國立彰化師範大學電子計算機中心電腦教室資訊安全計畫
國立彰化師範大學電子計算機中心電腦教室資訊安全計畫 九十四年一月三日電子計算機中心會議通過 壹、計劃依據: 依據行政院核定之「行政院所屬各機關資訊安全管理要點」及相關規定與法規擬訂本計劃。 貳、計畫目標:強化資訊安全管理,確保電腦教室資料、系統、設備、電源供應及網路安全。 参、計畫範圍: 一、電腦教室之管理 二、工讀生人員管理之調派 三、電算中心監視系統維護 肆、權責分工 資訊系統組長:統籌規劃本組資訊安全計畫 寶山校區組員:負責本中心寶山校區本組相關業務之資訊安全計畫。 進德校區組員:負責本中心進德校區本組相關業務之資訊安全計畫。 伍、計畫評估與修正 本計劃每年定期重新評估乙次,並視需要得隨時修正之,以反映政府法令、技術及業務等最新發展狀況,確保資訊安全實務作業之有效性。 陸、系統及網路安全之管理 一、電腦病毒及惡意軟體之防範 (一)電腦病毒及惡意軟體之控制 1.採行必要的事前預防及保護措施,防治及偵測電腦病毒、特洛依木馬及邏輯炸彈等惡意軟體的侵入。 2.事前預防重於事後補救的原則,採行適當及必要的電腦病毒偵測及防範措施,促使管理人員正確認知電腦病毒的威脅,提升管理人員的資訊安全警覺,健全系統存取控制機制。 (二)建立軟體管理政策,規定使用者應遵守軟體授權規定,禁止使用未取得授權的軟體。 (三)選用信譽良好、功能健全的電腦病毒防治軟體,並依下列原則使用: 1.電腦病毒防治軟體應定期更新,並在廠商的指導下使用。 2.使用防毒軟體事前掃瞄電腦系統及資料儲存媒體,偵測有無感染電腦病毒。 3.視需要安裝可偵測軟體是否遭更改的工具軟體,並偵測執行碼是否遭變更。 4.謹慎使用可掃除電腦病毒及回復系統功能的解毒軟體;使用前充分瞭解電腦病毒的特性,以及確定解毒軟體的功能。 5.定期檢查軟體及檢查重要的系統資料內容,如發現有偽造的檔案或是未經授權的修正事項,立即調查,並找出原因。 6.對來路不明及內容不確定的磁片,在使用前詳加檢查是否感染電腦病毒。 7.建立防治電腦病毒攻擊及回復作業的管理程序,並訂定相關人員的責任。 8.為使電腦病毒影響機關正常運作之程度降至最低,建立妥適的業務永續運作計畫,將必要的資料及軟體加以備份。 二、日常作業之安全管理 (一)進出人員身份認確 1.需進入電腦教室,必需先予確認身份,確認無誤方可進入,並作相關資料記錄,由專人負責保管記錄表,以便日後查閱。 2.非上班時間,只允許登記在電算中心人員進出,並配合使用刷卡系統。 3.維護廠商需配帶識別證、或穿著該公司的制服,始可進入維護且需遵守本校電算中心所頒定「電腦教室管理準則」。 (二)攝影機即時監控 在重要的入口、偏僻角落及在電腦教室內,均裝設數位攝影機,於系統主機可保留一星期之內錄影畫面,若有突發狀況時,供可相關單位調閱。 三、電腦媒體與資料文件之安全管理 (一)電腦媒體之安全管理 1.可隨時攜帶及移動的電腦媒體(如磁帶、磁碟及電腦輸出報告等媒體),要帶離辦公場所時,需經授權始得為之,並予使用紀錄,以備日後稽核。 2.避免使用有明顯用途標示的資料儲存系統;電腦媒體儲存的資料內容,不在媒體外部以明顯方式標示,防止被輕易地辨識。 3.可重複使用的資料儲存媒體,不再繼續使用時,儲存的內容將全部消除。 4.儲存媒體,依照製造廠商提供的保存規格,存放在安全的環境。 5.重要儲存媒體實體做異地存放。 6.不再使用之重要媒體,給予銷毀。 (二)系統文件之安全 1.系統流程、作業流程、資料結構及授權程序等系統文件,由系統負責人負責管理,以防止不當利用。 2.系統文件的安全保護措施如下: (1)鎖在安全的儲櫃或其他安全場所。 (2)發送對象應以最低必要的人員為限,且應經文件管理者之授權。 (3)電腦產製的文件,與其他應用檔案分開存放,且建立適當的存取保護措施。 四、電腦系統實體管理 (一)系統更新 主機系統定期維護更新,並定期實施必要之系統檢測,以利系統正常運作並防止外人入侵。 (二)套裝軟體之變更 套裝軟體,應儘可能不要變更或修改,如因特殊需要須修改,則以考量以下的事項: 1.是否會破壞系統內建的安全控制,以及危害鑑別系統真確性作業的風險。 2.取得套裝軟體開發廠商的同意。 3.考量以標準化的系統更新方式,請廠商進行必要的變更。 4.考量如自行變更套裝軟體,日後進行軟體維護的可能性。 5.裝軟體如須變更,保留原始的軟體,並將變更的資料予以記錄,以備日後軟體再更新之用。 五、環境安全管理 (一)軟硬體設備擺設場所及電腦教室,符合基本之環境安全需求,並隨時配合校方進行消防、國安等演習,以符合現實之需要。 (二)電腦教室設備安置地點之保護 1.電算中心教學用之電腦,置放於電腦教室,並設置身份確認窗口,非本校教職員工生,未經許可不得善用電腦教室之電腦。 2.電算中心教學用之電腦,安置遵循的原則如下: (1)需要特別保護的設備,考量與一般的設備區隔,安置在獨立的區域。 (2)檢查及評估火災、煙、水、灰塵、震動、化學效應、電力供應、電磁幅射等可能的風險。 (3)電腦作業區,禁止抽煙及飲用食物。 (4)在特定的作業環境下,考慮使用防塵套、鍵盤保護膜等,以利保護電腦。 (5)除考量同一樓層地板可能導致的的危險外,亦考量鄰近建築樓層地板可能導致的危險。 六、設備安全管理 (一)定期進行財產設備之查核,善盡財管管理人及使用人之良善管理責任,配合門禁管理防止設備財產遭受損失。 (二)電腦設備維護 1.電算中心教學用之電腦,由專職清潔人員負責電腦外表之清理,隨時保持整潔。 2.共用之電腦設備(如伺服器、電腦網路等),由本組接洽合格之專業廠商,依法簽訂相關維護合約,定期實施保養,妥善地維護設備,以確保設備的完整性及可以持續使用。 3.設備維護的原則如下 (1)依據廠商建議的維修服務期限及說明,進行設備維護。 (2)設備的維護只能由授權的維護人員執行。 (3)將所有的錯誤或是懷疑的錯誤,予以明確記載。 (4)廠商執行本部電腦設備維護時,須有相關系統負責人員陪同在場。 (5)本校電算中心與廠商所簽訂電腦作業相關維護合約,均應將保密條款列入。 (三)電源供應 1.電腦教室專用之電源插座,不得使用於電腦以外之設備,以免耗用電腦不斷電電源,造成跳電當機,影響電腦正常作業。 2.謹慎使用電源延長線,預防電力無法負荷導致火災等危害安全之情事。 3.每間教室配置滅火器,以防意外發生時之需,定時間做滅火器測試,以利滅火器即時發揮效用。 七、人員進出管制 (一)人員進出時皆須以本中心規定進行查核,並隨時與校警隊保持聯繫以防突發狀況發生。 (二)非上班時間,只允許登記在電算中心人員進出,配合刷卡認證辨識系統。 八、財產移轉之安全管理 (一)電腦、資料或軟體之移轉,均應列帳管理。 (二)電腦、資料或軟體,在沒有管理人員書面授權的情形下,嚴禁攜出辦公室。 (三)相關財產移轉時需確實點交,並盡好善良保管人之責任。
柒、系統備份、資料備份及異地儲存 一、系統備份, 軟體以專人負責保管並保存,電腦教室之個人電腦裝置系統還原卡,於固定期限內電腦自動將還原最初設定。 二、資料備份 各電腦裝置系統還原卡外,另準備一台與教學電腦資料相同之電腦存放,以防止硬體發生故障,導致資料毀損。 三、異地儲存 教室之系統均留存一備份以備不時之需,本組相關機密文件視情況得備份之,並與教室分開擺置以降低風險。 捌、緊急事故通報機制 一、資訊安全事件之通報 (一)建立資訊安全事件的正式通報程序及管道,訂定通報之後應採行之行動及措施。 (二)如發現或懷疑有資訊安全事件時(包括系統有安全漏洞、受威脅、系統弱點及功能不正常事件等),依事前訂定的通報管道,迅速通報權責主管單位及人員立即處理。 (三)與本校電算中心簽訂資訊安全協定的外部人員,明確告知各種資訊安全事件的反應及報告程序,使其瞭解相關的處理程序。 二、資訊安全弱點之反應 (一)工作人員應隨時注意資訊系統或資訊服務施設內部之安全弱點、可能面臨的威脅,並迅速告知直屬業務主管或是系統服務廠商。 (二)系統安全上的弱點,應由專業人員處理,不應任由系統使用者自行修改。 三、軟體功能不正常之反應 (一)建立使用者發現軟體功能有異常時,迅速告知電算中心現場人員處理。 (二)軟體功能不正常之反應及處理程序: 1.注意螢幕上出現的徵兆或訊息。 2.立即停止使用電腦,並迅速告知電算中心現場人員處理。 3.檢視軟體功能不正常的設備,再次啟動前,以離線方式處理。 四、在任何狀況下,使用者不應自行移除功能不正常的軟體;系統回復作業應由電算中心現場人員負責處理。 玖、緊急應變計畫: 一、相關系統及資料需在第一時間內以先前之備份回存。 二、設法找出資安事件發生之原因及來源。 三、須即時往上通報。 壹拾、備援計畫: 重要系統平時除須備份外,另需準備一備用系統,以便於資安事件發生時能將系統停擺時間降至最低。 壹拾壹:回復計畫: 一、重要系統需定期建立備份。 二、定期演練備份回存事宜。 三、演練時須擬定不同狀況以應付不同之突發狀況。 瀏覽數
|