本校資訊安全資產管理辦法
壹、碧華國民小學(以下簡稱本校)為落實資訊資產管理機制及降低資訊資產風險,特訂定「碧華國民小學資訊安全資產管理辦法」(以下簡稱本辦法)。
貳、依據
一、 國際資訊安全標準 2005 年版(ISO/IEC 27001:2005)。
二、 國際資訊安全作業規範 2005 年版 (ISO/IEC 17799:2005)。
參、資產之分級
本校資訊資產的機密性分為普通、敏感與機密三類,普通資產依本校相關管理辦法處理,敏感性資產與校方核定為機密等級之資產則依本辦法辦理。
肆、資產之處理
一、 一般規定
(一)敏感與機密資訊於傳送及儲存時均需標示其等級(儲存於電腦主機內之資訊除外)。敏感與機密資訊欲複製、攜出時,應提出申請載明申請用途,經業務單位長官核准後,始得加密後攜離使用。
(二)可攜式儲存媒體(磁帶、磁碟片、隨身碟、可攜式磁機、光碟…等)若儲存敏感與機密資訊,保存時需於加鎖之櫥櫃內。
(三)攜出設備之安全管理
1. 電腦(包含伺服器主機、桌上型個人電腦、可攜式電腦)攜出外部使用時,應啟動系統個人防火牆功能,非必要應避免連結網路。
2. 電腦借用攜出人員應負保管之責,妥善使用及保管電腦。
3. 電腦攜出使用不得任意安裝或下載軟體使用,應遵循本校相關資訊安全管理規定。
4. 電腦攜出使用完畢歸還時,管理人員應進行防毒檢查,降低遭受攻擊的風險。
二、 文件管制規定
(一) 敏感與機密文件應交由總務處文書組集中管理,限制存取閱覽與修改。
(二) 敏感與機密資訊文件不得使用傳真設備傳送。
(三) 文件與紀錄之管制、發行與銷毀參照本校相關規定辦理。
三、 電子資訊管理規定
(一)敏感與機密資訊應於傳輸與儲存過程以加密方法保護,並考量運用訊息鑑別技術,以偵測資料內容是否遭受未經授權的竄改或驗證傳送之訊息內容是否遭受破壞。
(二)敏感與機密資訊檔案應執行權限控管與異地備份機制。
四、 軟體資產管理
軟體資產之保管人應負責資產放置與保管責任,資產管理人應盡資產清點、報廢與相關管理責任。
五、 硬體資產管理
(一) 資產之管理
硬體資產之保管人應負責資產保管責任,資產管理人應負責清點與故障之維修作業。
(二) 設備、媒體之報廢與再利用
設備及媒體報廢或改為其他用途時,資訊人員應檢查其內容是否包含敏感與機密資訊,或者是有版權之軟體,務必確認其內容已被適當的處理後,包括格式化、刪除內容或實體銷毀等處置,方可移交處理人員。
六、 可攜式設備管理
(一) 可攜式電腦管理
1. 應安裝防毒軟體並啟動連線時即時主動更新,以保持病毒碼為最新狀態。
2. 不得安裝與業務無關的軟體,包含非法軟體與來路不明之軟體。
3. 登錄辦公室以外之電腦或連接攜帶型儲存設備進行交換資料之前,必須確認所連接電腦或連接攜帶型儲存設備已經過掃毒。
4. 應隨時更新修補程式。
(二) 可攜式儲存媒體管理
1. 本校同仁得使用可攜式儲存媒體備份儲存個人工作資訊。
2. 嚴禁將敏感與機密資訊儲存至個人系統或儲存媒體,如有特殊業務需求,應經單位主管同意後始得為之。
3. 可攜式儲存媒體用畢後,應立即清空敏感與機密資訊。
4. 如有個人業務相關的敏感與機密資訊儲存至可攜式儲存媒體時,應予以加密處理,不得以明文方式直接儲存於媒體中,避免意外遺失或遭有心人士竊取。
(三) 儲存媒體傳輸與運送安全
儲存敏感與機密資訊的儲存媒體如需攜離資訊機房或異地備份機房時,應填寫「碧華國民小學資訊服務申請單」敘明原因,經組長級以上人員同意後始得攜離,攜出之儲存媒體內容應採取加密防護,使用完畢後應歸還或銷毀敏感與機密資訊。
伍、辦法之修訂
本辦法經「資訊教育委員會」會議審議通過,陳請校長核可後施行,修訂時亦同。