9)
6.1.3 委外廠商人員到校服務時,應請其簽署保密切結書。 委外廠商人員到校服務時,應請其簽署保密切結書。 委外廠商人員到校服務時,應請其簽署保密切結書。 委外廠商人員到校服務時,應請其簽署保密切結書。 (參考切結書格式,文件編號 A-10)
6.2 委外廠商服務異動或終止時,應中刪除其系統上的帳號與權限。(參考帳號 申請單格式,文件編A-3)
7 應對以下各項相關法令有基礎之認知 ,並利用各集會場合對全校師生口頭宣 ,並利用各集會場合對全校師生口頭宣 導(至少一學期次 )。
7.1 智慧財產權著作權法
7.2 個人資訊的料保護及隱私個人資料保護法及施行細則
7.3 刑法 電腦犯罪專章
七、 本計畫經校長核可後實施,修正時亦同。
11-03 校園安全說明會...