實施辦法- 宜蘭縣羅東鎮北成國小資訊安全網

學校與外界連線，經由縣網中心之管控，符合一致性與單一性之安全。

○學校內會計系統、人事系統及校務行政系統之內部 ... 宜蘭縣羅東鎮北成國小資訊安全網 宜蘭縣資訊安全課程100年度資安線上課程101年度資安線上課程103年度資安線上課程104年度資安線上課程106年度資安線上課程107年度資安線上課程 北成國小資通安全管理系統實施辦法資訊安全組織資安事件通報程序校園網路使用規範網路安全管理處理機制北成國小主機系統特權管理人員清單宜蘭縣學校軟體清單附件文件下載 資訊安全面面觀資訊安全議題教師資訊安全素養學生網路活動安全教材連結 相關網站資訊素養與倫理國小教材中小學教師網路素養與認知 學習加油站--資訊倫理與安全TechNet資訊安全技術中心 行政院資通安全技術服務中心 教育部全民資安素養網 教育部資訊安全服務網 尊重網路智財權經濟部智慧財產局著作權法個人資料保護法電子簽章法電子簽章法施行細則核可憑證機構名單 實施辦法  宜蘭縣羅東鎮北成國小資通安全管理系統實施辦法下載文件檔 一、目標 為避免校園內部使用相關資訊設備時，因個人操作及其他因素導致重要資料外洩及設備毀損，特訂立此實施辦法。

二、適用範圍  (一)學校內電腦、資訊與網路服務相關的系統、設備、程序、及人員。

(二)學生用電腦：電腦教室及各專科教室內提供學生操作使用的電腦設備。

(三)教師用電腦：教職員工個人專用的教學或行政用電腦設備。

(四)敎師公用電腦：辦公室中供所有教師共同使用的電腦設備。

三、實施原則 1.網路安全 1.1    網路控制措施 ●學校與外界連線，經由縣網中心之管控，符合一致性與單一性之安全。

●學校內會計系統、人事系統及校務行政系統之內部資料，當有必要透過網路進行傳輸時，透過虛擬私有網路（VirtualPrivateNetwork,VPN）及同等連線方式進行。

●校園內所有主機電腦或網路設備均禁止以電話線連結。

  1.2    網路安全管理服務委外廠商合約之安全要求 ●委外開發或維護廠商必須簽訂安全保密切結書（文件編號A-1）。

  2.系統安全 2.1    職責區隔 ●學校主機電腦依個別應用系統之需要，設置專屬電腦(至多不超過兩種服務)，例如網路服務主機（電子郵件、網站主機）。

●學校的行政系統主機（如財務、人事、公文系統等）電腦，已由宜蘭縣政府及教育處教網中心統籌管理。

  2.2    對抗惡意軟體、隱密通道及特洛依木馬程式 ●學生用電腦： -使用還原卡，每次開機都會自動還原系統。

-裝置防毒軟體，將軟體設定為自動定期更新病毒碼。

-每半年一次進行所有程式之更新作業，以防範所有系統之漏洞。

●教師用電腦、敎師公用電腦及伺服器 -裝置防毒軟體，將軟體設定為自動定期更新病毒碼。

-系統設定自動進行如「WindowsUpdate」之程式更新作業，以防範作業系統之漏洞。

●學校內個人電腦所使用的軟體應有合法授權，並於校務會議中宣導。

●新系統啟用前，須經過掃毒與更新系統密碼程序，以防範可能隱藏的病毒或後門程式。

(SOP：S01)   2.3    資料備份 ●學校系統管理人員針對學校重要系統（如系統檔案、應用系統、資料庫等）每月進行備份工作，或採用自動備份機制。

  2.4    操作員日誌 ●學校系統管理人員針對電腦機房的電腦系統每月進行檢查、維護、更新等動作時，應針對這些活動填寫日誌予以紀錄，至少保存18個月。

●日誌內容包含以下各項： -系統例行檢查、維護、更新活動的起始時間 -系統錯誤內容和採取的改正措施。

(文件編號A-2) -紀錄日誌項目人員姓名與簽名欄   2.5   資訊存取限制 ●教務處和學務處所設教師公用電腦以列印功能為目的，並設監視器進行人員安全管控機制且限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取等。

  2.6   使用者註冊 ●學校應制定電腦系統使用的使用者註冊及註銷程序，透過該註冊及註銷程序來控制使用者資訊服務的存取，該作業應包括以下內容： - 使用唯一的使用者識別碼（ID）。

-檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。

-保存一份包含所有識別碼註冊的記錄。

-使用者調職或離職後，應移除其識別碼的存取權限。

-每學年檢查並取消多餘的使用者識別碼和帳號。

-每學年檢查新增之帳號，若有莫名帳號產生，應關閉帳號權限，並依通報程序請求處理（參照2.10）。

  2.7   特權管理 ●學校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明，應予以文件化記錄備查。

  2.8   通行碼之使用 ●管制使用者第一次登入系統時，必須立即更改預設通行碼，預設通行碼應設定有效期限。

●資訊系統與服務須避免使用共同帳號及通行碼。

●由學校發佈通行碼（Password）制定與使用規則給使用者，(優質通行碼設定原則與使用原則，文件編號A-3)，內容應包含以下各項： - 使用者對其個人所持有通行碼盡保密責任 -要求使用者的通行碼設定，避免使用易於猜測之數字或文字，例如生日、名字、鍵盤上聯繫的字母與數字（如12345678或asdfghjk），以及過多的重複字元等。

或建議通行碼應該包含英文字大小寫、數字、特殊符號等四種設定中的三種。

●因特殊需要擁有多個帳號時，可考慮使用一組複雜但相同的通行碼。

  2.9   原始程式庫之存取控制 ●學校與系統廠商間的合約須加註對原始程式庫安全之要求，並防範資料庫隱碼(SQL-injection)問題，針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。

  2.10  通報安全事件與處理 ●資訊安全事件包括：任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。

●學校建立資訊安全事件通報程序(安全事件通報程序，編號A-4)以及安全事件通報單(安全事件通報單範本，文件編號A-5)；通報程序包括學校內部通報，以及學校與教網中心的通報。

●當學校內部無法處理之資通安全事件，立即通報教網中心。

●所訂出資訊安全事件通報程序公布於校園內使用電腦與網路之場所，提供使用者瞭解。

  3. 實體安全 3.1    設備安置及保護 ●學校重要的資訊設備（如主機機房）須置於設有空調空間。

●學校資訊設備主機機房、電腦教室區域，須設置滅火設備，並禁止擺放易燃物、或飲食。

●學校資訊設備主機機房、電腦教室區域內的電源線插頭均有接地的連結、或有避雷針等裝置，避免如雷擊事件所造成損害情況。

●學校資訊設備主機機房、電腦教室區域，於入出口處加裝門鎖。

  3.2    電源供應 ●學校重要的資訊設備（如主機機房）有適當的電力設施，例如設置UPS、電源保護措施，以免斷電或過負載而造成損失。

  3.3    纜線安全 ●學校資訊設備主機機房、電腦教室區域內避免明佈線。

  3.4    設備與儲存媒體之安全報廢或再使用 ●所有包括儲存媒體的設備項目，在報廢前，需確保已將任何敏感資料和授權軟體刪除或覆寫。

(SOP:S02)   3.5    設備維護 ●與設備廠商建立維護合約。

●廠商進入安全區域需簽訂安全保密切結書。

(文件編號:A-6) ●廠商或人員進入機密區需有進出管制，如進出管制登記簿。

(文件編號:A-7)   3.6    財產攜出、攜入 ●未經授權不得將學校的資訊設備、資訊或軟體攜出、攜入所在地。

●當有必要將設備移出，需檢視相關授權，並實施登記與歸還記錄。

●相關財產之攜出、攜入均依教育部或學校既有之相關規定處理。

●機房內部財產需有設備進出登記簿。

(文件編號:A-8)   3.7    桌面淨空與螢幕淨空政策 ●結束工作時，所有學校教職員工需將其所經辦或使用具有機密或敏感特性的資料（如公文、學籍資料等）及資料儲存媒體（如USB隨身碟、磁碟片、光碟等），妥善存放。

●學校行政人員的個人電腦設定十分鐘開啟螢幕密碼保護程式，其他教職員的個人電腦設定四十分鐘開啟螢幕密碼保護程式。

  4.人員安全 4.1    將安全列入工作執掌中         ●建置北成國小資訊安全網，放置於學校首頁中，並時常不定時宣導之，以強化工作上之資訊安全意識。

         ●成立北成國小資訊安全組織，全體教職員均為資訊安全組織的成員。

            (文件編號:A-9)  4.2    資訊安全教育與訓練       ●使學校系統管理人員有足夠能力執行日常基礎之資安管理系統維護工作，並使其瞭解資安事件通報之程序。

●學校鼓勵或安排資訊組長/老師/系統管理人員、以及所有教職員參與資訊安全教育訓練或宣導活動，以提昇資訊安全認知。

  5.應對以下各項相關法令有基礎之認知 5.1    智慧財產權 ●經濟部智慧財產局http://www.tipo.gov.tw/ ●著作權法http://www.tipo.gov.tw/copyright/copyright_law/copyright_law_92.asp   5.2    個人資訊的資料保護及隱私 ●個人資料保護法http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021   5.3    電子簽章法 ●電子簽章法 http://www.moea.gov.tw/~meco/doc/ndoc/s5_p05.htm ●電子簽章法施行細則http://www.moea.gov.tw/~meco/doc/ndoc/s5_p05_p01.htm ●核可憑證機構名單 http://www.moea.gov.tw/~meco/doc/ndoc/s5_p07_p03.htm Signin|RecentSiteActivity|ReportAbuse|PrintPage|PoweredByGoogleSites