國立竹南高級中學資訊安全作業規範
一、依據
教育部中部辦公室八十九年八月三十日八九教中(祕)字第八九五一一六四一號書函。
二、目的
強化本校資訊安全管理,建立安全及可信賴之電子化組織,確保資料、系統、設備及網路安全,使教學及各項行政工作順利進行。
三、組織及權責
(一)資訊教育推展委員會:負責資訊安全政策、計畫及技術規範之研議、建置及評估等事項。執行祕書負責辦理資訊安全相關事宜。
(二)各處室:資料及資訊系統之安全需求、使用管理及保護等事項。
(三)人事室:資訊機密維護及稽核使用管理事項。
(四)教務處:負責資訊安全管理事項之協調及推動;並統籌資訊安全政策、計畫、資源調度等事項之協調研議。
四、人員管理及資訊安全教育訓練
(一)資訊教育推展委員會對資訊相關職務及工作應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
(二)對管理、業務及資訊等不同工作類別之需求,每年辦理資訊安全教育訓練及宣導一至二次,以建立教職員工資訊安全認知,提升本校資訊安全水準。
五、電腦系統安全管理
(一)各項作業軟体之變更應經資訊教育推展委員會評估認可,並列入紀錄,以備查考。
(二)所有資料應由管理單位依資料特性,定期備份。
(三)校園網路系統嚴禁隨意複製不明或非法軟体進入,所有系統均應加掛防毒軟体,並定期更新。
(四)校內電腦系統由資訊教育推展委員會執行祕書負責定期檢查,以維安全。
六、網路安全管理
(一)本校與外界網路連接之網點,應以防火牆及其他必要安全設施,控管外界與本校內部網路之資料傳輸與資源存取。
(二)機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。
(三)機密性資料及文件,不得以電子郵件或其他電子方式傳送。
七、系統存取控制
(一)對被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員,應經資訊教育推展委員會之授權。
(二)本校離職教職員工應於離職前自行清除帳號之資料,離職後立即取消使用本校各項資訊資源之所有權限,並列入本校人員離(休)職之必要手續。
(三)校內人員職務調整及調動後,應依系統存取授權規定,於一週內調整其權限。
(四)本校所有教職員工均建立系統使用者註冊管理制度,使用者以通行密碼管理,並定期更新密碼;使用者通行密碼統一每六個月更新一次,有特殊狀況者隨時更新。校外人士禁止擁有系統存取權限。
(五)委外建檔之重要資料,應與廠商簽訂合約及切結書,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
(六)資訊教育推展委員會會同人事室,應派員每學期至少二次,進行資訊安全稽核;系統中之稽核紀錄檔案,禁止任意刪除及修改。
八、系統發展及維護安全管理
(一)本校自行開發或委外發展系統之安裝、維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。安全管制方式由資訊教育推展委員會及人事室依系統特性個別規定。
(二)本校所有系統廠商之軟硬體系統建置及維護人員,應在本校人員陪同、監督下接觸系統與資料,並禁止核發系統辨識及通行密碼供廠商使用。
九、業務永續運作之規劃
(一)為維護系統之永續運作,所有檔案每週至少應備份一次,由資訊教育推展委員會不定期派員檢查。
(二)任何突發狀況均須向資訊教育推展委員會報告,以作立即且必要之處置。
(三)主機房應安裝保全系統,並由執行祕書負責進出人員之管制。
十、附則
本規範經89/10/19行政會報討論通過,陳 校長核定後實施,修訂亦同。