臺南市立新興國民中學資通安全管理辦法

102年 1 月 18日訂定

一、依據

二、目的

確保臺南市立新興國民中學(以下簡稱本校)所屬之資訊資產機密性、完整性及可用性,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。

三、適用範圍

本校校內電腦、資訊與網路服務相關的系統、設備、程序及人員,包含合約廠商及其它經授權使用之人員。

四、組織與職權

為強化本校資通安全暨個資保護需求,健全資通安全管理制度,特設立「臺南市新興國中資通安全委員會」(以下簡稱本委員會),以推動本校資通安全管理業務之運作。本委員會之成員為校長、各處室主任及行政組長,由校長兼任召集人,資訊組長(網管)為資通安全長,行政及技術相關事宜由資訊組負責。
本委員會權責如下:

本委員會每年開會一次,必要時得召開臨時會議。會議須有應出席委員半數(含)以上出席始得開會,並得邀請相關人員列席。

五、資安政策

維護本校資訊之機密性、完整性與可用性,保障使用者資料隱私。

六、實施原則

1. 網路安全

1.1 本校與外界連線,僅限於經由教育局資訊中心之管控,以符合一致性與單一性之安全要求。並禁止以電話線連結主機電腦或網路設備。
1.2  網路安全管理服務委外廠商合約之安全要求
委外開發或維護廠商必須簽訂安全保密切結書。

2. 系統安全

2.1本校內的個人電腦應

2.2 本校內個人電腦所使用的軟體應有授權,嚴禁安裝各種非法軟體。
2.3 資料備份
本校系統管理人員需針對本校重要系統(例如系統檔案、應用系統、資料庫等)定期進行備份工作,或採用自動備份機制;建議週期為每週進行一次。
2.4 操作員日誌

2.5 使用者註冊

2.6 特權管理
本校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明,應予以文件化記錄備查。
2.7 密碼(Password)之使用

2.8 原始程式庫之存取控制
學校與系統廠商間的合約應加註對原始程式庫安全之要求,並防範資料庫隱碼(SQL-injection)問題,針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。
2.9 通報安全事件與處理

3. 實體安全

3.1   設備安置及保護

3.2  電源供應
本校重要的資訊設備(如主機機房)應有適當的電力設施,例如設置UPS、電源保護措施,以免斷電或過負載而造成損失。
3.3  纜線安全
本校資訊設備主機機房、電腦教室區域內應避免明佈線。
3.4   設備與儲存媒體之安全報廢或再使用
所有包括儲存媒體的設備項目,在報廢前,應先確保已將任何敏感資料和授權軟體刪除或覆寫。
3.5   設備維護

3.6   財產攜出

3.7   桌面淨空與螢幕淨空政策

4. 人員安全

4.1  每學年至少要於校務會議上宣導一次本管理辦法,以及重要資通安全消息,以加強教職員工的資安意識。
4.2   資通安全教育與訓練

5. 個資保護要求

5.1 本校應就法律允許下,因公務需求所蒐集、處理及保存的個人資料,公佈以下項目至學校網站上。

5.2 本校教職員工必須遵守個資法規定,不得以任何理由,在沒有法源依據或違反當事人的意願下任意蒐集或洩露他人個資。
5.3 個資法實施後,本校辦理各項活動之因應措施

6. 應對以下各項相關法令有基礎之認知

6.1  智慧財產權

6.2  個人資料保護及隱私

6.3  電子簽章法