跳到主要內容區

資訊安全計畫

新竹縣竹北市鳳岡國民小學資訊安全計畫

 

 

 

壹、目標

 

    1.維持校園資訊系統正常運作。

 

  2.防止駭客、病毒等入侵及破壞校園內電腦與資訊系統。

 

  3.防止人為意圖不當及不法使用本校各項軟硬體系統及資料庫。

 

  4.避免人為疏失所造成之意外。

 

  5.維護本校校園內各項資訊設備實體環境之安全。

 

 

 

叁、計畫範圍

 

  本規範適用之範圍包括本校全體教職員工及全校學生、現行各項應用系統軟體及所有相關資訊硬體設備等四部分。

 

 

 

 (一)人員

 

    涵蓋本校專兼任教職員工生、約聘雇人員及本校各年級學生。

 

 (二)應用系統

 

    校務行政系統:包含教務系統、學務系統、人事系統、會計系統、總務系統、輔導處系統、公文製作系統、公文管理
    系統、公文收發系統、薪資發放系統、網路公告、圖書館圖書借閱系統,健康資訊系統等。

 

 (三)硬體設備

 

    (1).本校各項校務應用系統所安裝之各式主機、伺服器及與校內存取校務行政系統的個人電腦。

 

    (2).本校各辦公室公用電腦、印表機及相關網路與電源設備。

 

    (3).本校各電腦教室之教學用電腦、網路及教室所有相關週邊設備。

 

    (4).網路機房之各類網路伺服器及所有相關網路設備。

 

  () 作業環境

 

    (1).電腦作業系統及基本應用軟體,包括 Linux,Windows, Dos等及其相關應用軟體。 

 

 

 

肆、權責與分工

 

    本校各項系統資訊安全工作之權責分工如下:

 

  () 資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資訊組長負責辦理。

 

  () 個別業務資料及資訊系統之安全需求研議、使用管理及保護等事項,由各業務承辦人員負責辦理。

 

  () 資訊機密維護及資訊安全之稽核事項,由資訊組長會同各業務承辦人員辦理。

 

 

 

伍、計畫評估與修正

 

     本計劃至少每年檢核壹次,並視法令及環境之變遷作必要之修正經呈核後實施。

 

 

 

陸、校務行政系統之安全管理

 

 

 

一、電腦病毒及惡意軟體之防範

 

()電腦病毒及惡意軟體之控制

 

    本校伺服器及個人電腦應採行必要的事前預防及保護措施,防制及偵測電腦病毒及惡意軟體等的侵入;促使教職員工生正確認知電腦病毒的威脅,提升教職員工生的資訊安全警覺,健全系統之存取控制機制。

 

 

 

()電腦病毒防範應考量的重要原則

 

1)各單位及使用者應遵守軟體授權規定,禁止使用未取得授權的軟體。

 

2)使用電腦病毒防制軟體,應依下列原則:

 

•電腦病毒防治軟體及病毒碼應定期更新版本。

 

•應定期或即時(real time)掃瞄電腦系統及資料儲存媒體。

 

•應慎選使用可掃除電腦病毒及回復系統功能的解毒軟體。

 

•對來路不明及內容不確定的磁片,應在使用前詳加檢查是否感染電腦病毒。

 

•應定期將必要的資料及軟體備份。

 

 

 

 

 

二、軟體版權之控管

 

1、有關軟體之使用,應遵守相關法令及契約規定。

 

2、軟體版權管理應考量下列事項:

 

1)禁止本校員工保有或使用未取得授權的軟體。

 

2)禁止本校員工在未取得授權同意前,將軟體安裝到電腦設備上。

 

3)須在原授權許可之外的電腦設備上使用軟體時,應取得正式的授權或另行採購。

 

4)應依[政府所屬各級行政機關電腦軟體管理作業要點]規定,建立軟體使用的註冊管理機制,並定期稽核軟體使用情形。

 

 

 

 

 

 

 

三、個人資料之保護

 

 

 

(一)關於個人資料的蒐集、公告、利用、更正、刪除及相關的申請登記、損害賠償、處罰等事宜應依電腦處理個人資料保護法等有關法令規定辦理。

 

(二)應釐清資料主管單位、使用者及資訊組的權利、義務、責任及權限,並明確訂定作業程序。

 

 

 

 

 

 

 

四、日常作業之安全管理

 

(一)資料備份

 

1、應定期執行必要的資料及軟體備份,以便發生災害或是儲存媒體失效時,可迅速回復正常作業。

 

2、系統資料備份及備援作業,應符合資訊組業務持續運作之需求。

 

3、資料備份作業原則如下:

 

1)備份資料應儲存於適當環境。

 

2)備份資料除存放在業務承辦人的相關媒體外,應另異地存放,以降低發生災害時可能帶來的傷害。

 

3)重要資料的備份,應至少保留三代以上。

 

4)應定期測試備份資料,以確保備份資料之可用性。

 

5)資料的保存時間應依一週以上為原則。

 

 

 

(二)系統錯誤事項之處理

 

1、系統發生錯誤時,應迅速報告權責主管人員,並採取必要的更正行動。

 

2、使用者對電腦及通信網路系統錯誤的報告,應詳實記錄,以供日後查考。

 

3、系統錯誤處理程序的作業規定如下:

 

1)應檢查錯誤處理的紀錄,確保系統作業已經恢復正常。

 

2)應檢查更正作業是否妥適,確保更正作業未破壞系統原有的安控措施,及確保更正作業係依正當的授權程序辦理。

 

 

 

 

 

 

 

五、電腦媒體與資料文件安全之管理

 

(一)電腦媒體之使用管理

 

1、應納入管理之電腦媒體包括可攜帶移動的磁碟、光碟、電腦列印報表、作業程序目錄及系統文件等。

 

2、電腦媒體儲存環境應建置下列安全控管措施:

 

1)儘量使用代碼標示媒體儲存的資料內容。

 

2)媒體儲存的資料,不再繼續使用時,應將儲存的內容消除。

 

3)儲存媒體應依保存規格要求,存放在安全的環境。

 

 

 

(二)機密性及敏感性資料之處理

 

1、機密性、敏感性的資料,應防範洩漏或不法及不當的使用。

 

2、機密性、敏感性資料之安全處理作業,應加強下列事項:

 

1)輸出及輸入資料之處理程序及標示。

 

2)收受機密性、敏感性資料,除依一般規定辦理外,並有正式收文紀錄。

 

3)分發對象應以必要的人員為限;收受過程應避免不必要之經手。

 

4)為提醒使用者注意安全保密,應在儲存媒體上明確標示資料機密等級。

 

5)應定期檢討機密性、敏感性資料的等級及分發對象。

 

 

 

(三)系統文件之安全

 

1、系統流程、作業流程、資料結構及授權程序等系統文件,應適當保管以防止不當利用。

 

 

 

2、系統文件的安全保護措施如下:

 

1)應妥為保管於安全場所。

 

2)發送對象應經系統負責人的授權。

 

3)應與其他應用檔案分開存放,且有適當的存取保護措施。

 

 

 

(四)媒體處理之安全

 

電腦媒體報廢時之處理原則如下:

 

 

 

1、內含機密性或敏感性資料的媒體報廢時,應由專人以安全的方式處理,例如:燒毀、以碎紙機處理,或將資料從媒體中完全清除。

 

2、資訊委外應慎