國立嘉義大學資訊安全管理規範實施要點

電算中心九十學年度第六次中心會議(2002/1/21)提議通過

計算機諮詢委員會九十學年度第一次會議(2002/1/23)提議通過

壹、資訊安全之目的

為強化本校資訊安全管理，建立安全及可信賴之電子化機關，確保資料、系統、設備及網路安全，保障教職員工生權益，依據教育部台(八八)電字第八八一一四七０九號函及「行政院所屬各機關資訊安全管理規範」，特訂定國立嘉義大學資訊安全管理規範實施要點（以下簡稱本要點）。

貳、通則

本要點所稱各單位，指本校所屬各行政單位及教學單位。

參、人員安全管理及教育訓練

一、甄選及進用之人員，如其工作職責須使用處理敏感性的資 訊科技設施或涉及機密性資訊者，應經適當的安全評估程序。

二、員工使用資訊科技設施應依相關規定課予機密維護責任，並進行資訊安全教育及訓練。

肆、系統與網路之安全管理

一、電腦病毒及惡意軟體之防範
　

（一）電腦病毒防制軟體應定期更新。

（二）對來路不明及內容不確定的檔案，應在使用前詳加檢查是否感染電腦病毒。

（三）定期修補系統漏洞程式。
　

二、個人資料之保護
　

（一）應依據電腦處理個人資料保護法等相關規定，審慎處理個人資訊。

（二）應建立個人資料控制及管理機制，促使相關人員瞭解各部門應負的個人資料保護責任，以及應遵守之作業程序。
　

三、日常作業之安全管理
　

（一）應準備足夠的備援設施，定期執行必要的資料及軟體備份及備援作業（可進行異地備援），以便發生災害或是儲存媒體失效時，可迅速回復正常作業。

（二）系統發生作業錯誤時，應正式記錄下來，報告權責主管人員，並採取必要的更正行動。

（三）電腦作業環境如溫度、溼度及電源供應之品質等，應隨時監測，並採取必要的補救措施。
　

四、電腦媒體與資料文件之安全管理
　

（一）可重複使用的資料儲存媒體，不再繼續使用時，應將儲存的內容消除。

（二）攜離辦公場所的儲存媒體，應建立書面的授權規定，並建立使用紀錄。

（三）系統文件應鎖在安全的儲櫃或其他安全場所。

（四）委外處理的電腦文件、設備、媒體蒐集及委外處理資料，應慎選有足夠安全管理能力及經驗的機構作為委辦對象。

（五）應保護重要的資料檔案，以防止遺失、毀壞、被偽造或竄改。

（六）與他單位進行電子資料交換，應採行保護措施，以防止資料受損及未經授權的資料存取及竄改。
　

五、網路服務之管理
　

（一）系統的最高使用權限，應經權責主管人員審慎評估後，交付可信賴的人員管理。

（二）提供給內部人員使用的網路服務，與開放業務有關人員從遠端登入內部網路系統的網路服務，應執行嚴謹的身分辨識作業，或使用防火牆代理伺服器進行安全控管。

（三）離（休）職人員應依資訊安全規定及程序，取銷其存取網路之權利。

（四）網路系統管理人員未經權責主管人員許可，不得閱覽使用者之私人檔案；但如發現有可疑的網路安全情事，網路系統管理人員得依授權規定檢查其檔案。

（五）網路硬體設備視需要應加裝不斷電系統，以防止不正常的斷電狀況。
　

六、使用者管理
　

（一）使用者應遵守「臺灣學術網路使用規範」及本校校園網路使用相關規定。

（二）被授權的網路使用者，限於授權範圍內存取網路資源。

（三）使用者應遵守相關安全規定，如有違反，應撤消其網路資源存取權利，並依相關法規處理。

（四）網路使用者不得將自己的登入身份識別與登入網路的密碼交付他人使用。

（五）禁止網路使用者以任何方法竊取他人的登入身份與登入網路識別碼。

（六）禁止及防範網路使用者以任何儀器設備或軟體工具竊聽網路上的通訊。
　

七、主機安全防護

單位存放機密性及敏感性資料之大型主機或伺服器主機(如Domain Name Server等)，除作業系統既有的安全設定外，應強化身份辨識之安全機制，防止遠端撥接或遠端登入資料經由電話線路或網際網路傳送時，被偷窺或截取(如一般網路服務HTTP、Telnet、FTP等的登入密碼)，及防止非法使用者假冒合法使用者身分登入主機進行偷竊、破壞等行為。

 八、系統與網路入侵之處理
　

（一）立即拒絕入侵者任何存取動作，防止災害繼續擴大;當防護網被突破時，系統應設定拒絕任何存取;並於事後全面檢討網路安全措施及修正防火牆的設定，以防禦類似的入侵與攻擊。

（二）為達到追查入侵者的目的，可考慮讓入侵者做有條件的連接，一旦入侵者危害到內部網路安全，則必須立即切斷入侵者的連接。

（三）對入侵者的追查，除利用稽核檔案提供的資料外，得使用系統指令執行反向查詢，並連合相關單位(如網路服務公司)，追蹤入侵者。

（四）入侵者之行為若觸犯法律規定，構成犯罪事實，應立即告知檢警憲調單位，請其處理入侵者之犯罪事實調查。
　

九、使用者之註冊管理
　

（一）應建立及維持系統使用者之註冊資料紀錄，以備日後查考。

（二）使用者調整職務及離（休）職時，應儘速註銷其系統存取權利。

（三）應定期檢查及取消閒置不用的識別碼及帳號。
　

十、使用者識別碼之管理
　

（一）以嚴謹的程序核發識別碼，明確規定使用者應負的責任。

（二）個人應負責保護識別碼，維持識別碼的機密性。

（三）當有跡象足以顯示使用者密碼可能遭破解時，應立即更改密碼。
　

十一、系統與網路紀錄

進出系統與網路，應記錄下列事項：

（一）使用者識別碼。

（二）登入及登出系統之日期及時間。

（三）記錄終端機的識別資料或其網路位址。
　

十二、設備安全管理
　

（一）設備安置地點之保護

1. 設備應安置在適當的地點並予保護，以減少環境不安全引發的危險及未經授權存取系統的機會。
2. 設備安置應遵循的原則如下：

（1）設備應儘量安置在可減少人員不必要經常進出的工作地點。處理機密性及敏感性資料的工作站，應放置在員工可以注意及照顧的地點。

（2）需要特別保護的設備，應考量與一般的設備區隔，安置在獨立的區域。

（3）應檢查及評估火災、煙、水、灰塵、震動、化學效應、電力供應、電磁幅射等可能的風險。

（4）電腦作業區應禁止抽煙及飲用食物。

（5）在特定的作業環境下，可考慮使用鍵盤保護膜。

（6）應考量同一樓層地板可能導致的的危險外，也應考量鄰近建築樓層地板可能導致的危險。

（二）電源供應

1. 電腦設備之設置，應予保護，以防止斷電或其他電力不正常導致的傷害；電源供應依據製造廠商提供的規格 設置。
2. 應考量安置預備電源，並考量使用不斷電系統。
3. 資訊安全事件緊急處理應變計畫應將不斷電系統失效之後的應變措施納入；不斷電系統應依據製造廠商的建議，定期進行測試。
4. 應謹慎使用電源延長線，以免電力無法負荷導致火災等安全情事。

（三）設備維護

1. 應妥善地維護設備，以確保設備的完整性及可以持續使用。
2. 設備維護的原則如下：

（1）應依據廠商建議的維修服務期限及說明進行設備維護。

（2）設備的維護只能由授權的維護人員執行。

（3）應將所有的錯誤或是懷疑的錯誤予以