國立北門農工_資訊安全政策
1 目的
為確保國立北門高級農工職業學校學校(以下簡稱本校)所屬之資訊資產的機密性、完整性、可用性及符合相關法規之要求,導入資訊安全管理系統,強化本校資訊安全管理,保護資訊資產免於遭受內、外部蓄意或意外之威脅,維護資料、系統、設備及網路之安全,提供可靠之資訊服務,訂定本政策。
2 依據
2.1資通安全法(及施行細則)
2.2個人資料保護法(及施行細則)
2.3行政院及所屬各機關資訊安全管理要點
2.4教育體系資通安全暨個人資料管理規範
3 適用範圍
3.1本政策適用範圍為本校之全體人員、委外服務廠商與訪客等。
3.2資訊安全管理範疇涵蓋 14項領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本校造成各種可能之風險及危害,各領域分述如下:
3.2.1 資訊安全政策訂定與評估。
3.2.2 資訊安全組織。
3.2.3 人力資源安全。
3.2.4 資產管理。
3.2.5 存取控制。
3.2.6 密碼學(加密控制)。
3.2.7 實體及環境安全。
3.2.8 運作安全。
3.2.9 通訊安全。
3.2.10 系統獲取、開發及維護。
3.2.11 供應者關係。
3.2.12 資訊安全事故管理。
3.2.13 營運持續管理之資訊安全層面。
3.2.14遵循性。
4 目標
維護本校資訊資產之機密性、完整性與可用性,並保障使用者資料隱私。藉由本校全體同仁共同努力來達成下列定性及定量目標:
4.1定性目標:
4.1.1確保相關資通安全措施或規範符合政策與現行法令的要求每年至少進行一次內部稽核。
4.1.2每年至少進行一次業務持續計畫之測試或檢核。
4.2定量目標:
4.2.1確保資訊資產受適當之保護,每年未經授權或因作業疏失對資產所造成的損害0件。
4.2.2確保所有資通安全事件或可疑之安全弱點,每年不依適當通報程序反應,並予以適當的調查及處理0件。
4.2.3符合政府資通安全相關政策、規訂及相關法令要求。
4.2.4定期實施資通安全教育訓練。
4.3本校完成指標時,考量下列項目:
4.3.1所需配置之人員、預算、設備技術與程序表單。
4.3.2活動或事項負責人員。
4.3.3活動或事項預計完成時間。
4.3.4管理目標是否達成之評估方式。
5 責任
5.1本校應成立資訊安全組織統籌資訊安全事項推動。
5.2管理階層應積極參與及支持資訊安全管理制度,並授權資訊安全組織透過適當的標準和程序以實施本政策。
5.3本校全體人員、委外服務廠商與訪客等皆應遵守相關安全管理程序以維護本政策。
5.4本校全體人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
5.5任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本校之相關規定進行議處。
6 審查
本政策應每年至少審查乙次,以反映政府法令、技術及業務等最新發展現況及關注方之關注議題,以確保本校資訊安全管理制度之運作。
7 實施
本政策經「資通安全委員會」核定後實施,修訂時亦同。
國立北門農工_人員資通安全守則
1 目的:為落實國立北門高級農工職業學校(以下簡稱本校)資訊通訊安全作業,維護資訊及處理設備之機密性、完整性及可用性,特訂定此守則。
2 範圍:本守則適用於正職人員與約聘(僱)人員。
3 作業守則
3.1 電腦應設定密碼確實保密。
3.2 電腦應使用螢幕保護程式,設定螢幕保護密碼,並將螢幕保護啟動時間設定為10分鐘以內。
3.3 電腦之作業系統漏洞應即時更新修補。
3.4 電腦應安裝防毒軟體並即時更新病毒碼。
3.5 應定期將重要資料備份存放。
3.6 除管理需求及經授權外,禁止使用密碼破解、網路監聽工具軟體,並不得突破他人帳號,中斷系統服務。
3.7 不得在任何公開的新聞群組、論壇、或公佈欄中透露任何有關本校資訊細節。
3.8 在丟棄任何曾經儲存本校資訊之電子媒介前,應將電子媒介中的資訊刪除,並徹底消磁或銷毀至無法解讀之程度。
3.9 敏感等級(含)以上資訊之紙本文件若不再使用時,應以碎紙機銷毀該份紙本文件,並刪除電子檔。
3.10 重要機密文件或合約,應妥善保存;若為電子檔案應考慮設定保護密碼。
3.11 開啟來路不明之電子郵件及其附件時應謹慎小心,以防電腦中毒。
3.12 當有跡象顯示系統可能中毒時,應儘速通知相關人員。
3.13 禁止濫用系統及網路資源,複製與下載非法軟體。
3.14 應遵守「個人資料保護法」規範,保護個人資料使用之合法性及機密性。
4 密碼使用原則
4.1 應保護通行密碼,維持通行密碼的機密性;資訊系統之系統管理者應至少每6個月更換密碼一次,一般資訊系統之使用者應至少每年更換密碼,並禁止重複使用相同的密碼。
4.2 應避免將通行密碼記錄在書面上,或張貼於個人電腦、螢幕或其它容易洩漏秘密之場所。
4.3 當有跡象顯示系統及通行密碼可能遭破解時,應立即更改密碼。
4.4 通行密碼的長度最少應有8位長度,且應符合密碼設置原則。
4.5 密碼設置原則,應儘量避免使用易猜測或公開資訊為設定:
4.5.1 個人姓名、出生年月日、身分證字號。
4.5.2 機關或單位名稱識別代碼或是其他相關事項。
4.5.3 使用者識別碼、使用者姓名、群體使用者之識別碼或是其他系統識別碼。
4.5.4 電腦主機名稱、作業系統名稱、或電腦上使用者的名稱。
4.5.5 電話號碼。
4.5.6 英文或是其他外文字典的字彙。
4.5.7 專有名詞。
4.5.8 空白。
5 電腦軟體版權之使用與管理
5.1 禁止使用未經授權之電腦軟體,遵守智慧財產權相關規定。
5.2 本校資訊機房伺服器所使用之電腦軟體均須具有合法版權,人員不得私自安裝非法電腦軟體。
5.3 本校人員若有安裝機房伺服器軟體需求時,需填寫「資訊服務申請表」,經權責主管以上核准後,始得執行安裝。
6 保密協定
6.1 本校人員應填具「保密切結書」,承諾任職期間,因職務上所獲悉之任何資訊或持有之資料、檔案、技術、財務或業務上之機密,非經主管授權不得對外透露或加以濫用。
7 公告與實施
7.1 本守則由本校資訊安全委員會通過後公告實施,修訂時亦同。
7.2 本校員工若未遵守上述規定或資訊安全政策及程序者,得依相關懲戒程序處置違紀人員。
國立北門農工_ISMS二階及三階文件
二階文件:
B-001資訊安全組織程序書
B-002文件管理程序書
B-003資訊資產管理程序書
B-004風險評鑑與管理程序書
B-005人員安全與教育訓練程序書
B-006實體安全管理程序書
B-007通信與作業管理程序書
B-008存取控制管理程序書
B-009系統開發與維護程序書
B-011安全事件管理程序書
B-012業務永續運作管理程序書
B-013資訊安全稽核作業程序書
B-014矯正及預防管理程序書
三階文件:
C-001資訊資產異動作業說明書
C-002業務永續運作計畫
C-003關鍵業務障礙偵測與復原作業程序
C-004資訊安全管理制度內部稽核計畫
C-005可攜式設備及儲存媒體使用與管理作業要點
限閱文件,查閱請洽設備組。