This is an example of a HTML caption with a link.
:::

臺南市新營區土庫國民小學 資通安全維護計畫

土庫國小 建立日期 2019-06-24 20:45:50

 

 

 

臺南市新營區土庫國民小學

資通安全維護計畫

 

 

 

 

 

 

 

壹、依據及目的

本計畫依據下列法規訂定

  • 通安全管理法第10條及其施行細則第6
  • 臺南市政府資訊安全政策。
  • 其他相關業務法規名稱。

貳、適用範圍

本計畫適用範圍涵蓋臺南市新營區土庫國民小學(以下簡稱本機關)。

參、核心業務及重要性

本機關之核心業務及重要性如下表:

核心業務

核心資通系統

重要性說明

業務失效影響說明

最大可容忍中斷時間

教務業務:課程發展、課程編排、教學實施、學籍管理、成績評量、教學設備、教具圖書資料供應、教學研究及教學評鑑,並與輔導單位配合實施教育輔導等事項

國小學籍系統

(向上集中)

國小成績系統(向上集中)

為本機關依組織法執掌,足認為重要者。

可能使本校部分業務中斷

由上級管理單位訂之

學生事務:公民教育、道德教育、生活教育、體育衛生保健、學生團體活動及生活管理,並與輔導單位配合實施生活輔導等事項。

為本機關依組織法執掌,足認為重要者。

總務業務:學校文書、事務及出納等事項

公文系統

(向上集中)

為本機關依組織法執掌,足認為重要者。

可能使本校部分業務中斷

由上級管理單位訂之

輔導業務:學生資料蒐集與分析、學生智力、性向、人格等測驗之實施,學生興趣、學習成就與志願之調查、輔導諮商之進行,並辦理特殊教育及親職教育等事項。

國小輔導系統(向上集中)

為本機關依組織法執掌,足認為重要者。

可能使本校部分業務中斷

由上級管理單位訂之

各欄位定義:

  1. 核心業務:請參考資通安全管理法施行細則第7條之規定列示。
  2. 核心資通系統:該項核心業務所必須使用之資通系統名稱。
  3. 重要性說明:說明該業務對機關之重要性,例如對機關財務及信譽上影響,對民眾影響,對社會經濟影響,對其他機關業務運作影響,法律遵循性影響或其他重要性之說明。
  4. 業務失效影響說明:該項業務使用之系統失效後,機關業務運作有何影響。
  5. 最大可容忍中斷時間單位以小時計(對外服務以小時,對內服務以工作小時計)

本機關之非核心業務及說明如下表:

非核心業務

業務失效影響說明

最大可容忍中斷時間

學校首頁(向上集中)

可能使本校部分業務中斷

由上級管理單位訂之

各欄位定義:

  1. 非核心業務系統:公務機關非核心業務相關之資通系統,如差勤服務、郵件服務、用戶端服務等。(請依機關實際情形列出)
  2. 業務失效影響說明:該項業務使用之系統失效後,機關業務運作有何影響。
  3. 最大可容忍中斷時間單位以小時計(對外服務以小時,對內服務以工作小時計)

肆、資通安全政策及目標

一、資通安全政策

為使本機關業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性Confidentiality、完整性Integrity及可用性Availability,依據臺南市政府資訊安全政策如下,以供全體同仁共同遵循:

  1. 安全:確保資訊不遭竊取、竄改、滅失或遺漏。
  2. 正確:資訊內容及處理過程精準無誤。
  3. 迅速:對資安事件之處理、通報與回復能快速完成。

二、資通安全目標

  1. 適時因應法令與技術之變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
  2. 達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。

三、資通安全政策及目標之核定程序

資通安全政策由本機關簽陳資通安全長核定。

四、資通安全政策及目標之宣導

  1. 本機關之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向機關內所有人員進行宣導。
  2. 本機關應每年向利害關係人(例如IT服務供應商、與機關連線作業有關單位)進行資安政策及目標宣導。

五、資通安全政策及目標定期檢討程序

資通安全政策及目標應定期於資通安全管理審查會議中檢討其適切性。

伍、資通安全推動組織

一、資通安全長

依本法第11條之規定,本機關擇請_教導主任_兼任本機關資通安全長,負責督導機關資通安全相關事項,其任務包括:

  1. 資通安全管理政策及目標之核定、核轉及督導。
  2. 資通安全責任之分配及協調。
  3. 資通安全資源分配。
  4. 資通安全防護措施之監督。
  5. 資通安全事件之檢討及監督。
  6. 資通安全相關規章與程序、制度文件核定。
  7. 資通安全管理年度工作計畫之核定
  8. 資通安全相關工作事項督導及績效管理。
  9. 他資通安全事項之核定。

二、資通安全推動組織

(一)本機關設置「資通安全推動小組」負責督導機關資通安全相關事項,為推動本機關之資通安全相關政策、落實資通安全事件通報及相關應變處理,由資通安全長召集人員代表成立資通安全推動小組,其任務宜包括:

  1. 跨部門資通安全事項權責分工之協調。
  2. 應採用之資通安全技術、方法及程序之協調研議。
  3. 整體資通安全措施之協調研議。
  4. 資通安全計畫之協調研議。
  5. 其他重要資通安全事項之協調研議。

(二)分工及職掌

本機關之資通安全推動小組依下列分工進行責任分組,並依資通安全長之指示負責下列事項,本機關資通安全推動小組分組人員名單及職掌應列冊,並適時更新之:

  1. 資通安全推動小組,其工作內容得參考下列事項:
  1. 資通安全政策及目標之研議。
  2. 訂定機關資通安全相關規章與程序、制度文件,並確保相關規章與程序、制度合乎法令及契約之要求。
  3. 依據資通安全目標擬定機關年度工作計畫。
  4. 傳達機關資通安全政策與目標。
  5. 其他資通安全事項之規劃。
  6. 資通安全技術之研究、建置及評估相關事項。
  7. 資通安全相關規章與程序、制度之執行。
  8. 資訊及資通系統之盤點及風險評估。
  9. 資料及資通系統之安全防護事項之執行。
  10. 資通安全事件之通報及應變機制之執行。
  11. 其他資通安全事項之辦理與推動。
  12. 每年定期召開資通安全管理審查會議,提報資通安全事項執行情形。

陸、專職()人力及經費配置

一、專職()人力及資源之配

  1. 本機關依資通安全責任等級分級辦法之規定,屬資通安全責任等級D級,其分工如下。
  1. 資通安全認知與訓練業務,負責推動資通安全教育訓練等業務之推動。
  2. 資通安全防護業務,資通安全防護設施建置及資通安全事件通報及應變業務之推動。
  3. 資通安全管理法法遵事項業務,負責本機關對所屬公務務機關或所管特定非公務機關之法遵義務執行事宜。
  1. 本機關之承辦單位於辦理資通安全業務時,如資通安全人力或經驗不足,得洽請相關學者專家或專業機關(構)提供顧問諮詢服務。
  2. 本機關負責重要資通系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,若負有機密維護責任者,應簽屬書面約定,並視需要實施人員輪調,建立人力備援制度。
  3. 本機關之首長及各級業務主管人員,應負責督導所屬人員之資通安全作業,防範不法及不當行為。
  4. 專業人力資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改善機制之管理審查。

二、經費之配置

  1. 資通安全推動小組於規劃配置相關經費及資源時,應考量本機關之資通安全政策及目標,並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源。
  2. 各單位如有資通安全資源之需求,應配合機關預算規劃期程向資通安全推動小組提出,由資通安全推動小組視整體資通安全資源進行分配,並經資通安全長核定後,進行相關之建置。
  3. 資通安全經費、資源之配置情形應每年定期檢討,並納入資通安全維護計畫持續改善機制之管理審查。

柒、資訊及資通系統之盤點

一、資訊及資通系統盤點

本機關每年辦理資訊及資通系統資產盤點,依管理責任指定對應之資產管理人。相關事項本機關未訂者得參考引用ISMS-02-06 資訊資產管理規範」要求辦理。

二、機關資通安全責任等級分級

依據教育部臺教資()1070202157號函文,本校為公立高級中等以下學校,且配合資訊資源向上集中計畫,核心資訊系統均由上級或監督機關兼辦或代管 其資通安全責任等級為 D 級。

 

捌、資通安全風險評估

一、資通安全風險評估

  1. 本機關應每年針對資訊及資通系統資產進行風險評估,若配合資訊資源向上集中計畫,資訊系統由上級或監督機關兼辦或代管,則不需進行。
  2. 執行風險評估時應參考行政院國家資通安全會報頒布之最新「資訊系統風險評鑑參考指引」,並依其中之「詳細風險評鑑方法」進行風險評估之工作。
  3. 相關事項本機關未訂者得參考引用ISMS-02-01 風險評鑑與管理規範」要求辦理。
  4. 本機關應每年依據資通安全責任等級分級辦法之規定,分別就機密性、完整性、可用性、法律遵循性等構面評估自行或委外開發之資通系統防護需求分級。

二、核心資通系統及最大可容忍中斷時間

本校配合資訊資源向上集中計畫,核心資訊系統均由上級或監督機關兼辦或代管,不再另行訂定。

玖、資通安全防護及控制措施

本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項及核心資通系統之防護基準,採行相關之防護及控制措施如下:

一、資訊及資通系統之管理

(一)資訊及資通系統之保管

  1. 資訊及資通系統管理人應確保資訊及資通系統已盤點造冊並適切分級,並持續更新以確保其正確性。
  2. 資訊及資通系統管理人應確保資訊及資通系統被妥善的保存或備份。
  3. 資訊及資通系統管理人應確保重要之資訊及資通系統已採取適當之存取控制政策。

(二)資訊及資通系統之使用

  1. 本機關同仁使用資訊及資通系統前應經其管理人授權。
  2. 本機關同仁使用資訊及資通系統時,應留意其資通安全要求事項,並負對應之責任。
  3. 本機關同仁使用資訊及資通系統後,應依規定之程序歸還。資訊類資訊之歸還應確保相關資訊已正確移轉,並安全地自原設備上抺除。
  4. 非本機關同仁使用本機關之資訊及資通系統,應確實遵守本機關之相關資通安全要求,且未經授權不得任意複製資訊。
  5. 對於資訊及資通系統,宜識別並以文件記錄及實作可被接受使用之規則。

(三)資訊及資通系統之刪除或汰除

  1. 資訊及資通系統之刪除或汰除前應評估機關是否已無需使用該等資訊及資通系統,或該等資訊及資通系統是否已妥善移轉或備份。
  2. 資訊及資通系統之刪除或汰除時宜加以清查,以確保所有機敏性資訊及具使用授權軟體已被移除或安全覆寫。
  3. 具機敏性之資訊或具授權軟體之資通系統,宜採取實體銷毀,或以毀損、刪除或覆寫之技術,使原始資訊無法被讀取,並避免僅使用標準刪除或格式化功能。

二、存取控制與加密機制管理

(一)網路安全控管

  1. 本機關應定期檢視防火牆政策是否適當,並適時進行防火牆軟、硬體之必要更新或升級。若為向上集中管理,則由上級單位統一辦理更新與升級。
  2. 對於通過防火牆之來源端主機IP位址、目的端主機IP位址、來源通訊埠編號、目的地通訊埠編號、通訊協定、登入登出時間、存取時間以及採取的行動,均應予確實記錄。
  3. 對網路系統管理人員或資通安全主管人員的操作,均應建立詳細的紀錄。並應定期檢視網路安全相關設備設定規則與其日誌紀錄,並檢討執行情形。
  4. 使用者應依規定之方式存取網路服務,不得於辦公室內私裝電腦及網路通訊等相關設備。
  5. 無線網路防護
  1. 機密資料原則不得透過無線網路及設備存取、處理或傳送。
  2. 無線設備應具備安全防護機制以降低阻斷式攻擊風險,且無線網路之安全防護機制應包含外來威脅及預防內部潛在干擾。
  3. 行動通訊或紅外線傳輸等無線設備原則不得攜入涉及或處理機密資料之區域。
  4. 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站,應安裝防毒軟體,並定期更新病毒碼。

(二)資通系統權限管理

  1. 本機關之資通系統應設置通行碼管理,通行碼之要求需滿足:
  1. 通行碼長度8碼以上。
  2. 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。
  3. 使用者每90天應更換一次通行碼。
  1. 使用者使用資通系統前應經授權,並使用唯一之使用者ID,除有特殊營運或作業必要經核准並紀錄外,不得共用ID
  2. 使用者無繼續使用資通系統時,應立即停用或移除使用者ID,資通系統管理者應定期清查使用者之權限。

(三)特權帳號之存取管理

  1. &