學校願景

安全 - 友善溫馨,安全無礙的校園

親師生關係合諧又溫馨,軟硬體環境友善又安全

快樂 - 快樂成長,主動學習的學生

熱情積極投入學校活動,主動發現問題解決問題

卓越 - 專業敬業,追求卓越的教師

專業知能態度參與課程,創新求變啟動多元智慧

積極 - 積極參與,熱心支持的家長

傾聽孩子最真摯的聲音,支持學校引領孩子學習

資訊安全管理辦法

苗栗縣泰安鄉象鼻國民小學資訊安全管理辦法

壹、依據

苗栗縣泰安鄉象鼻國民小學 (以下簡稱本校) 為推動資訊安全教育,強化資訊安全管理,確保資料、系統、設備及網路安全,依據行政院八十八年九月十五日台八十八經字第三四七三五號函訂頒『行政院及所屬各機關資訊安全管理要點』,訂定本計畫。

 

貳、目標

一、 維護校園網路環境安全與網路服務正常運作。

二、建立重要資料安全存取程序避免資料外洩。

三、推廣並實施資訊安全教育,建立正確使用資訊態度。

 

參、實施範圍

一、 人員:本校教職員工、學生及使用本校系統資源之委外廠商人員。

二、 應用系統:包含校務系統、公文系統、校園網路服務等。

三、 硬體設備:所有校內電腦主機、伺服器及網路資訊設備。

四、 教育宣導:利用教師晨會時間宣導資訊安全,並舉行相關研習,及利用資訊課程實施資訊素養相關教育。

 

肆、權責與分工

本校資訊安全工作之權責分工如下:

一、 資訊安全政策、計畫及規範之建置及評估等事項,由教導處負責辦理。

二、 資訊設備之保全由各保管使用者負責。

三、 重要資料之保管與維護,由各業務承辦人員負責辦理。

四、 資訊安全教育由本校全體教師共同辦理。

 

伍、安全管理

 

一、 電腦病毒及惡意軟體之防範

1.購置安裝防毒軟體,防制及偵測電腦病毒及惡意軟體。

2.電腦病毒防範應考量的重要原則

3.防毒軟體及病毒碼應定期更新版本。

4.應定期或即時掃瞄電腦系統及資料儲存媒體。

5.對來路不明及內容不確定的磁碟,應在使用前詳加檢查是否感染電腦病毒。

6.應定期將必要的資料備份。

 

二、電腦軟體授權與管理

1.軟體採購由業務單位負責與管理。

2.禁止教職員工及學生安裝使用未取得授權的軟體。

 

 

 

三、 日常作業之安全管理

1.應定期執行必要的資料及軟體備份,以便發生災害或是儲存媒體失效時,可迅速回復正常作業。

2.電腦軟硬體及網路系統出現問題時,應通知相關人員或資訊組處理。

3.電腦軟硬體及網路系統更新、維修、問題處理應定期記錄,以供日後查考。

 

四、 資料安全之管理

1.電腦媒體之使用管理:

(1)包括可攜帶移動的磁碟、光碟、筆記型電腦等,應依保存規格要求,存放在安全的環境。媒體儲存的資料,不再繼續使用時,應將儲存的內容消除。

(2)內含機密性或敏感性資料的媒體報廢時,應以安全的方式處理,例如:燒毀、以碎紙機處理,或將資料從媒體中完全清除。

2.處理、收受機密性、敏感性的資料,應防範洩漏或不法及不當的使用,視各業務單位之需求,可於獨立的或是專屬的電腦中執行,或在傳輸、儲存過程中以加密方法保護。

3.電子檔案之保管

(1)電子資料檔案應妥善保管定期備份,以防止遺失、損毀、或不當使用。

(2)超過保存時限的檔案,應依相關規定刪除或銷毀。

 

五、 網路安全管理

1.本校教職員工及學生,依其身分及所執行之工作及學習行為,為合法授權之校園網路使用者,並遵守下列規定:

(1)不得將自己的登入身份識別帳號與密碼交付他人使用。

(2)不得使用他人的登入身份識別帳號與密碼。

(3)禁止利用校園網路從事不法、不當得利之情事。

(4)網路使用者不得以任何手段蓄意干擾或妨害校園網路的正常運作。

2.為避免重要資料被竊或外流,依規定不得安裝 P2P 軟體於校內任何主機,確保資料安全及網路正常運作。

3.機密性及敏感性的資料或文件,不得存放在對外開放的資訊系統中。

4.資訊安全事件緊急應變之處理

   若發現網路被入侵或疑似被入侵時(如:網頁遭竄改、分散式攻擊、資料非法存取、密碼被破解等),應立即依下列程序處理,並採取必要的行動。

(1)立即切斷入侵者的網路連接,如無法切斷則必須關閉防火牆。

(2)應全面檢討網路安全措施及修正防火牆的設定,以防範類似的入侵與攻擊。

(3)應正式記錄入侵的情形及評估影響的層面。

(4)立即向權責主管人員報告入侵情形。

(5)事件發生72小時內依規定完成通報,以獲取必要的外部協助,並儘快完成系統修復。

 

六、 網路安全稽核

1.網路安全稽核事項

(1)操作紀錄及作業紀錄應予以保存。

(2)對於通過防火牆之各項連線資訊,均應予記錄。

(3)各伺服主機應記載各項連結服務的作業紀錄(system log)。

 

七、 使用者之註冊及使用理管理

1.對於多人使用的資訊系統(校務系統、公文系統、校、班級網頁),必須依循安全的註冊程序。

2.帳號及權限管理,必須考量的事項如下:

(1)確認使用者是否已經取得使用資訊系統之正式授權。

(2)確認使用者被授權的程度是否與業務目的相稱,是否符合資訊安全政策及規定,再依執行業務之需求,賦予使用者系統存取特別權限。

(3)使用者調整職務及離(休)職時,必須儘速註銷其系統存取權限。

(4)確認系統存取特別權限之事項以及人員名單,定期檢查及取消閒置不用的帳號。

 3.密碼之管理

(1)使用者個人必須負責保護密碼,以維持其機密性。

(2)避免將通行密碼記錄在書面上,或張貼在個人電腦或終端機螢幕或其他容易洩漏秘密之場所。

(3)當有跡象足以顯示系統及使用者密碼可能遭破解時,應立即更改密碼。

(4)密碼的長度最少應由六位長度組成(不得為空白)。

(5)更換維護廠商時,防火牆及主機之相關帳號及密碼須刪除或修改。

 

八、 設備安全管理

1.設備應安置在適當地點,以減少環境不安全引發之危險及未經授權存取系統的機會。

2.設備安置應遵循的原則如下:

(1)設備應儘量安置在不需經常進出之地點。處理機密性資料工作站,應放置在可注意及可就近照顧之地點。

(2)需特別保護之設備,應考量與一般設備區隔。

(3)應檢查及評估火災、煙、水、灰塵、震動、化學效應、電力供應、電磁幅射等加諸於設備之危害。

(4)電腦作業區應禁止抽煙及飲用食物。

(5)應考量其他可能導致之危險因素。

3.辦公桌面之安全管理

(1)公文及磁碟長時間不使用及下班後,應妥為存放;機密性、敏感性資訊,應妥為收存。

(2)棄置之手寫或影印公文廢紙及已過保存期限之公文,應視需要予以銷毀。

(3)個人電腦及終端機不使用時,應予關機、登出、設定螢幕密碼或是以其他控制措施保護。

 

陸、資訊安全事件通報處理機制

 

一、 資訊安全事件之通報

1.因資訊安全事件(包括系統有安全漏洞、遭受非法入侵及破壞、遭遇阻斷服務攻擊及功能不正常事件等),致電腦系統無法運作或影響執行效率時,相關人員應視其狀況嚴重程度及影響層面,循序向各權責主管報告。

2.資訊組發現有資訊安全事件時,應依資訊安全事件通報管道(如:教育機構資安通報平台),迅速通報權責主管單位及人員處理。

二、 通報後應採行之措施

1.應立即停止使用受影響之電腦系統或設備,並保留現況。

2.負責人員接獲通報後應紀錄相關的訊息。

3.系統管理人員處理後,應向直屬業務主管回報處理結果,並作成紀錄。

三、 緊急應變計畫

1.人員請假或有緊急事故時,可將重要事項交託職務代理人代為處理,若需人員親自處理時,可透過電話聯繫及網路連線作必要之處置。

2.系統方面緊急應變措施:定期執行資料及軟體之備份及備援作業,以便發生災害或是儲存媒體失效時,可迅速回復正常作業。

 

柒、本計畫經校長核可後實施,修正時亦同。

 

午餐照片

英語每日一句

本校網路電話狀況

返回頁首