網路使用規範&資訊安全管理要點

臺北市立大直高級中學校園網路使用規範

101.03.13初稿
101.06.06行政會議通過
108.07.22資通安全小組會議修正通過

 

  1. 臺北市立大直高級中學(以下簡稱本校)為遵循台灣學術網路之使用精神、普及尊重法治觀念,並提供網路使用者可資遵循之準據,依據教育部90年12月26日公布的「教育部校園網路使用規範」及99年1月11日公布之「台灣學術網路管理規範」訂定本規範。

  2. 本校校園網路主要提供行政業務與教學研究及學生學習使用,凡利用各式可上網之裝置(含各式電腦、行動裝置、手機及其他可存取網路之裝置)接取本校網路設備進行連線者,即為本校校園網路之使用者(以下簡稱使用者),皆須遵守本規範。

  3. 使用者在使用校園網路時,應謹記以「不得影響他人生活及其他共同使用者之權益」為原則。

  4. 使用者之責任與義務:

    1. 使用者使用校園網路時,應遵守「台灣學術網路使用規範」、「教育部校園網路使用規範」及本規範之相關規定。

    2. 使用者應善盡保管自身身份識別帳號與密碼之責任,並自負因該帳號及密碼使用時所衍生之一切法律責任。

    3. 本校各系統管理者及使用者,對系統內所有之各項資料,負有保密義務,不得任意提供他人使用、亦不得洩漏所擁有的帳號及密碼資料,造成系統安全可能的重大威脅。

    4. 應尊重智慧財產權。避免下列可能涉及侵害智慧財產權之行為:

      1. 使用未經授權之電腦程式。

      2. 違法下載、拷貝受著作權法保護之著作。

      3. 未經著作權人之同意,將受保護之著作上傳於公開之網站上。

      4. BBS或其他線上討論區上之文章,經作者明示禁止轉載,仍任意轉載。

      5. 架設網站供公眾違法下載受保護之著作。

      6. 其他可能涉及侵害智慧財產權之行為。

    5. 禁止下列濫用網路系統之行為:

      1. 私設或竄改校園網路上任何電腦之網際網路位址 (IP Address,簡稱IP) 或電腦名稱,或非經許可自行佔用網路位址。

      2. 未經網路管理單位之同意,自行調整網路設備之線路連接方式或安裝網路存取設備(無線基地臺、IP分享器等)及私自架設伺服器。

      3. 散布電腦病毒或其他干擾或破壞系統機能之程式。

      4. 以破解、盜用或冒用他人帳號及密碼等方式,未經授權使用網路資源,無故洩漏他人或公務之帳號。

      5. 無故將帳號借予他人使用。

      6. 隱藏帳號或使用虛假帳號。

      7. 擅自截取網路傳輸訊息或窺視他人之電子郵件或檔案。

      8. 以任何方式濫用網路資源,包括以電子郵件傳送大量廣告信、連鎖信或無用之訊息,或以灌爆信箱、掠奪資源大量上傳或下載的非法活動,影響系統之正常運作,或遭上級教育單位來函警告。

      9. 以電子郵件、線上交談、BBS、討論區或類似功能之方法散佈詐欺、誹謗、侮辱、猥褻、非法軟體交易、色情交易或其他違法之訊息。

      10. 洩漏機密之校務檔案資料、網路資訊或網路架構等給非主管教育行政機關等不相干之機構或個人。

      11. 利用學校之網路資源從事非教學研究等相關之活動或違法之行為

      12. 入侵他人主機或資料庫,進行盜拷竄改毀損資料、攻擊破壞干擾系統作業。

      13. 利用學校之網路資源從事未經本校許可的商業或違法、不當行為。

      14. 未善盡使用者義務,致使電腦中毒,攻擊校園網路其他使用者。

      15. 以P2P 軟體或行為下載或傳播或分享任何檔案行為。

    6. 使用者若發現系統安全有任何缺陷,應儘速通報網路管理單位。

  5. 本校網路管理暨維護單位為圖書館資訊組,責任與義務如下:

    1. 執行本規範之內容,得為下列有關網路之管理事項

      1. 接受使用者對於網路資源的使用申請,並協助網路使用者建立自律機制。

      2. 對網路流量做適當之區隔與管控,流量異常增加予以個別通知。

      3. 對於違反本規範或影響網路正常運作者,得暫停該網路使用者使用之權利。

      4. 對於網站上所登載之內容有不當或涉及違法者,得逕行刪除其內容或強制該網站停止運作。情節重大、違反學校相關規定或法令者,簽請學校議處。

    2. 本單位應尊重網路隱私權,不得任意窺伺使用者之個人資料或侵犯網路隱私權,但有下列情形之一者,不在此限:

      1. 為維護或檢查系統安全。

      2. 依合理之根據,懷疑有違反本規範之情事時,為取得證據或調查不當行為。

      3. 為配合司法機關之調查。

      4. 基於協助防治網路違規及犯罪立場,相關單位對個人資料、檔案所為答覆、查詢、閱覽或製作複製本,均依相關法律辦理。

      5. 其他依法令之行為。

  6. 校外單位若有偵查犯罪之必要,應先知會秘書室。各單位於接獲秘書室通知後,應依「台灣學術網路連線單位配合防治網路犯罪處理要點」、「電腦處理個人資料保護法」、「公務人員服務法」配合提供相關資料。

  7. 學生違反網路使用規範經查證屬實,依「臺北市立大直高級中學學生獎懲實施要點」規定懲處,如違反網路使用規範情節嚴重者,並通知當事人家長到校處理,其另有違法行為時,行為人應依民法、刑法、著作權法或其他相關法令負法律責任外,本校得不經使用者同意,配合司法及相關單位提供相關資料。

  8. 教職員工違反本規範,由網路管理單位以書面通知當事人改善並暫停其網路使用權。如未改善,則簽請校長核可後移送考評委員會處理。其另有違法行為時,行為人應依民法、刑法、著作權法或其他相關法令負法律責任外,本校得不經使用者同意,配合司法及相關單位提供相關資料。

  9. 本校各資訊設備管理者在公告管理規則時,得以公函、電子布告欄或本校全球資訊網首頁連結之相關網頁公告之。

  10. 違反本規範之使用者對於懲處有異議時,得依本校相關程序,提出申訴或救濟。

  11. 本規範若有未盡事宜,依照相關法令及規定辦理。

  12. 本規範經資通安全小組會議通過後,陳請校長核可後公布實施,修正時亦同。

 

臺北市立大直高中資訊安全管理要點

本要點依據「行政院及所屬各機關資訊安全管理要點」、「教育體系資通安全管理規範」規定訂定。

 

一、資訊安全權責分工

(一)對處理敏感性、機密性資料之人員及因工作需要須賦於系統管理權限之人員,應妥適分工,分散權責,視需要建立人員相互支援制度。

(二)對離職人員,依據人員離職之處理程序辦理,並立即取消使用各項系統資源所有權限。

(三)針對不同層級人員,視實際需要辦理資訊安全教育訓練及宣導,促使人員瞭解資訊安全的重要性,各種可能的安全風險,以提高人員資訊安全意識,促其遵守資訊安全規定。

(四)各業務主管,須負責督導所屬人員之資訊作業安全,防範不法及不當行為。

 

二、電腦系統安全管理

(一)使用臺灣學術網路危機處理中心(TACERT)教育機構資安通報平台,建立資訊設施及系統的變更管理通報機制,以免造成系統安全上的漏洞。

(二)依據電腦處理個人資料保護法之相關規定,審慎處理及保護個人資訊。

(三)建立系統備援設施,定期執行必要的資料、軟體備份並存放在不同主機,以便發生災害或儲存媒體失效時,可迅速回復正常作業。

(四)重要的資訊設備、個人電腦均需設定具有密碼管制之銀幕保護程式。

 

三、網路安全管理

(一)本校與外界網路連接之網點,須設立防火牆控管外界與內部網路之資料傳輸及資源存取。

(二)機密性及敏感性的資料或文件,不得存放在對外開放的資訊系統中,敏感性資訊如有電子傳送之必要,需經加密或電子簽章等安全技術處理後傳送。

(三)審慎評估開放外界連線及本校間資料傳送作業,必要時簽訂契約或協定,限制系統可運作之權限,並明定應遵守之資訊安全規定、程序及應負之責任。

 

四、系統存取控制管理

(一)視安全管理需求核發及變更密碼。

(二)登入學校網域或網站時,依各處室人員職掌所必要之系統存取權限,由系統管理人員設定賦予權限之帳號與密碼。

(三)各單位之重要資料如需委外建檔者,不論在所內或所外執行,均須與委外廠商簽訂適當之安全管制條款,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。

 

五、系統發展及維護之安全管理

(一)在資訊系統規劃之需求分析階段,即將資訊安全納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。

(二)資訊業務委外時,應於事前審慎評估可能的潛在安全風險,須明定廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守。

(三)對於委外建置之軟硬體系統及維護人員,應規範及限制其可接觸之系統與資料範圍,並於使用完畢後立即取消其使用權限。

(四)依據智慧財產權之相關規定,規範各種軟體之使用。

 

六、實體及環境安全管理

(一)系統伺服主機、設備應安置於主機房,並由資訊組專責管理,並管制非相關人員隨意進出。

(二)評估各種人為及天然災害對正常業務運作之影響,並視需要調整更新計畫。

 

 

 

 

臺北市中山區大直高級中學

 

資通安全維護計畫

 

 

 

機密等級:一般

承辦人簽章:

單位主管簽章:

校長(資通安全長)簽章:

 

第1.1版

中華民國108年7月22日

文件制/修訂紀錄表

文件版本

生效日期

制/修定摘要說明

承辦單位

承辦人

V1.0

108年1月15日

初次建立

圖書館
資訊組

魏仲良/黃淑惠

V1.1

108年7月22日

修正小組成員與編組

圖書館
資訊組

魏仲良/黃淑惠

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

資訊安全維護計畫目錄

 

壹、 資通安全推動小組成員及分工表... 4

貳、 實施計畫... 5

一、 依據及目的... 5

二、 適用範圍... 5

三、 核心業務及重要性... 5

() 核心業務及重要性:... 5

() 非核心業務及說明:... 5

四、 資通安全政策及目標... 6

() 資通安全政策... 6

() 資通安全目標... 6

() 資通安全政策及目標核定程序... 6

() 資通安全政策及目標之宣導... 6

() 資通安全政策及目標定期檢討程序... 6

五、 資通安全推動組織... 6

() 資通安全長... 6

() 資通安全推動小組(併資訊教育推動小組) 7

六、 專職人力及經費配置... 7

() 人力及資源配置... 7

() 經費配置... 7

七、 資訊及資通系統之盤點... 7

() 資訊及資通系統盤點... 7

() 機關資通安全責任等級分級... 8

八、 資通安全風險評估... 8

九、 資通安全防護及控制措施... 9

() 資訊及資通設備之管理... 9

() 存取控制與加密機制管理... 9

() 作業與通訊安全管理... 10

() 資通安全防護設備... 12

十、 資通安全事件通報、應變及演練相關機制... 12

十一、 資通安全情資之評估及因應... 12

() 資通安全情資之分類評估... 12

() 資通安全情資之因應措施... 13

十二、 資通系統或服務委外辦理之管理... 13

十三、 資通安全教育訓練... 14

() 資通安全教育訓練要求... 14

() 資通安全教育訓練辦理方式... 14

十四、 公務機關所屬人員辦理業務涉及資通安全事項之考核機制... 14

十五、 資通安全維護計畫及實施情形之持續精進及績效管理機制... 14

() 資通安全維護計畫之實施... 14

() 資通安全維護計畫實施情形之稽核機制... 14

() 資通安全維護計畫之持續精進及績效管理... 15

十六、 資通安全維護計畫實施情形之提出... 15

十七、 相關法規、程序及表單... 15

() 相關法規及參考文件... 15

() 附件表單... 16

 

 

 

 

臺北市立大直高中資通安全推動小組成員及分工表

單位職級

職掌事項

分機

代理人

 

校長

資通安全長。執掌事項詳列於本校資通安全管理計畫中。

110

教務主任

 

秘書

  1. 資通安全政策及目標之研議。
  2. 訂定機關資通安全相關規章與程序、制度文件,並確保相關規章與程序、制度合乎法令及契約之要求。
  3. 依據資通安全目標擬定機關年度工作計畫。
  4. 傳達機關資通安全政策與目標。其他資通安全事項之規劃。
  5. 資通系統盤點

111

圖書館主任

 

教務主任

121

學務主任

 

學務主任

131

教務主任

 

總務主任

141

專案室主任

 

輔導主任

151

圖書館主任

 

圖書館主任

191

輔導主任

 

專案室主任

343

總務主任

 

人事主任

161

會計主任

 

會計主任

171

人事主任

 

資訊組長

  1. 資訊組長兼任策略規劃組顧問,並辦理資通行政業務,系管師協辦。
  2. 資通安全技術之研究、建置及評估相關事項。
  3. 資通安全相關規章與程序、制度之執行。
  4. 資料及資通業務之安全防護事項之執行。
  5. 資通安全事件之通報及應變機制之執行。
  6. 其他資通安全事項之辦理與推動。

313

系統管理師

 
 

系統管理師

314

資訊組長

 

教師代表

  1. 傳達機關資通安全政策與目標。

*

教師會代表

 

承辦人:              單位業務主管:               資通安全長:

 

 

本計畫依據資通安全管理法第10條及施行細則第6條訂定。

本計畫適用範圍涵蓋本校各單位。

本校之核心業務及重要性如下表:

核心業務

核心資通系統

重要性說明

業務失效
影響說明

最大可容忍中斷時間

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

註:教務、學務、輔導等核心業務之核心資通系統已包含在教育局統一提供之校務行政系統,該系統已集中至臺北市政府教育網路中心機房。

本校之非核心業務及說明如下表:

非核心業務

非核心資通系統

業務失效影響說明

最大可容忍中斷時間

網路支援服務

防火牆

網路連線中斷

24小時

DNS

影響網路連線

48小時

學校網站

影響對外宣傳或消息發布時效性

72小時

大直E課室

影響課外師生互動(教材補充、作業收繳…等)

72小時

設備借用管理

影響設備借用管理作業效能

72小時

註:人事、會計、總務、圖書館等非學校核心業務之核心資通系統皆為上級單位所提供,校內同仁僅連線至上級提供之網路服務進行操作,故未列入上表。

為使本校業務順利運作,防止資訊或資通業務受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:

        1. 定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
        2. 針對各資料的機密性與完整性應妥善保護,避免資料遭竄改。
        3. 建立資通安全防護(如:防火牆、防毒軟體)。
        4. 辦理資通安全教育訓練(一般使用者與主管,每人每年三小時以上之一般資通安全教育訓練),提升同仁資通安全意識。
        5. 針對辦理資通安全業務有功相關人員應依資通安全管理法子法之「公務機關所屬人員資通安全事項獎懲辦法」進行獎勵。
        6. 禁止多人共用同一帳號。
        7. 落實資通安全通報機制。
      1. 資通安全目標
        1. 資安事件發生,於規定的時間完成通報、應變及復原作業。
        2. 配合上級機關辦理之電子郵件社交工程演練郵件開啟率及附件點閱率分別低於10%及6%。
        3. 全年度資安通報平臺之資安事件等級第1、2級發生件數少於3件(含)以下,等級第3、4級不得發生。
        4. 達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
      2. 資通安全政策及目標核定程序

資通安全政策由本校圖書館資訊組擬定草案,由資通安全小組審議修訂,簽陳至資通安全長後實施,修正時亦同。

      • 資通安全政策及目標之宣導
        1. 本校之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向機關內所有人員進行宣導,並檢視執行成效。
        2. 本校應每年向利害關係人(例如非本校維運自行或委由廠商建置之資通系統)進行資安政策及目標宣導,並檢視執行成效。
      • 資通安全政策及目標定期檢討程序

資通安全政策及目標應定期於資通安全管理審查會議(併資訊教育推動小組會議)中檢討其適切性。

依資通安全管理法第11條之規定,本校資通安全長為校長,負責督導機關資通安全相關事項,其任務包括:

        1. 資通安全管理政策及目標之核定、核轉及督導。
        2. 資通安全責任之分配及協調。
        3. 資通安全資源分配。
        4. 資通安全防護措施之監督。
        5. 資通安全事件之檢討及監督。
        6. 資通安全相關規章與程序、制度文件核定。
        7. 資通安全管理年度工作計畫之核定。
        8. 資通安全相關工作事項督導及績效管理。
        9. 其他資通安全事項之核定。
      1. 資通安全推動小組(併資訊教育推動小組)

為推動本校之資通安全相關政策、落實資通安全事件通報及相關應變處理,由資通安全長召集各業務部門主管及教師代表成立資通安全推動小組,其任務包括:

        1. 跨處室資通安全事項權責分工之協調。
        2. 應採用之資通安全技術、方法及程序之協調研議。
        3. 整體資通安全措施之協調研議。
        4. 資通安全計畫之協調研議。
        5. 其他重要資通安全事項之協調研議。
    1. 專職人力及經費配置
      • 人力及資源配置
        1. 本校依資通安全責任等級分級辦法之規定,屬資通安全責任等級D級,無專職人力之配置。為維護機關資通安全需求,以圖書館資訊組現有編制人員(資訊組長及系統管理師)為資通安全兼辦人員,任務如下:
          1. 負責資通系統分級、內部資通安全稽核、防護基準及教育訓練業務之推動。
          2. 負責資通安全防護設施建置及資通安全事件通報及應變業務之推動。
        2. 本校負責重要資通設備之管理、維護、設計及操作之人員,應妥適分工,分散權責,若負有機密維護責任者,應簽屬書面約定 ,並視需要實施人員輪調,建立人力備援制度。
        3. 本校之首長及各級業務主管人員,應負責督導所屬人員之資通安全作業,防範不法及不當行為。
      • 經費配置

資通安全推動小組於規劃配置相關經費及資源時,應考量本校之資通安全政策及目標,並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源

    • 資訊及資通系統之盤點
      • 資訊及資通系統盤點
        1. 本校每年辦理資訊及資通系統資產盤點,依管理責任指定對應之資產管理人,並依資產屬性進行分類,分別為資訊資產、軟體資產、實體資產、支援服務資產等。
        2. 資訊及資通系統資產項目如下:

資產類別

資產項目

資訊資產

(未含有個資)

  1. 業務資料檔案,例如:XX業務檔案。
  2. 系統資料檔案,例如:資料庫檔案、應用程式檔案及備份檔案等。
  3. 電子化儲存之文件檔案,例如:系統或軟體使用手冊及教育訓練教材等。
  4. 書面管理文件,例如:系統文件、使用手冊、各種程序及指引辦法等。
  5. 書面紀錄,例如:申請表單等。

軟體資產

  1. 系統軟體,例如:Windows Server 2008、Windows Server 2012、Windows Server等。
  2. 資料庫軟體,例如:MS SQL Server 2008等。
  3. 套裝軟體,例如:Adobe CS6、非常好色、會聲會影、威力導演、F-Secure 防毒軟體、ITBC軟體廣播系統、ITMS電腦管理系統等。

硬體資產

  1. 電腦設備,例如:伺服器、個人電腦、筆記型電腦及平板電腦等。
  2. 通訊設備,例如:路由器、硬體防火牆、網路交換器、傳真機、印表機、多功能複合機及影印機等。
  3. 儲存媒體,例如:隨身碟、外接硬碟、網路硬碟(NAS)、儲存設備網路(SAN)、光碟及光碟機等。
  4. 其他支援設備,例如:監視器、不斷電系統、空調系統、消防系統等。

服務資產

  1. 一般維運支援性服務,例如:中華電信網路專線、市電系統、供水服務等。
  2. 資訊服務,例如:G Suite 教育版等。

人員資產

  1. 內部同仁,例如:資訊科同仁、約聘人員及替代役人員等。
  2. 外部(常駐型)人員,例如:XX公司駐點人員等。

個資資產

  1. 紙本個資,例如:通訊錄、報名表、履歷表等。
  2. 檔案形式個資,例如:個人電腦中或主機內個人資料檔案等。
  3. 資料庫個資,例如:資訊系統含有個人資料資料庫等。
        1. 本校每年度應依資訊及資通系統盤點結果 ,製作「資訊及資通系統資產清冊」 ,欄位應包含:資訊及資通系統名稱、資產名稱、資產類別、擁有者、管理者、使用者、存放位置、防護需求等級。
        2. 資訊及資通系統資產應以標籤標示於設備明顯處,並載明財產編號、保管人、廠牌、型號等資訊。
        3. 各單位管理之資訊或資通系統如有異動,應即時通知資通安全推動小組更新資產清冊。
      1. 機關資通安全責任等級分級

本校自行辦理資通業務,未維運自行或委外開發之資通系統者,其資通安全責任等級為 D 級。

    • 資通安全風險評估
  • 本校應每年針對資訊及資通設備資產進行風險評估。
  • 執行風險評估時應參考臺北市政府教育局「資訊資產風險評鑑管理辦法」執行相關作業。
  • 本校應每年依據資通安全責任等級分級辦法之規定,分別就機密性、完整性、可用性、法律遵循性等構面評估。
    • 資通安全防護及控制措施

本校依據自身資通安全責任等級之應辦事項,全機關之防護及控制措施詳如本校資通安全維護計畫,採行相關之防護及控制措施如下:

      • 資訊及資通設備之管理
        1. 本校同仁使用資訊及資通設備須遵守設備管理機關相關規範。
        2. 本校同仁使用資訊及資通設備時,應留意其資通安全要求事項,並負對應之責任。
        3. 本校同仁使用資訊及資通設備後,應依規定之程序歸還。資訊類資訊之歸還應確保相關資訊已正確移轉,並安全地自原設備上抺除。
        4. 非本校同仁使用本校之資訊及資通設備,應確實遵守本校之相關資通安全要求,且未經授權不得任意複製資訊。
        5. 對於資訊及資通設備,宜識別並以文件記錄及實作可被接受使用之規則。
      • 存取控制與加密機制管理
        1. 網路安全控管
          1. 本校之防火牆由本校自行管理,區域劃分如下:
          2. 外部網路:對外網路區域,連接外部廣網路(Wide Area Network, WAN)。
          3. 內部區域網路 (Local Area Network, LAN) :機關內部單位人員及內部伺服器使用之網路區段。
          4. 外部網路及內部區域網路間連線需經防火牆進行存取控制,非允許的服務與來源不能進入其他區域。
          5. 本校應定期檢視防火牆政策是否適當。
          6. 本校內部網路之區域應做合理之區隔,使用者應經授權後在授權之範圍內存取網路資源。
          7. 對網路系統管理人員或資通安全主管人員的操作,均應建立詳細的紀錄。並應定期檢視網路安全相關設備設定規則與其日誌紀錄,並檢討執行情形。
          8. 使用者應依機關規定之方式存取網路服務。
          9. 網域名稱系統(DNS)防護
            1. 一般伺服器應關閉DNS服務,防火牆政策亦應針對DNS進行控管,關閉不需要的DNS服務存取。
            2. DNS伺服器應經常性進行弱點漏洞管理與修補、落實存取管控機制。
            3. DNS伺服器應設定指向本市教育網路中心 DNS。
            4. 內部主機位置查詢應指向機關內部DNS伺服器。
          10. 無線網路防護
            1. 機密資料原則不得透過無線網路及設備存取、處理或傳送。
            2. 無線設備應具備安全防護機制以降低阻斷式攻擊風險,且無線網路之安全防護機制應包含外來威脅及預防內部潛在干擾。
            3. 行動通訊或紅外線傳輸等無線設備原則不得攜入涉及或處理機密資料之區域。
          11. 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站,應安裝防毒軟體,並定期更新病毒碼。
        2. 資通業務權限管理
          1. 本校之資通業務應設置通行碼管理,通行碼之要求需滿足:
            1. 通行碼長度8碼以上。
            2. 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。
            3. 使用者每90天應更換一次通行碼。
          2. 使用者辦理資通業務前應經授權,並使用唯一之使用者ID,除有特殊營運或作業必要經核准並紀錄外,不得共用ID。
          3. 使用者無繼續辦理資通業務時,應立即停用或移除使用者ID,資通業務管理者應定期清查使用者之權限。
        3. 特權帳號之存取管理
          1. 資通設備之特權帳號請應經正式申請授權方能使用,特權帳號授權前應妥善審查其必要性,其授權及審查記錄應留存。
          2. 資通設備之特權帳號不得共用。
          3. 對於特權帳號,宜指派與該使用者日常公務使用之不同使用者ID。
          4. 資通設備之特權帳號應妥善管理,並應留存特殊權限帳號之使用軌跡。
          5. 資通設備之管理者每季應清查系統特權帳號並劃定特權帳號逾期之處理方式。
        4. 加密管理
          1. 本校之機密資訊於儲存或傳輸時應進行加密。
          2. 本校之加密保護措施應遵守下列規定:
            1. 應落實使用者更新加密裝置並備份金鑰。
            2. 應避免留存解密資訊。
            3. 一旦加密資訊具遭破解跡象,應立即更改之。
      • 作業與通訊安全管理
        1. 防範惡意軟體之控制措施
          1. 本校之主機及個人電腦應安裝防毒軟體,並時進行軟、硬體之必要更新或升級。
            1. 經任何形式之儲存媒體所取得之檔案,於使用前應先掃描有無惡意軟體。
            2. 電子郵件附件及下載檔案於使用前,宜於他處先掃描有無惡意軟體。
            3. 確實執行網頁惡意軟體掃描。
          2. 管理者並應每年定期針對管理之設備進行軟體清查。
          3. 使用者不得私自使用已知或有嫌疑惡意之網站。
          4. 使用者應定期進行作業系統及軟體更新,以避免惡意軟體利用系統或軟體漏洞進行攻擊。
        2. 遠距工作之安全措施
          1. 本校資通業務之操作及維護以現場操作為原則,避免使用遠距工作,如有緊急需求時,應申請並經資通安全長同意後始可開通。
          2. 資通安全推動小組應定期審查已授權之遠距工作需求是否適當。
          3. 針對遠距工作之連線應採適當之防護措施(並包含伺服器端之集中過濾機制檢查使用者之授權),並且記錄其登入情形。
            1. 提供適當通訊設備,並指定遠端存取之方式。
            2. 提供虛擬桌面存取,以防止於私有設備上處理及儲存資訊。
            3. 遠距工作終止時之存取權限撤銷,並應返還相關設備。
        3. 電子郵件安全管理
          1. 使用者使用電子郵件時應提高警覺,並使用純文字模式瀏覽,避免讀取來歷不明之郵件或含有巨集檔案之郵件。
          2. 原則不得電子郵件傳送機密性或敏感性之資料,如有業務需求者應依相關規定進行加密或其他之防護措施。
          3. 使用者不得利用機關所提供電子郵件服務從事侵害他人權益或違法之行為。
          4. 使用者應確保電子郵件傳送時之傳遞正確性。
          5. 本校應配合上級機關辦理電子郵件社交工程演練,並檢討執行情形。
        4. 確保實體與環境安全措施
          1. 通訊機房(機櫃)之管理
            1. 通訊機房(機櫃)應進行實體隔離。
            2. 機關人員或來訪人員應申請及授權後方可進入通訊機房(機櫃)1,通訊機房(機櫃)管理者並應定期檢視授權人員之名單。
            3. 人員進入管制區應配載身分識別之標示,並隨時注意身分不明或可疑人員。
            4. 僅於必要時,得准許外部支援人員進入通訊機房(機櫃)。
            5. 人員及設備進出通訊機房(機櫃)應留存記錄。
          2. 通訊機房(機櫃)之環境控制
            1. 通訊機房(機櫃)之空調、電力得建立備援措施。
            2. 通訊機房(機櫃)得安裝之安全偵測及防護措施,包括熱度及煙霧偵測設備、火災警報設備、溫濕度監控設備、漏水偵測設備、入侵者偵測系統,以減少環境不安全引發之危險。
            3. 各項安全設備應定期執行檢查、維修,並應定時針對設備之管理者進行適當之安全設備使用訓練。
          3. 辦公室區域之實體與環境安全措施
            1. 應考量採用辦公桌面的淨空政策,以減少文件及可移除式媒體等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。
            2. 文件及可移除式媒體在不使用或不上班時,應存放在櫃子內。
            3. 機密性及敏感性資訊,不使用或下班時應該上鎖。
            4. 機密資訊或處理機密資訊之資通業務應避免存放或設置於公眾可接觸之場域。
            5. 顯示存放機密資訊或具處理機密資訊之資通業務地點之通訊錄及內部人員電話簿,不宜讓未經授權者輕易取得。
            6. 資訊或資通業務相關設備,未經管理人授權,不得被帶離辦公室。
        5. 資料備份
          1. 重要資料應進行資料備份,其備份之頻率應滿足復原時間點目標之要求,並執行異地存放。
          2. 本校應每季確認重要資料備份之有效性。且測試該等資料備份時,宜於專屬之測試系統上執行,而非直接於覆寫回原資通設備。
          3. 敏感或機密性資訊之備份應加密保護。
        6. 媒體防護措施
          1. 使用隨身碟或磁片等存放資料時,具機密性、敏感性之資料應與一般資料分開儲存,不得混用並妥善保管。
          2. 資訊如以實體儲存媒體方式傳送,應留意實體儲存媒體之包裝,選擇適當人員進行傳送,並應保留傳送及簽收之記錄。
          3. 為降低媒體劣化之風險,宜於所儲存資訊因相關原因而無法讀取前,將其傳送至其他媒體。
          4. 對機密與敏感性資料之儲存媒體實施防護措施,包含機密與敏感之紙本或備份磁帶,應保存於上鎖之櫃子,且需由專人管理鑰匙。
        7. 電腦使用之安全管理
          1. 電腦、業務系統或自然人憑證,若超過十五分鐘不使用時,應立即登出或啟動螢幕保護功能並取出自然人憑證。
          2. 禁止私自安裝點對點檔案分享軟體及未經合法授權軟體。
          3. 連網電腦應隨時配合更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
          4. 筆記型電腦及實體隔離電腦應定期以人工方式更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
          5. 下班時應關閉電腦及螢幕電源。
          6. 如發現資安問題,應主動循機關之通報程序通報。
          7. 支援資訊作業的相關設施如影印機、傳真機等,應安置在適當地點,以降低未經授權之人員進入管制區的風險,及減少敏感性資訊遭破解或洩漏之機會。
        8. 行動設備之安全管理
          1. 機密資料不得由未經許可之行動設備存取、處理或傳送。
          2. 機敏會議或場所不得攜帶未經許可之行動設備進入
      • 資通安全防護設備
        1. 本校應建置防毒軟體、網路防火牆、電子郵件過濾裝置,持續使用並適時進行軟、硬體之必要更新或升級。
        2. 資安設備應定期備份日誌紀錄,定期檢視並由主管複核執行成果,並檢討執行情形。
    • 資通安全事件通報、應變及演練相關機制

為即時掌控資通安全事件,並有效降低其所造成之損害,本校應訂定資通安全事件通報、應變及演練相關機制,詳資通安全事件通報應變程序2

    • 資通安全情資之評估及因應

本校接獲資通安全情資,應評估該情資之內容,並視其對本校之影響、本校可接受之風險及本校之資源,決定最適當之因應方式,必要時得調整資通安全維護計畫之控制措施,並做成紀錄。

      • 資通安全情資之分類評估

本校接受資通安全情資後,應指定資通安全兼辦人員(系統管理師或資訊組長)進行情資分析,並依據情資之性質進行分類及評估,情資分類評估如下:

        1. 資通安全相關之訊息情資

資通安全情資之內容如包括重大威脅指標情資、資安威脅漏洞與攻擊手法情資、重大資安事件分析報告、資安相關技術或議題之經驗分享、疑似存在系統弱點或可疑程式等內容,屬資通安全相關之訊息情資。

        1. 入侵攻擊情資

資通安全情資之內容如包含特定網頁遭受攻擊且證據明確、特定網頁內容不當且證據明確、特定網頁發生個資外洩且證據明確、特定系統遭受入侵且證據明確、特定系統進行網路攻擊活動且證據明確等內容,屬入侵攻擊情資。

        1. 機敏性之情資

資通安全情資之內容如包含姓名、出生年月日、國民身份證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接識別之個人資料,或涉及個人、法人或團體營業上秘密或經營事業有關之資訊,或情資之公開或提供有侵害公務機關、個人、法人或團體之權利或其他正當利益,或涉及一般公務機密、敏感資訊或國家機密等內容,屬機敏性之情資。

        1. 涉及核心業務、核心資通系統之情資

資通安全情資之內容如包含機關內部之核心業務資訊、核心資通系統、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作等內容,屬涉及核心業務、核心資通系統之情資。

      • 資通安全情資之因應措施

本校於進行資通安全情資分類評估後,應針對情資之性質進行相應之措施,必要時得調整資通安全維護計畫之控制措施。

        1. 資通安全相關之訊息情資

由資通安全推動小組(資訊推動小組)彙整情資後進行風險評估,並依據資通安全維護計畫之控制措施採行相應之風險預防機制。

        1. 入侵攻擊情資

由資通安全兼辦人員(系統管理師或資訊組長)判斷有無立即之危險,必要時採取立即之通報應變措施,並依據資通安全維護計畫採行相應之風險防護措施,另通知各單位進行相關之預防。

        1. 機敏性之情資

就涉及個人資料、營業秘密、一般公務機密、敏感資訊或國家機密之內容,應採取遮蔽或刪除之方式排除,例如個人資料及營業秘密,應以遮蔽或刪除該特定區段或文字,或採取去識別化之方式排除之。

        1. 涉及核心業務、核心資通系統之情資

資通安全推動小組應就涉及核心業務、核心資通系統之情資評估其是否對於機關之運作產生影響,並依據資通安全維護計畫採行相應之風險管理機制。

    • 資通系統或服務委外辦理之管理

本校(目前)無委外辦理資通系統之建置、維運或資通服務之提供,若另有需求時得應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。

    • 資通安全教育訓練
      • 資通安全教育訓練要求

本校之一般使用者與主管,每人每年接受3小時以上之一般資通安全教育訓練。

      • 資通安全教育訓練辦理方式
        1. 承辦單位應於每學年年初,考量管理、業務及資訊等不同工作類別之需求,擬定資通安全認知宣導及教育訓練計畫,以建立員工資通安全認知,提升機關資通安全水準,並應保存相關之資通安全認知宣導及教育訓練紀錄7
        2. 本校資通安全認知宣導及教育訓練之內容得包含:
          1. 資通安全政策(含資通安全維護計畫之內容、管理程序、流程、要求事項及人員責任、資通安全事件通報程序等)。
          2. 資通安全法令規定。
          3. 資通安全作業內容。
          4. 資通安全技術訓練。
        3. 員工報到時,應使其充分瞭解本校資通安全相關作業規範及其重要性。
        4. 資通安全教育及訓練之政策,除適用所屬員工外,對機關外部的使用者,亦應一體適用。
    • 公務機關所屬人員辦理業務涉及資通安全事項之考核機制

本校所屬人員之平時考核或聘用,依據公務機關所屬人員資通安全事項獎懲辦法、臺北市政府及所屬各機關學校公務人員平時獎懲標準表,及臺北市立高級中等學校組織規程準則規定辦理之。

    • 資通安全維護計畫及實施情形之持續精進及績效管理機制
      • 資通安全維護計畫之實施

為落實本安全維護計畫,使本校之資通安全管理有效運作,相關單位於訂定各階文件、流程、程序或控制措施時,應與本校之資通安全政策、目標及本安全維護計畫之內容相符,並應保存相關之執行成果記錄。

      • 資通安全維護計畫實施情形之稽核機制
        1. 稽核機制之實施

配合人事室進行年度公務機密維護檢查暨資訊內部稽核,並接受上級單位進行外部稽核作業。

        1. 稽核改善報告
          1. 於稽核實施後發現有缺失或待改善項目者,應對缺失或待改善之項目研議改善措施、改善進度規劃,並落實執行。
          2. 於稽核實施後發現有缺失或待改善者,應判定其發生之原因,並評估是否有其類似之缺失或待改善之項目存在。
          3. 於判定缺失或待改善之原因後,應據此提出並執行相關之改善措施及改善進度規劃,必要時得考量對現行資通安全管理制度或相關文件進行變更。
          4. 執行改善措施時,應留存相關之執行紀錄,並填寫稽核結果及改善報告。
      1. 資通安全維護計畫之持續精進及績效管理
        1. 本校之資通安全推動小組應於每年10月底或教育部安全管理系統填報期限前召開資通安全管理審查會議,確認資通安全維護計畫之實施情形,確保其持續適切性、合宜性及有效性。
        2. 管理審查議題應包含下列討論事項:
          1. 過往管理審查議案之處理狀態。
          2. 與資通安全管理業務有關之內部及外部議題的變更,如法令變更、上級機關要求、資通安全推動小組決議事項等。
          3. 資通安全維護計畫內容之適切性。
          4. 資通安全績效之回饋,包括:
            1. 資通安全政策及目標之實施情形。
            2. 資通安全人力及資源之配置之實施情形。
            3. 資通安全防護及控制措施之實施情形。
            4. 內外部稽核結果。
            5. 不符合項目及矯正措施。
          5. 重大資通安全事件之處理及改善情形。
          6. 利害關係人之回饋。
          7. 持續改善之機會。
        3. 持續改善機制之管理審查應做成改善績效追蹤報告,相關紀錄並應予保存,以作為管理審查執行之證據。
    1. 資通安全維護計畫實施情形之提出

本校依據資通安全管理法第12條之規定,應於每年11月中向臺北市政府教育局資訊教育科,提出資通安全維護計畫實施情形13,使其得瞭解本校之年度資通安全計畫實施情形。

    • 相關法規、程序及表單
      • 相關法規及參考文件
        1. 資通安全管理法
        2. 資通安全管理法施行細則
        3. 資通安全責任等級分級辦法
        4. 資通安全事件通報及應變辦法
        5. 資通安全情資分享辦法
        6. 公務機關所屬人員資通安全事項獎懲辦法
        7. 資訊系統風險評鑑參考指引
        8. 政府資訊作業委外安全參考指引
        9. 無線網路安全參考指引
        10. 網路架構規劃參考指引
        11. 行政裝置資安防護參考指引
        12. 政府行動化安全防護規劃報告
        13. 安全軟體發展流程指引
        14. 安全軟體設計指引
        15. 安全軟體測試指引
        16. 資訊作業委外安全參考指引
        17. 本校資通安全事件通報及應變程序
      • 附件表單
        1. 資通安全推動小組成員及分工表
        2. 資通安全保密同意書
        3. 資通安全需求申請單
        4. 資訊及資通資產清冊
        5. 風險評估表
        6. 風險類型暨風險對策參考表
        7. 管制區域人員進出登記表
        8. 委外廠商執行人員保密切結書、保密同意書
        9. 委外廠商查核項目表
        10. 年度資通安全教育訓練計畫
        11. 資通安全認知宣導及教育訓練簽到表
        12. 資通安全維護計畫實施情形
        13. 資通安全稽核計畫
        14. 稽核項目紀錄表
        15. 稽核結果紀錄表
        16. 稽核委員聘任同意保密切結書
        17. 稽核結果及改善報告
        18. 改善績效追蹤報告