辦法規章

02.南亞科技學校財團法人南亞技術學院資訊安全管理規範

• 點閱: 1259
• 轉寄: 0

• 資料來源:圖書管理組
• 日期:2016/9/1

南亞科技學校財團法人南亞技術學院

資訊安全管理規範

94.12.7計算機教學暨電腦資源管理委員會議通過

100.12.29 100學年度第6次校務會議更改校名

101.03.29 100學年度第7次校務會議修正

101.12.05 101學年度計算機資源暨資訊安全管理委員會議修正通過

104.07.02 103學年度第4次校務會議修正

105.09.01 105學年度第1次校務會議變更校名

一、總則

1.    南亞科技學校財團法人南亞技術學院（以下簡稱本校）為維護網路資訊系統的正常運作、確保網路資訊傳輸交易安全，並保障本校電腦處理資料之機密性與完整性，特訂定本規範。

2.    參考依據如下：

(1).中央標準檢驗局CNS17799、CNS17800、CNS 27001、CNS 27002規範。

(2).ISO/IEC 17799:2000、BS7799-2:2002、ISO/IEC 27001:2005、ISO/IEC 27002:2005國際標準。

(3).行政院所屬各機關資訊安全管理要點。

(4).個人資料保護法。

(5).電子簽章法。

3.    適用對象：本校教職員、臨時人員與學生等人員。

4.    適用範圍：

(1).資訊安全政策制定及評估

(2).資訊安全組織及權責。

(3).人員安全管理及教育訓練。

(4).電腦系統安全管理。

(5).網路安全管理。

(6).系統存取控制。

(7).系統發展及維護之安全管理。

(8).資訊資產之安全管理。

(9).實體及環境安全管理。

(10).
業務永續運作計畫之規劃及管理。

二、組織與權責

1.    為統籌本校資訊安全管理事宜，應成立本校「資通安全處理小組」（以下簡稱本小組），由資訊圖書處處長擔任召集人，資訊圖書處及各業務行政單位共同負責本校資訊安全管理工作。資訊系統安全控制技術事宜由資訊圖書處負責辦理，資料及資訊系統之安全使用及保護事宜由各業務行政單位負責辦理。必要時，本小組得委請校外學者專家提供資訊安全顧問諮詢服務及技術支援協助，並依規定支給相關費用。

2.    網路系統管理人員：

(1).定時統計本校網路使用情形並評估網路設備現況，以提高網路速率，提供擴充設備之憑據。

(2).建立及維護本校網路系統使用者帳號。

(3).記錄網路系統異常狀況及維護相關書面資料。

3.    應用系統維護人員：

(1).負責使用者代碼管理、權限管理、病毒防制、稽核作業程序等，以落實應用系統安全策略之要求。

(2).維護人員每日進出系統皆有維護紀錄，應用系統本身須提供安全控管功能，以滿足作業時之認證、授權與稽核之安全管理需求，確保資訊安全。

4.    機房管理人員：

(1).負責機房進出人員之管理、機房工作日誌之督導查核及機房異常狀況之管理。

(2).建立及更新機房配備圖，標明每一設備名稱及位置。

(3).建立機房電源操作手冊，以因應特殊狀況緊急開關電源之操作程序及相關耗材清理更換。

三、規範內容

1.    資訊安全政策的制定及評估

(1).資訊安全政策之制定：資訊安全政策的目的為防禦一切有計畫的、意外的、來自內部的或外部的威脅，以保護本校資訊資產的安全。為表達本校對資訊安全推動之支持與決心，應制定資訊安全政策。

(2).資訊安全政策與管理規範之評估：資訊安全政策、管理規範及相關管理辦法應每年定期進行獨立及客觀的評估，以反映資訊安全管理政策、法令、技術及單位業務之最新狀況，確保資訊安全實務作業之可行性及有效性。

2.    人員安全管理及教育訓練

(1).人員安全管理：

A.    本校進用人員之安全評估由人事單位負責，如其工作職責須使用處理敏感性、機密性資訊的科技設施，或須處理機密性及敏感性資訊者，應經適當的安全評估程序。

B.    本校新進人員於報到時，需依照本校人事室規定填寫到職單，並簽署保密協定。保密協定涵蓋期間包括從業期間與離職後，均有保密之責任，任何因未遵守本資訊安全管理規範導致之資訊安全意外事件將嚴格懲處。

C.    本校各委外開發維護之廠商人員，必須簽署保密協定及切結遵守本資訊安全管理規範之規範。

D.    本校同仁離職或調任其他單位時，須依照人事室規定填寫離職單，並由資訊圖書處撤銷帳號核章後，始完成離職程序。

E.    網路使用者如因職務異動而成為非授權使用者時，相關單位應主動通知網路系統管理人員撤銷該使用者帳號。

(2).人員教育訓練：

A.    本校新進人員應施以適當的系統操作訓練，避免使用者不當之操作。

B.    新系統上線時，應對其作業人員、維護人員及網路管理人員施以適當的教育訓練。

C.    每年度應對校內同仁辦理資訊安全管理課程訓練，提升其危機意識與資訊安全觀念。課程中必須給予完整之軟體著作權與版權觀念，嚴禁非法使用軟體，而自由軟體(freeware)與共享軟體(shareware)之安裝使用亦必須詳細了解其版權宣告並遵守。

D.    每年度應針對校內資訊從業人員辦理資訊安全管理及危機處理防護課程訓練。

E.    參與本校資訊系統開發維護之委外廠商人員，應避免開發之軟體帶有易受攻擊之程式碼。

F.    應隨時注意資通安全最新訊息，參與資通安全相關訓練，並利用內部網站公告同仁知悉

3.    電腦系統安全管理

(1).電腦系統作業程序及責任：

A.    各電腦系統負責人，應訂定電腦系統作業手冊，並以書面、電子或其他方式載明之，以確保員工正確及安全地操作及使用電腦，並以其作為系統發展、維護及測試作業的依據。

B.    電腦系統作業手冊應載明執行每一項電腦作業的詳細規定

C.    電腦稽核軌跡及相關的證據，應以適當的方法保護，作為問題研析及判斷是否違反契約或資訊安全規範的證據與協商補償之依據。

D.    為降低因人為疏忽或故意，導致資料或系統遭不法或不當之使用，在人力資源許可條件下，應儘可能將人員依業務及功能之不同區分角色，如：網路管理、系統行政、系統發展維護、變更管理、安全管理、安全稽核及作業人員。

(2).電腦病毒及惡意軟體之防範：

A.    病毒防護軟體由資訊圖書處統一進行定期規劃評估與建置安裝。

B.    本校同仁應使用具合法版權軟體，避免上網下載來路不明之軟體。

C.    與外部交換資料時，使用資料前應啟動病毒防護軟體偵測。

D.    同仁應隨時更新病毒碼並下載修補系統漏洞。

E.    同仁操作電腦系統如發現病毒時應立即清除，並通報資訊圖書處病毒或惡意程式名稱。無法自行清除病毒時通知資訊圖書處派員協助處理。

(3).作業權限與帳號管理：

A.    核發使用者帳號、密碼前，應查核使用者是否已取得使用資訊系統之正式授權，及其授權之程度是否與業務目的相對稱。在未完成正式授權前，不得對該使用者提供存取服務。

B.    網路系統管理人員及應用系統維護人員應定期檢查及撤銷閒置不用的帳號，並不得將其重新配給其他的使用者。

C.    應完善保管應用系統使用人員之註冊資料及授權紀錄，以備日後查考。

D.    使用者帳號名稱不應帶有足以辨識使用者權限的資訊。

E.    應嚴格管控應用系統之特別權限，視個別執行業務之需求，逐項考量賦予使用者系統特別權限之存取。

F.    應用系統設計使用者帳號、密碼時應遵循安全原則

(4).個人隱私之保護

A.    資訊系統處理個人隱私資料時，應依據「個人資料保護法」等相關規定，審慎處理個人資料，非公務用途嚴禁調閱使用。

B.    提供公眾服務的資訊系統，如有存放民眾申請或註冊之私人資訊，應將資訊獨立於系統之外，另行存放於防火牆內部之主機以妥善保管，避免有心人士竊取，侵犯民眾隱私。

C.    個人資料依有關法令為特定目的外之利用時，應由該資料檔案承辦單位簽奉核准後行之。

D.    傳送含有個資資料檔案，應使用加密程式保護，密碼設定為英數組合共八碼。

(5).系統登入安全管理

A.    系統登入程序應於使用者完成所有登入資料輸入後，始開始查驗登入資訊的正確性，登入失敗時，系統不應提供訊息告知使用者錯誤之資料項目。

B.    系統登入失敗次數應以三次為限，並應紀錄此登入失敗事件後中斷連線，並強制該終端個人電腦必須間隔一段時間後才能再嘗試登入。

C.    系統密碼每半年需更改一次，並使用英文加數字組合共八碼。

(6).資訊安全事件通報處理程序

A.    應建立處理資訊安全事件之作業程序，並課予相關人員必要的責任，以便迅速有效處理資訊安全事件。

B.    資訊安全事件處理程序，至少應含括電腦當機及中斷服務、業務資料不完整或資料不正確導致的作業錯誤、及機密性資料外洩。

C.    應以審慎及正式的行政程序，處理資訊安全及電腦當機事件。

(7).日常作業之安全管理

A.    網路系統管理人員未經權責主管人員許可，不得閱覽、增加、刪除或修改其他網路使用者之私人檔案。如發現有可疑之網路安全情事（如病毒或特洛依木馬等），得經請示資訊圖書處處長核可後，使用適當的工具追蹤檢查相關檔案，採取必要處理措施，事後再行知會該檔案擁有者。如確定為感染病毒，為避免病毒擴散，得經資訊圖書處主管同意後，逕行掃毒或隔離檔案再行知會該檔案擁有者。

B.    網路系統管理人員登入主機系統時應保留所有登出入系統紀錄，不得新增、刪除或修改稽核資料檔案，避免於安全事件發生後造成追蹤查詢之困擾。

C.    各主機如有異常狀況應由該應用系統維護人員儘速排除，如各應用系統維護人員休假，應指定職務代理人員待命，以確保各主機之正常運作。

D.    應用系統維護人員應每日注意觀察系統資源使用狀況及應用系統使用情形，有異常狀況應即時反應。

E.    機房管理人員應執行電腦機房環境監測，每日應填寫機房日誌，定期紀錄溫溼度，上下班需注意照明等相關電器設備之開關，並特別注意冷氣及除濕機運轉狀況，於必要時應進行相關耗材清理更換，每季工作日誌呈組長（含）以上核定。

(8).資料及媒體交換安全管理

A.    公文電子資料交換依行政院頒訂之「機關公文電子交換辦法」及相關規定辦理。

B.    本校及所屬機關公文電子資料交換，收文後依收文處理作業程序辦理。

C.    進行媒體資料交換時，應透過安全評估程序慎選安全可信賴之廠商或人員，並報請業務單位主管同意。

4.    網路安全管理

(1).網路安全規劃與管理

A.    為維持本校網路能正常持續地運作，主要網路設備應考慮Full Redundant備援設備即時替換或備份設備保護資料安全。

B.    本校網路安全管理人員由資訊圖書處指派合格且適任之人員擔任。

C.    本校內部網路、DMZ網段與外部網路之連線存取均需透過防火牆之安全管控，防火牆之運作維護由資訊圖書處指派專人負責。

D.    本校同仁利用微軟視窗作業系統之檔案分享功能提供他人存取檔案時，應僅針對必要對象開放使用權限，避免將權限完全開放。

(2).電子郵件安全管理

A.    本校之網路使用者禁止以電子郵件騷擾他人、發送匿名郵件、偽造他人名義發送郵件或惡意發送大量不當郵件，如有違反之情事，由資訊圖書處查處，必要時由區網或檢警單位提供支援。

B.    機密之公文及資料，不得以電子郵件傳遞；敏感性資料如有透過網路傳送之必要，應經加密處理後傳送。

C.    為防範假冒機關員工名義發送電子郵件，以電子郵件發送重要訊息時應以電子簽章簽發，以達到身分辨識及不可否認的目的。

5.    系統存取控制

(1).機密性／敏感性系統之作業管控

A.    對機密或敏感性的系統，宜建置獨立的或專屬的電腦作業環境。

B.    應用系統是否屬於機密或敏感性應由系統負責單位決定。

C.    機密或敏感性的應用系統須分享相關資源時，應經系統負責單位主管核可。

(2).使用者存取管理：

A.    本校新進人員及委外服務人員由資訊圖書處核發帳號後，啟用電腦系統。帳號及通行碼嚴格禁止交付他人，職務代理時須建立代理帳號，亦不可於電話中告知系統維護人員。

B.    所有網路使用者僅核發一個使用者帳號，如有特殊情形（如系統測試、免費軟體下載等用途），經會簽資訊圖書處並奉核定後，始得核發匿名或多人共享的帳號。

C.    應用系統維護人員應定期檢討及評估相關使用者之存取權限。

D.    為防止有人未經正式的授權程序取得特別權限，應定期檢討系統存取特別權限之核發情形。

E.    資訊圖書處應就應用系統維護人員所提之存取權限檢討與評估，提出具體改善建議。

(3).系統存取之責任：

A.    人員因故離開座位中斷作業時，必須簽退系統或使用畫面鎖定保護，防止帳號被盜用或資料被竊取。下班或公出離開辦公室前，必須關閉電腦設備並將桌面收拾乾淨，避免有心人士竊取機密資料或侵入系統。

B.    同仁應保持高度之警戒心，防範不法人士以社交工程方法(Social Engineering)獲取帳號及通行碼入侵。並應具備高度之危機意識，如有發現疑似系統安全危機時，應迅速通知本校資通安全處理小組人員。

(4).網路系統之存取控制：網路使用者應遵守本校之網路安全規定，於授權範圍內存取網路資源，不得以任何方式竊取他人之登入帳號、密碼，不得使用任何軟體、設備竊聽網路上之通訊，不得使用任何手段干擾或妨害網路之正常運作，不得嘗試入侵防火牆主機，亦不得於本校網路上儲存、建置或傳播色情文字、圖片、影像、聲音等資訊。如有違反以上 情事，移送資訊圖書處依相關法規查處。

(5).電腦系統之存取控制：系統公用程式需進行安全管控

(6).應用系統之存取控制：應依資訊存取需求，配賦應用系統使用人員與業務需求相稱的資料存取及應用系統使用權限。

6.    系統發展及維護之安全管理

(1).系統發展及維護安全管理

A.    系統開發、維護及測試環境必須使用另行建置之專用伺服器，不可與實際運作中之伺服器共用。開發維護伺服器只允許系統開發維護人員登入使用，並須謹慎維護內存程式碼與資料之安全性。

B.    系統開發、維護及測試環境之系統登入方式應與實際運作之作業系統登入方式有所區別。

C.    資訊系統測試時，應使用虛擬資料建置測試用資料庫，嚴禁使用真實資料進行測試。若因業務需求必須使用真實資料，則須做好資料機密性之保護。

D.    新系統上線作業前，應進行功能測試，並經使用單位確認作業效能、系統容量及功能後，始得正式上線運作。

E.    新系統開發或增修維護既有系統時，應避免採用特殊技術，避免衍生危及整體資訊安全之顧慮。

F.    開發以Web網頁型態使用瀏覽器提供服務之作業時，應儘可能使用SSL加密協定傳輸資料。

G.    全球資訊網(WWW)網頁資料之更新應由權責單位指定專人負責，上傳資料時應先執行掃毒，避免造成病毒之擴散。

H.    應用系統之原始程式碼由應用系統維護人員負責版本的更新、維護及複製管理，並負責核發提供程式設計人員修訂。

I.    應用系統之各項系統文件，應用系統維護人員應確實建置完備並妥善保管。

J.    應用系統軟體之版本必須嚴格管控，如需更新版本時，應用系統維護人員應妥善保管各版本之系統文件，詳細記錄使用的明確時間，並應保存所有的支援應用程式軟體、作業控制、資料定義及操作程序等資訊，資訊圖書處得視需要，就各應用系統之更新狀況，提出具體評估建議。

(2).需求變更管理

A.    資訊圖書處每年視人力及業務狀況辦理資訊系統之更新作業，如屬業務緊急重大需求，應簽奉核可由資訊圖書處專案辦理。

B.    因應臨時業務需求，需求單位應由業務單位向資訊圖書處申請，資訊圖書處得視人力、技術及成本考量，提出可行性方案及意見（或辦理情形）回覆原需求單位。

7.    資訊資產之安全管理

(1).資訊設備安全管理

A.    本校各項資訊設備除依照相關審計法規財產管理外，各單位應自行負責設備之安全，移出本校時應經權責單位主管核定始得放行。

B.    本校各項資訊設備報廢時，除依相關財產減損規定辦理外，應經資訊圖書處檢查其堪用狀況後始得辦理報廢。

C.    本校同仁如發現有不明人士，未經許可擅接網路之情事，應立即通知資訊圖書處處理，以掌握本校整體資訊設備之安全。

D.    重要之資訊資產必須上鎖且保存於合於「實體及環境安全管理」中規範之電腦機房安全空間。

(2).機密或敏感資訊之安全管理：機密性或敏感性的資料，不得存放於對外開放的資訊系統中。

8.    實體及環境安全管理

(1).電腦機房安全管理

A.    電腦機房應以門禁系統進行控管，門禁卡片之發放由資訊圖書處機房管制科負責，並指定專人造冊列管。卡片不得轉借他人使用；其他人員臨時進出得申請臨時卡，於登記時間內使用，使用後繳回。

B.    本校委外服務廠商人員需經常進出機房工作者，得專案報備並由當事人簽署保密切結，領取機房門禁卡片，專案執行完成時應歸還門禁卡始得辦理結案。

C.    機房管理人員應執行機房環境監測，每日填寫機房日誌，並注意機房溫溼度、空調及照明設備等之運轉狀況。

D.    電腦機房嚴禁煙火，並不得攜帶飲料、食物進入，如需進行清潔保養等工作應考量不得危害機房正常運作或需關閉部分系統主機始得為之，以避免人為疏失導致災害發生。

E.    電腦機房應裝設適用於電子設備之消防設施（如FM200），並每年度定期檢驗。

(2).實體設備之採購、租借與維護安全管理

A.    本校正式之網域名稱為tiit.edu.tw，新購置、升級或新安裝建置之平台系統均應加入此網域，以便監控整體網路安全。

B.    新建置或安裝之軟體，安裝完成後應立即更新廠商預設之密碼。

(3).實體設備及環境之安全管理

A.    電腦主機系統及其相關儲存與網路連結設備必須安置於設有安全門禁管制（磁卡、IC卡、電子密碼鎖或其他保護裝置）之專屬機房，對於人員之進出必須嚴格控管並填寫於機房日誌。電腦機房須具備溫度偵測裝置與警鈴警示，並設置滅火裝置，防火設備應定期檢查與更新。

B.    電腦主機系統及其相關儲存與網路連結設備必須使用穩壓與不斷電(Uninterruptible Power Supply)系統供應電力，以避免電壓不穩定或瞬間斷電造成損害。

C.    機房內禁止抽煙、飲用食物及攜入未經核准之電器或物品。

D.    所有之網路連結設備必須嚴格之管控，集線器之各插孔必須清楚標示連結之目的地。

E.    如發現有不明人士，未經許可擅接網路之情事，應立即通知資訊圖書處處理，以掌握本校整體資訊設備之安全。

F.    設備之搬遷必須嚴格管控與授權，被授權之搬遷人員必須負責遷移設備之使用安全與內存系統資料安全。

(4).媒體、文件安全管理

A.    涉及機密性或敏感性之相關媒體、文件由業務單位指定專人設置保管箱列冊保管，媒體須以牛皮紙袋密封加蓋騎縫章，其傳遞與與使用均須獲得單位主管授權始得使用。

B.    系統文件應妥善保管，使用時於管理紀錄本登錄。如係委外操作之系統，應於合約規範於契約解除時歸還本校。

C.    每年應定期檢討機密性／敏感性資料，並專案簽報銷毀，並指定專人監督辦理。報廢之設備執行儲存媒體重新格式化(format)，移除相關作業軟體、資料及具有版權之系統軟體；報廢之磁帶、磁碟或光碟片等媒體進行實體銷毀；含有機密性資料之書面文件，使用碎紙機予以銷毀。

9.    業務永續運作計畫之規劃及管理

(1).備援／備份作業之規劃與演練

A.    各單位開發之資訊系統於上線運作後，應對該系統之原始程式碼進行備份2份，進行異地儲存保管。

B.    資訊系統設備故障或損壞時，應即時遵循本校資料備份操作原則處理，確實執行系統備援回復作業，維持業務之持續運作。

C.    每日下班時段後，備份系統自動執行本校各共用電腦系統之資料增量備份(Incremental Backup)，每週自動執行各共用電腦系統之資料全量備份(Full Backup)，並以媒體異地儲存機制存放至少三個月的資料備份。

D.    資訊系統作業紀錄每半年由各應用系統維護人員備份、清理。

E.    個人電腦中之重要資料備份應由同仁每週自行進行備份，並應選擇乾燥密閉之環境保管。

F.    每年應進行備援設備、回復作業程式及機制之測試演練。

(2).業務永續運作規劃

A.    每年進行資訊安全風險評估，並據以修正本校「資訊安全政策」及「資訊安全管理規範」。

B.    應使用弱點掃瞄之系統安全檢測軟體，定期進行系統安全檢核與弱點掃瞄工作，減少非法人士入侵之機會，並製作系統安全檢查報告(SMSR Reports)。

C.    應制定資訊系統緊急應變計畫與系統復原程序以應付危機處理之需求，並演練以保障其有效可行性。

(3).突發事件應變辦法：任何突發之安全事件或造成運作中斷之事件，本校同仁不得隨意接受新聞媒體採訪發言，須經校內分析整理後統一發言。

四、保全處理程序

1.    發現網路入侵之處理步驟：網路使用者發現網路入侵之情事時應立即通知資訊圖書處，資訊圖書處接獲通知後，應採取適當措施以防止災害繼續擴大。

2.    網路入侵之追蹤調查：

(1).   檢視記錄檔中是否有不尋常的來源位置或不尋常的操作動作。檢查登入時間、程序的執行記錄以及系統日誌所做的記錄等，以防止入侵者修改記錄檔來隱藏行蹤。

(2).   對入侵者的追查，除利用稽核檔案提供的資料外，得使用系統指令執行反向查詢，並聯合相關單位(如Hinet網路服務公司等)追蹤入侵者。

(3).   當檢查機器是否被入侵時，必須檢查所有區域網路上的機器。如一台機器被入侵，同一網段的其它機器也有可能已被入侵；或是入侵者利用其它機器為窗口來入侵本校網路。

3.    網路入侵的事後處理：

(1).   入侵者之行為若觸犯法律規定，構成犯罪事實，由校方查處，並檢討通知檢調單位，請其處理入侵者之犯罪事實調查。

(2).   資訊圖書處應全面檢討網路安全措施及修正防火牆的設定，尋求適當之解決辦法，以防禦類似的入侵與攻擊。

五、附則

1.    本規範未訂定之事項，悉依行政院所頒訂之「行政院所屬各機關資訊安全管理規範」及現行法令、規定及教育部相關作業規範相關規定辦理。

2. 本規範經「計算機資源暨資訊安全管理委員會議」通過後實施，修正時亦同。