資通安全自我檢核要點
1目的:國立東石高級中學(以下簡稱本校)為強化資通安全管理,督促改善資通安全防護,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,特訂定「國立東石高級中學自我檢核要點」(以下簡稱本要點)。
2依據:
2.1國立東石高級中學通信與作業管理程序書
2.2國立東石高級中學存取控制管理程序書
2.3國立東石高級中學人員資通安全守則
3適用範圍
3.1本校各項資通設備使用者,含全校教職員工生、合約廠商駐校人員及其它經授權使用之人員。
4資通系統安全防護自我檢核
4.1所有電腦帳號須設定密碼,guest等公用帳號須停用,使用者須善盡帳號密碼保管之責。密碼至少每三個月更換一次,長度須為八位數(含)以上,且應使用數字、英文字母大寫、英文字母小寫及特殊符號至少三種以上。
4.2各類作業系統若有螢幕保護功能,必須啟用。啟動螢幕保護時間設定為5分鐘,且須設定繼續後以密碼保護功能。
4.3各類作業系統及應用軟體須開啟自動更新功能或留意其更新資訊,隨時確保軟體的漏洞為已修補狀態。電腦因故重灌後,應立即重新完成所有之漏洞修補作業。
4.4所有電腦必須安裝防毒軟體,不可任意關閉或移除,且防毒軟體病毒碼須定期更新。
4.5當電腦中毒,病毒無法移除、隔離或作業不正常時,為避免產生大規模電腦病毒感染及擴散情形,應將電腦關機、拔除網路連線,儘速通報本校資通安全緊急處理小組(窗口:設備組)。
4.6來路不明的軟體或檔案常為散播病毒的來源,為確保電腦使用安全,不得安裝使用。
4.7電腦系統若具備防火牆功能,必須開啟,以提升電腦防護能力。
4.8各單位架設伺服器,須有專人負責維護並進行相關資訊安全作業。
4.9各單位伺服器每年須執行一次弱點掃描程序,並即時修補缺失,本校資通安全稽核小組將不定期進行檢測。
4.10對於用戶端之連線,伺服器端必須設定閒置逾時期限,當閒置逾時發生時須自動切斷其連線。
4.11禁止與他人共用電腦系統帳號。
4.12採取權限區隔,非專責處理特定個人資料者,不得具有存取或查閱個人資料之權限。
4.13禁止人員使用即時通訊軟體傳輸個人資料檔案。
4.14嚴禁下載或使用非法軟體與檔案。
4.15禁止於個人電腦安裝線上遊戲、點對點傳輸(Peer To Peer)軟體、挖礦程式、跳牆程式、 VPN等tunnel相關工具下載或提供分享檔案。
4.16禁止下載或安裝來路不明、有違反法令疑慮如版權、智慧財產權等或與業務無關的電腦軟體。
4.17禁止於上班時間利用電腦或行動載具等瀏覽不當之網路,如暴力、色情、賭博、駭客、惡意網站、釣魚詐欺、傀儡網站等及非公務用途網站,各單位主管應加強監督同仁使用網路情況。
4.18本校所屬之個人電腦等資通設備,非經授權只能經由單一網卡連接機關內部網路連線上網。
4.19遠端服務請用Windows遠端桌面,其餘遠端控制軟體除經本校資通安全委員會同意外不得使用。
4.20禁止人員在社群網站、部落格、公開論壇或其他利用網際網路形式公開業務所知悉之個人資料。
4.21各單位利用網路公佈及流通資訊時,應評估資料安全等級,機密、敏感性或未經當事人同意之個人隱私資料及文件,不得上網公佈。
4.22機密性或敏感性之資料及文件,欲利用電子郵件傳送時,須以適當的加密或電子簽章等安全技術處理。
4.23電腦內的資料若須開啟網路分享,務必設定密碼及可存取之帳號,嚴禁未設權限控管而開放電腦資料供人任意存取之行為,以防電腦病毒侵害及機密、敏感資料洩露或損毀,且重要資料務必定期備份。
5實施方式
5.1本校人員須定期參與本校資通安全小組主辦的資通安全教育訓練及宣導,建立並加強資通安全認知,提升資通安全水準並定期填報資通安全防護自我檢核表。
5.2校園公務(教學)公用資通設備檢核表之填報;各處室由處室主管指派專人填報,專業類科由科主任指派技士/佐填報,普通科由召集人負責協調出科內教師填報。
6獎懲管理
6.1各處室主管應隨時抽查所屬人員是否確實執行資通系統安全防護自我檢核,校園公務(教學)公用資通設備檢核順利達成之單位,單位主管得陳請鈞長予以獎勵有功人員。
6.2本校各級業務主管人員,須負責督導所屬人員之資通作業安全,防範不法及不當行為。單位人員若有違反資通安全相關規定而造成本校重大損失,由單位主管送請校方依本校相關法規懲處。
7公告與實施
7.1本守則由本校資訊安全委員會通過後公告實施,修訂時亦同。
