資訊安全管理原則
高雄市鳳山區文德國小資訊安全管理原則
民國101年9月5日訂定
民國104年2月25日修訂
民國109年1月9日修訂
一、依據
(一)、中華民國107年2月22日高市教資字第10731004900號函。
(二)、中華民國104年1月22日高市教資字第10430409500號函。
(三)、中華民國 96 年5月30日教育部國中小學資通安全管理系統實施原則
二、名詞釋義
(一)、網路:指有線網路及無線網路等。
(二)、電腦教室:指電腦專科教室、多功能E化專科教室等。
(三)、個人電腦:指桌上型電腦、筆記型電腦、小筆電等。
(四)、伺服器:指建置有特殊目的並提供網路服務的主機或個人電腦。
(五)、網路設備:指網路交換器(含 5、8、16、24、48 Port Switch)、列印伺服器、網路印表機等。
(六)、手持裝置:指智慧型手機、平板電腦。
三、適用範圍
高雄市文德國民小學校內電腦、資訊暨網路服務相關之系統、設備、程序及人員等。
四、實施原則
(一)、網路安全
1.網路控制措施
(1). 學校與外界連線,應僅限於經由高雄市教育網路中心之管控,以符合一致性與單一性之安全要求。
(2). 禁止以私人架設網路 (如:電話線、 2G 或 3G 網路等) 連結機 房內之主機電腦或網路設備。
(3). 應依業務性質之不同,區分不同內部網路網段,例如:教學、行政等,以降低未經授權存取之風險。
(4). 外部使用者或廠商如需校內存取之服務,必須限制使用者之來源IP及網路連線埠(Port)。
2.無線網路存取
(1). 禁止使用者私自將無線網路存取設備介接至校園網路;若有介接之必要應經權責管理人員同意並設定帳號通行碼或加密金鑰以防未經許可之盜用。
(2). 無線網路熱點應具有使用者身分認證機制,並經由校園無線路漫遊服務系統提供外校來賓使用。
(3). 開放校外人士出入之公共空間可視需要提供民眾無線上網服務,其網段應與校園網路隔離
(二)、系統安全
1. 職責區隔
學校主機電腦可依個別應用系統之需要,設置專屬電腦,例如網路服務主機(電子公文、 www網站、 NAS) 。
2. 對抗惡意軟體、隱密通道及特洛依木馬程式
(1). 學校內的個人電腦應:
- 安裝防毒軟體,將軟體設定為自動定期更新病毒碼;或由伺服器端進行病毒碼更新的管理。
- 定期(至少每個月)進行如「Windows Update」之程式更新作業,以防範作業系統之漏洞。
- 教學電腦安裝還原系統(需設定為開機還原),可不安裝防毒軟體,但各種系統更新、漏洞修補程式(如Windows Update)至少每學期更新一次。
- 共用的個人電腦(如:電腦教室電腦、教師休息室電腦等)應安裝還原系統。
(2). 學校內個人電腦應使用授權軟體或自由軟體。
3. 使用者註冊
學校應制定電腦系統使用的使用者註冊及註銷程序,透過該註冊及註銷程序來控制使用者資訊服務的存取,該作業應包括以下內容:
(1). 使用唯一的使用者識別碼(ID)。
(2). 檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。
(3). 保存一份包含所有識別碼註冊的記錄。
(4). 使用者調職或離職後,應移除其識別碼的存取權限。
(5). 定期(建議每學期)檢查並取消多餘的使用者識別碼和帳號。
(6). 定期(建議每學期)檢查新增之帳號,若有莫名帳號產生,應關閉帳號權限,並依通報程序請求處理。
4. 特權管理
學校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明,應予以文件化記錄備查。
5. 通行碼之使用
(1). 資訊系統與服務應避免多人使用共同帳號及通行碼。
(2). 遵守學校制定之通行碼(Password)設定與使用規則:(文件編號 A-4)
a. 使用者應該對其個人所持有通行碼盡保密責任。
b. 使用者的通行碼設定,應該包含英文字及數長度為8碼(含)以上。
6. 原始程式庫之存取控制
學校與系統廠商間的合約應加註對原始程式庫安全之要求,並防範資料庫隱碼(SQL-injection)問題,針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。
7. 通報安全事件與處理
(1). 資訊安全事件包括:系統被入侵、對外攻擊 、針對性攻擊、散播惡意程式、中繼站、電子郵件社交工程攻擊、垃圾郵件、命令或控制伺服器、殭屍電腦、惡意網頁、惡意留言、網頁置換、釣魚網頁、個資外洩等。
(2). 資訊安全事件等級,由輕微至嚴重區分等級如下:
a. 0級事件:
- 其他單位所告知教育部所屬單位所發生未確定之資安事件。
- 教育部及區、縣網路中心檢舉信箱通告之資安事件。
b. 1級事件:
- 非核心業務資料遭洩漏。
- 非核心業務系統或資料遭竄改。
- 非核心業務運作遭影響或短暫停頓。
c. 2級事件:
- 非屬密級或敏感之核心業務資料遭洩漏。
- 核心業務系統或資料遭輕微竄改。
- 核心業務運作遭影響或系統效率降低,於可容忍中斷時間內回復正常運作。
d. 3級事件:
- 密級或敏感公務資料遭洩漏。
- 核心業務系統或資料遭嚴重竄改。
- 核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。
e. 4級事件:
- 國家機密資料遭洩漏。
- 國家重要資訊基礎建設系統或資料遭竄改。
- 國家重要資訊基礎建設運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。
(3). 本校任何人於校內發現異常情況或疑似資安事件,應立即向資安業務承辦人通報,資安業務承辦人應儘速進行處理並研判事件等級。
(4). 資安業務承辦人當發生研判事件等級3(含)以上之事件,應立即通報資訊業務主管及校長,並以電話聯絡教育局(處)資訊安全管理單位,由校長儘快召集會議研商處理的方式。(參考資安事件通報程序,文件編號:A-5)
(5). 當學校內部無法處理之資通安全事件,應通報高雄市教育網路中心。
(6). 資安通報依情報來源分為「告知通報」與「自行通報」。
a. 若收到「告知通報」事件通知,由資安業務承辦人登入教育機構資安通報平台,完成通報及應變作業。
b. 資安事件若為校內人員自行發現,由資安業務承辦人登入教育機構資安通報平台進行「自行通報」完成通報及應變作業。
(7). 資安事件須於發生後1小時內進行通報,0、1、2級事件於事件發生後72小時內處理完成並結案(包括通報與應變),3、4級事件於事件發生後36小時內完成並結案。
(8). 相關通報應變流程請依照「教育機構資安通報應變手冊」規定辦理。
(三)、實體安全
1. 設備安置及保護
(1). 學校資訊設備主機機房、電腦教室區域,應設置滅火設備,禁止擺放易燃物及飲食。
(2). 學校資訊設備主機機房、電腦教室區域內的電源線插頭應有接地的連結、或有避雷針等裝置,避免如雷擊事件所造成損害情況。
(3). 學校資訊設備主機機房、電腦教室區域,應於入出口處加裝門鎖或其他同等裝置。
2. 主機機房溫濕度控制
(1). 學校重要的資訊設備主機機房應置於設有空調空間。
(2). 溫濕度控制措施(溫度建議控制在20℃~25℃,濕度建議控制在相對濕度50%R.H.~70%R.H.),以防止資訊設備意外損壞。
(3). 機房內應有溫濕度顯示裝置,以觀察實際之溫濕度情況。
3. 電源供應
學校重要的資訊設備(如主機機房)應有適當的電力設施,例如設置UPS、電源保護措施,以免斷電或過負載而造成損失。
4. 纜線安全
主機機房及電腦教室內線路應考量設置保護設施(如:高架地板、線槽、套管等)。
5. 設備與儲存媒體之安全報廢或再使用
所有包括儲存媒體的設備項目,在報廢前,應先確保已將任何敏感資料和授權軟體刪除或覆寫。
6. 財產攜出
l 未經授權不應將學校的資訊設備、資訊或軟體攜出所在地。
l 當有必要將設備移出,應檢視相關授權,並實施登記與歸還記錄。
l 相關財產之攜出應依教育部或學校既有之相關規定處理。
7. 桌面淨空與螢幕淨空政策
l 結束工作時,所有學校教職員工及家長會應將其所經辦或使用具有機密或敏感特性的資料(例如公文、學籍資料等)及資料的儲存媒體(如USB 隨身碟、磁碟片、光碟等),妥善存放。
l 學校提供教職員工、家長會或學生使用的個人電腦應設定保護裝置,如個人鑰匙、個人密碼以及螢幕保護。
(四)、可攜式電腦設備與媒體
1. 公務用可攜式電腦設備(如:筆記型電腦、平板電腦、智慧型手機等)應設定保護機制,如設定通行碼、圖形辨識、臉孔辨識或指紋辨識等。
2. 公務用可攜式 電腦 設備 應執行 安全 相關程序 (如:掃毒、預設 通行碼 更新、系統等),以防範可能隱藏的病毒或後門程式 更新、系統等),以防範可能隱藏的病毒或後門程式 。
2. 公務用可攜式儲存媒體(如:隨身碟、光碟、磁帶等)應依儲存資料的機敏性實施安全控管措施,如檔案加密儲存或將該儲存媒體存放於上鎖儲櫃或安全處所。
(五)、人員安全
1. 組織架構圖
資訊安全組織成員表詳如(文件編號 A-7)
2. 人員安全責任
非正式人員、約聘(僱)人員者,因業務需要,而接觸公務機密、個人權益及學校機敏資料者須填寫保密切結書(文件編號 A-3)。
3. 資訊安全教育與訓練
(1). 鼓勵資安業務承辦人參加資安管理系統相關教育訓練。
(2). 鼓勵所有教職員參與資訊安全教育訓練或宣導活動,以提昇資訊安全認知。
(六)、資訊業務委外管理
1. 在資訊業務委外合約中,應訂定委外廠商的資訊安全責任及保密規定。
2. 應要求委外廠商簽訂安全保密切結書。(文件編號 A-1)
3. 委外廠商人員到校服務時,應請其簽署委外廠商人員保密切結書。(文件編號 A-2)
五、本原則經行政會議議決後施行之,修正時亦同。
