高雄市苓雅區五權國小- 資訊安全稽核- 資通安全維護計畫

2024-09-22

文章推薦指數： 80 %

投票人數：10人

為推動本校之資通安全相關政策、落實資通安全事件通報及相關應變處理，由資通安全長召集各處室主任與相關業務組長、教師成立資通安全推動小組，其任務包括：. 學校網站主要頁框內容 ::: 網站導覽高雄市苓雅區五權國小 ::: 首頁 ::: 資訊安全稽核-資通安全維護計畫壹、    依據及目的本計畫依據下列法規訂定：一、資通安全管理法第10條及其施行細則第6條。

二、國民教育法。

三、國民教育法施行細則。

四、其他相關業務法規名稱。

壹、    適用範圍本計畫適用範圍涵蓋高雄市苓雅區五權國民小學（以下簡稱本校）。

貳、    核心業務及重要性一、核心業務及重要性：本校核心業務依國民教育法第1條規定：以養成德、智、體、群、美五育均衡發展之健全國民為宗旨，屬國民教育範疇。

因此，本校之核心業務及重要性如下表：核心業務核心資通系統重要性說明業務失效影響說明最大可容忍中斷時間教務業務：課程編排、學籍管理、成績評量、教學評鑑，並與輔導單位配合實施教育輔導等事項校務管理系統(向上集中) 為本校依組織法執掌，足認為重要者。

可能使本校部分業務中斷由上級管理單位訂之教務業務：課程發展、教學實施、教學設備、教具圖書資料供應、教學研究無為本校依組織法執掌，足認為重要者。

無無學生事務：體育衛生保健、生活管理，並與輔導單位配合實施生活輔導等事項。

校務管理系統(向上集中) 為本校依組織法執掌，足認為重要者。

可能使本校部分業務中斷由上級管理單位訂之學生事務：公民教育、道德教育、生活教育、學生團體活動無為本校依組織法執掌，足認為重要者。

無無輔導業務：學生資料蒐集與分析、學生智力、性向、人格等測驗之實施，學生興趣、學習成就與志願之調查、輔導諮商之進行，並辦理特殊教育及親職教育等事項。

校務管理系統(向上集中) 為本校依組織法執掌，足認為重要者。

可能使本校部分業務中斷由上級管理單位訂之各欄位定義：核心業務：請參考資通安全管理法施行細則第7條1之規定。

核心資通系統：請列出支持核心業務運作必要之系統。

重要性說明：說明該業務對機關之重要性，例如對機關財務及信譽上影響，對民眾影響，對社會經濟影響，對其他業務運作影響，法遵循性影響或其他重要性之說明。

業務失效影響說明：該項業務使用之系統失效後，機關業務運作有何影響。

最大可容忍中斷時間單位以小時計。

一、非核心業務及說明：本校依國民教育法第10條與國民教育法施行細則第14條規定設置行政組織與其他相關之非核心業務及說明如下表：非核心業務業務失效影響說明最大可容忍中斷時間教務業務：網路通訊、課程發展、課程編排、各類競賽、獎助學金申請、圖書資料供應等。

可能使本校部分業務中斷由上級管理單位訂之學生事務：社團管理、災害告警、運動場館管理等。

可能使本校部分業務中斷由上級管理單位訂之總務業務：學校文書、人事管理、公共工程招標管理、事務及出納等事項。

可能使本校部分業務中斷由上級管理單位訂之輔導業務：輔導成果填報、就業輔導、技職發展等。

可能使本校部分業務中斷由上級管理單位訂之人事單位：人事管理、差勤管理、公勞健保等。

可能使本校部分業務中斷由上級管理單位訂之主計單位：歲計、會計、支付及統計等事項。

可能使本校部分業務中斷由上級管理單位訂之非核心業務：公務機關之非核心業務至少應包含輔助單位之業務名稱，如差勤服務、郵件服務、用戶端服務等。

(請依機關實際情形列出) 業務失效影響說明：說明該業務失效時之影響。

最大可容忍中斷時間單位以小時計。

壹、    資通安全政策及目標一、資通安全政策為使本校業務順利運作，防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，並確保其機密性（Confidentiality）、完整性（Integrity）及可用性（Availability），特制訂本政策如下，以供全體同仁共同遵循：應建立資通安全風險管理機制，定期因應內外在資通安全情勢變化，檢討資通安全風險管理之有效性。

應保護機敏資訊之機密性與完整性，避免未經授權的存取與竄改。

應因應資通安全威脅情勢變化，辦理資通安全教育訓練，以提高本校同仁之資通安全意識，本校同仁亦應確實參與訓練。

針對辦理資通安全業務有功人員應進行獎勵。

勿開啟來路不明或無法明確辨識寄件人之電子郵件。

禁止多人共用單一系統帳號。

落實資通安全通報機制。

核心資通系統可用性達99.99%以上。

(中斷時數/總運作時數≦0.1%)(可參考：確保本校關鍵性業務系統資訊機房維運服務達全年上班時間96.9%以上之可用性，並確保：因資通安全事件、異常事件、其他安全事故造成系統、主機異常而中斷營運服務之情事，每年不得超過8次。

因資通安全事件、異常事件、其他安全事故造成系統、主機異常而中斷營運服務之情事，每次最長不得超過8工作小時。

) 知悉資安事件發生，能於規定的時間完成通報、應變及復原作業。

年度資安通報演練，能於規定時間內完成整備、通報演練及應變演練作業。

適時因應法令與技術之變動，調整資通安全維護之內容，以避免資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以確保其機密性、完整性及可用性。

達成資通安全責任等級分級之要求，並降低遭受資通安全風險之威脅。

提升人員資安防護意識，有效預防資安事件發生。

二、資通安全目標 (一)量化型目標 (二)質化型目標：三、資通安全政策及目標之核定程序資通安全政策由本校教務處、資訊組簽陳資通安全長核定。

四、資通安全政策及目標之宣導本校之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式，向機關內所有人員進行宣導。

本校應每年向利害關係人(例如家長、志工、IT服務供應商、與機關連線作業有關單位等)進行資安政策及目標宣導。

五、資通安全政策及目標定期檢討程序資通安全政策及目標應定期於資通安全推動小組會議中檢討其適切性。

貳、    資通安全推動組織一、資通安全長依本法第11條之規定，本校訂定校長為資通安全長，負責督導機關資通安全相關事項，其任務包括：資通安全管理政策及目標之核定、核轉及督導。

資通安全責任之分配及協調。

資通安全資源分配。

資通安全防護措施之監督。

資通安全事件之檢討及監督。

資通安全相關規章與程序、制度文件核定。

資通安全管理年度工作計畫之核定資通安全相關工作事項督導及績效管理。

其他資通安全事項之核定。

二、資通安全推動組織 (一)組織為推動本校之資通安全相關政策、落實資通安全事件通報及相關應變處理，由資通安全長召集各處室主任與相關業務組長、教師成立資通安全推動小組，其任務包括：跨部門資通安全事項權責分工之協調。

應採用之資通安全技術、方法及程序之協調研議。

整體資通安全措施之協調研議。

資通安全計畫之協調研議。

其他重要資通安全事項之協調研議。

(二)分工及職掌本校之資通安全推動小組，依資通安全長之指示負責下列事項，本校資通安全推動小組分組人員名單及職掌應列冊，並適時更新之：資通安全政策及目標之研議。

訂定機關資通安全相關規章與程序、制度文件，並確保相關規章與程序、制度合乎法令及契約之要求。

依據資通安全目標擬定機關年度工作計畫。

傳達機關資通安全政策與目標。

資通安全技術之研究、建置及評估相關事項。

資通安全相關規章與程序、制度之執行。

資訊資產之盤點及風險評估。

資料之安全防護事項之執行。

資通安全事件之通報及應變機制之執行。

辦理資通安全內部稽核(填報「教育部全國國中小學資訊安全管理系統」)。

每年定期於召開資通安全管理審查會議，提報資通安全事項執行情形。

其他資通安全事項之規劃、辦理與推動。

壹、    專職(責)人力及經費配置一、專職(責)人力及資源之配置本校依資通安全責任等級分級辦法之規定，屬資通安全責任等級D級，設置一名正式人員兼辦資通安全業務，進行下列事項： (1)   資通安全認知與訓練業務，負責推動資通安全教育訓練等業務之推動。

(2)   資通安全防護業務，資通安全防護設施建置及資通安全事件通報及應變業務之推動。

(3)   資通安全管理法法遵事項業務，負責本校對所屬公務機關或所管特定非公務機關之法遵義務執行事宜。

本校之承辦單位於辦理資通安全業務時，如資通安全人力或經驗不足，得洽請相關學者專家或專業機關（構）提供顧問諮詢服務。

本校負責重要資通系統之管理、維護、設計及操作之人員，應妥適分工，分散權責，若負有機密維護責任者，應簽屬書面約定(資通安全保密同意書)，並視需要實施人員輪調，建立人力備援制度。

本校之首長及各級業務主管人員，應負責督導所屬人員之資通安全作業，防範不法及不當行為。

專業人力資源之配置情形應每年定期檢討，並納入資通安全維護計畫持續改善機制之管理審查。

應考量本校之資通安全政策及目標，並提供建立、實行、維持及持續改善資通安全維護計畫所需之資源。

各處室於規劃建置資通系統建置時，應一併規劃資通系統之資安防護需求，並於整體預算中合理分配資通安全預算所佔之比例。

各處室如有資通安全資源之需求，應配合機關預算規劃期程向資通安全推動小組提出，由資通安全推動小組視整體資通安全資源進行分配，並經資通安全長核定後，進行相關之建置。

資通安全經費、資源之配置情形應每年定期檢討，並納入資通安全維護計畫持續改善機制之管理審查。

本校每年辦理資訊及資通系統資產盤點，依管理責任指定對應之資產管理人，並依資產屬性進行分類，分別為資訊資產、軟體資產、實體資產、支援服務資產等。

資訊及資通系統資產項目如下：二、經費之配置貳、    資訊及資通系統之盤點一、資訊及資通系統盤點 (1)   資訊資產：以數位等形式儲存之資訊，如資料檔案、系統文件、操作手冊、訓練教材、研究報告、作業程序、稽核紀錄及歸檔之資訊等。

(2)   軟體資產：應用軟體、系統軟體、開發工具、套裝軟體及電腦作業系統等。

(3)   實體資產：電腦及通訊設備、可攜式設備相關之設備等。

(4)   支援服務資產：相關基礎設施級其他機關內部之支援服務，如電力、消防等。

本校每年度應依資訊及資通系統盤點結果，製作「資訊及資通系統資產清冊」，欄位應包含：資訊及資通系統名稱、資產名稱、資產類別、擁有者、管理者、使用者、存放位置、防護需求等級。

資訊及資通系統資產應以標籤標示於設備明顯處，並載明財產編號、保管人、廠牌、型號等資訊。

各單位管理之資訊或資通系統如有異動，應即時通知資通安全推動小組更新資產清冊。

二、機關資通安全責任等級分級依據教育部臺教資(四)字第1080063464號函文，本校為公立高級中等以下學校，且配合資訊資源向上集中計畫，資訊系統均由上級或監督機關兼辦或代管，其資通安全責任等級為D級。

參、    資通安全風險評估一、資通安全風險評估本校應每年針對資訊及資通系統資產進行風險評估，若配合資訊資源向上集中計畫，資訊系統均由上級或監督機關兼辦或代管，則不需進行。

執行風險評估時應參考行政院國家資通安全會報頒布之最新「資訊系統風險評鑑參考指引」，並依其中之｢詳細風險評鑑方法｣進行風險評估之工作。

本校應每年依據資通安全責任等級分級辦法之規定，分別就機密性、完整性、可用性、法律遵循性等構面評估自行或委外開發之資通系統防護需求分級。

二、核心資通系統及最大可容忍中斷時間本校配合資訊資源向上集中計畫，核心資訊系統均由上級或監督機關兼辦或代管，不再另行訂定。

肆、    資通安全防護及控制措施本校依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項及資通系統之防護基準，採行相關之防護及控制措施如下: 一、資訊及資通系統之管理 (一)資訊及資通系統之保管資訊及資通系統管理人應確保資訊及資通系統已盤點造冊並適切分級，並持續更新以確保其正確性。

資訊及資通系統管理人應確保資訊及資通系統被妥善的保存或備份。

資訊及資通系統管理人應確保重要之資訊及資通系統已採取適當之存取控制政策。

本校同仁使用資訊及資通系統前應經其管理人授權。

本校同仁使用資訊及資通系統時，應留意其資通安全要求事項，並負對應之責任。

本校同仁使用資訊及資通系統後，應依規定之程序歸還。

資訊類資訊之歸還應確保相關資訊已正確移轉，並安全地自原設備上抺除。

非本校同仁使用本校之資訊及資通系統，應確實遵守本校之相關資通安全要求，且未經授權不得任意複製資訊。

對於資訊及資通系統，宜識別並以文件記錄及實作可被接受使用之規則。

資訊及資通系統之刪除或汰除前應評估機關是否已無需使用該等資訊及資通系統，或該等資訊及資通系統是否已妥善移轉或備份。

資訊及資通系統之刪除或汰除時宜加以清查，以確保所有機敏性資訊及具使用授權軟體已被移除或安全覆寫。

具機敏性之資訊或具授權軟體之資通系統，宜採取實體銷毀，或以毀損、刪除或覆寫之技術，使原始資訊無法被讀取，並避免僅使用標準刪除或格式化功能。

本校之網路區域劃分如下： (二)資訊及資通系統之使用 (三)資訊及資通系統之刪除或汰除二、存取控制與加密機制管理 (一)網路安全控管 (1)   外部網路：對外網路區域，連接外部廣網路(WideAreaNetwork,WAN)。

(2)   內部區域網路(LocalAreaNetwork,LAN)：機關內部單位人員使用與通訊機房之網路區段。

外部網路及內部區域網路間連線需經防火牆進行存取控制，非允許的服務與來源不能進入其他區域。

本校應定期檢視防火牆政策是否適當，並適時進行防火牆軟、硬體之必要更新或升級。

若為向上集中管理，則由上級單位辦理更新與升級。

對於通過防火牆之來源端主機IP位址、目的端主機IP位址、來源通訊埠編號、目的地通訊埠編號、通訊協定、登入登出時間、存取時間以及採取的行動，均應予確實記錄。

若為教育局統一配發或集中管理者，所有記錄均儲存於「資安資訊」平台中。

本校內部區域網路應做合理之區隔，使用者應經授權後在授權之範圍內存取網路資源。

對網路系統管理人員或資通安全主管人員的操作，均應建立詳細的紀錄。

並應定期檢視網路安全相關設備設定規則與其日誌紀錄，並檢討執行情形。

使用者應依規定之方式存取網路服務，不得於辦公室內私裝電腦及網路通訊等相關設備。

使用者不得私自另行架設有線或無線網路進行公務連線存取。

網域名稱系統(DNS)防護： (1)   本校係使用資訊教育中心建置DNS代管服務。

(2)   防火牆政策針對DNS進行控管，關閉不需要的DNS服務存取。

(3)   本校內部電腦DNS查詢應指向校內CacheDNS或資教中心使用者端專用DNS。

無線網路防護 (1)   機密資料原則不得透過無線網路及設備存取、處理或傳送。

(2)   無線設備應具備安全防護機制以降低阻斷式攻擊風險，且無線網路之安全防護機制應包含外來威脅及預防內部潛在干擾。

(3)   行動通訊或紅外線傳輸等無線設備原則不得攜入涉及或處理機密資料之區域。

(4)   用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站，應安裝防毒軟體，並定期更新病毒碼。

(二)資通系統權限管理資通系統應設置通行碼管理，通行碼之要求需滿足： (1)   通行碼長度8碼以上。

(2)   通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。

(3)   通行碼如係由系統或相關承辦人員預設，應告知使用者於首次使用系統時變更通行碼，或由系統強制執行。

(4)   使用者每90天應更換一次通行碼。

(5)   如為特定系統因功能限制，通行碼設定與更改作業無法完全符合前項要求，得經核准後，調整該系統之通行碼設定要求或密碼變更頻率。

使用者使用資通系統前應經授權，並使用唯一之使用者ID，除有特殊營運或作業必要經核准並紀錄外，不得共用ID。

使用者無繼續使用資通系統時，應立即停用或移除使用者ID，資通系統管理者應定期清查使用者之權限。

使用者之通行碼應妥善保管，避免他人知悉。

應取消資通系統、瀏覽器等之密碼自動記憶功能，避免密碼遭截取或竊用。

資通系統之特權帳號請應經正式申請授權方能使用，特權帳號授權前應妥善審查其必要性，其授權及審查記錄應留存。

資通系統之特權帳號不得共用。

對於特權帳號，宜指派與該使用者日常公務使用之不同使用者ID。

資通系統之特權帳號應妥善管理，並應留存特殊權限帳號之使用軌跡。

資通系統之管理者每季應清查系統特權帳號並劃定特權帳號逾期之處理方式。

本校之機密資訊於儲存或傳輸時應進行加密。

本校之加密保護措施應遵守下列規定： (三)使用者責任 (四)特權帳號之存取管理 (五)加密管理 (1)   應落實使用者更新加密裝置並備份金鑰。

(2)   應避免留存解密資訊。

(3)   一旦加密資訊具遭破解跡象，應立即更改之。

(4)   透過網際網路對外提供服務之網站或應用系統，應採用未被破解之公開演算法進行加密傳輸，例如TLS1.2或IPSEC。

(六)作業系統存取控制調整主機或個人電腦安全性設定，以滿足使用者存取管理需求。

依各資料夾(目錄)之用途，設定適當使用權限。

應關閉所有網路資源分享服務，如因業務需求須使用網路資源分享服務，須經權責主管同意。

啟用稽核原則(如：登入失敗之稽核)，保留相關稽核紀錄。

主機或個人電腦之作業系統，應啟動本機防火牆，並以最小且必要之原則開放連線存取服務。

登入主機或個人電腦之作業系統，若超過時限無任何動作時，須設定將使用者ID鎖定或登出。

除因業務需求且無其他替代方案外，不得採購及使用主管機關核定之廠商生產、研發、製造或提供之危害國家資通安全產品。

必須採購或使用危害國家資通安全產品時，應具體敘明理由，經主管機關核可後，以專案方式購置。

於資通安全責任等級分級辦法修正實施前已使用或因業務需求且無其他替代方案經主管機關核可採購之危害國家資通安全產品，應列冊管理，且不得與公務(業務)網路環境介接。

本校之主機及個人電腦應安裝防毒軟體，並時進行軟、硬體之必要更新或升級。

(七)限制使用危害國家資通安全產品 (依據高雄市政府108年8月30日高市府研資字第10804782800號函、行政院108年8月26日院臺護字第1080184606B號函、高雄市政府教育局108年9月5日高市教資字第1086066900號函來文新增) 三、作業與通訊安全管理 (一)防範惡意軟體之控制措施 (1)   防毒軟體應設定為自動更新，啟動即時防範機制，並定期執行完整掃描作業。

(2)   經任何形式之儲存媒體所取得之檔案，於使用前應先掃描有無惡意軟體。

(3)   電子郵件附件及下載檔案於使用前，宜於他處先掃描有無惡意軟體。

(4)   確實執行網頁惡意軟體掃描。

使用者未經同意不得私自安裝應用軟體，管理者並應每年定期針對管理之設備進行軟體清查。

使用者不得私自使用已知或有嫌疑惡意之網站。

設備管理及使用者應定期進行作業系統及軟體更新，以避免惡意軟體利用系統或軟體漏洞進行攻擊。

本校資通系統之操作及維護以現場操作為原則，避免使用遠距工作，如有緊急需求時，應申請並經資通安全推動小組同意後始可開通。

資通安全推動小組應定期審查已授權之遠距工作需求是否適當。

針對遠距工作之連線應採適當之防護措施： (二)遠距工作之安全措施 (1)   以提供遠端桌面或虛擬桌面存取為原則，以防止於私有設備上處理及儲存資訊。

(2)   外部網路(ExternalNetwork)對本校資通系統之遠距工作防火牆連線期限以不超過15天為原則。

(3)   應明確指定來源IP位址、目的IP位址、目的通訊埠及協定等選項，避免任一選項設定全部(Any)。

(三)電子郵件安全管理本校人員到職後應經申請方可使用電子郵件帳號，並應於人員離職後刪除電子郵件帳號之使用。

電子郵件系統管理人應定期進行電子郵件帳號清查。

電子郵件伺服器應設置防毒及過濾機制，並適時進行軟硬體之必要更新，若為向上集中管理，則由上級單位統一辦理。

使用者使用電子郵件時應提高警覺，並使用純文字模式瀏覽，避免讀取來歷不明之郵件或含有巨集檔案之郵件。

原則上，不得透過電子郵件傳送機密性或敏感性之資料，如有業務需求者應依相關規定進行加密或其他之防護措施。

使用者不得利用機關所提供電子郵件服務從事侵害他人權益或違法之行為。

使用者應確保電子郵件傳送時之傳遞正確性。

使用者使用電子郵件時，應注意電子簽章之要求事項。

配合上級機關舉辦電子郵件社交工程演練，並檢討執行情形。

通訊機房之門禁管理 (四)確保實體與環境安全措施 (1)   通訊機房應進行實體隔離。

(2)   機關人員或來訪人員應申請及授權後方可進入通訊機房，通訊機房管理者並應定期檢視授權人員之名單。

(3)   應先進行身分識別，並隨時注意身分不明或可疑人員。

(4)   僅於必要時，得准許外部支援人員進入通訊機房。

(5)   人員及設備進出通訊機房應留存記錄。

通訊機房之環境控制 (1)   通訊機房之電力應建立備援措施。

(2)   通訊機房應有適當的溫溼度管控措施：機房內應有溫濕度顯示裝置，以觀察實際之溫濕度情況。

(3)   通訊機房應安裝之安全偵測及防護措施，包括熱度及煙霧偵測設備、火災警報設備、溫濕度監控設備、入侵者偵測系統，以減少環境不安全引發之危險。

(4)   各項安全設備應定期執行檢查、維修，並應定時針對設備之管理者進行適當之安全設備使用訓練。

辦公室區域之實體與環境安全措施 (1)   應考量採用辦公桌面的淨空政策，以減少文件及可移除式媒體等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。

(2)   文件及可移除式媒體在不使用時，應存放在櫃子內。

(3)   機密性及敏感性資訊，不使用時應該上鎖。

(4)   機密資訊或處理機密資訊之資通系統應避免存放或設置於公眾可接觸之場域。

(5)   顯示存放機密資訊或具處理機密資訊之資通系統地點之通訊錄及內部人員電話簿，不宜讓未經授權者輕易取得。

(6)    資訊或資通系統相關設備，未經管理人授權，不得被帶離辦公室。

(五)資料備份重要資料及資通系統應進行資料備份，其備份之頻率應滿足復原時間點目標之要求，並執行異地存放。

本校應每年確認資通系統資料備份之有效性。

敏感或機密性資訊之備份應加密保護。

使用隨身碟或磁片等存放資料時，具機密性、敏感性之資料應與一般資料分開儲存，不得混用並妥善保管。

資訊如以實體儲存媒體方式傳送，應留意實體儲存媒體之包裝，選擇適當人員進行傳送，並應保留傳送及簽收之記錄。

為降低媒體劣化之風險，宜於所儲存資訊因相關原因而無法讀取前，將其傳送至其他媒體。

對機密與敏感性資料之儲存媒體實施防護措施，包含機密與敏感之紙本，應保存於上鎖之櫃子，且需由專人管理鑰匙。

電腦、業務系統或自然人憑證，若超過十五分鐘不使用時，應立即登出或啟動螢幕保護功能並取出自然人憑證。

禁止私自安裝點對點檔案分享(P2P)軟體及未經合法授權軟體。

實體隔離電腦應定期以人工方式更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。

下班時應關閉電腦及螢幕電源。

如發現資安問題，應主動循本校通報程序進行通報。

支援資訊作業的相關設施如影印機、傳真機等，應安置在適當地點，以降低未經授權之人員進入管制區的風險，及減少敏感性資訊遭破解或洩漏之機會。

機密資料不得由未經許可之行動設備存取、處理或傳送。

機敏會議或場所不得攜帶未經許可之行動設備進入使用即時通訊軟體傳遞機關內部公務訊息，其內容不得涉及機密資料。

但有業務需求者，應使用經專責機關鑑定相符機密等級保密機制或指定之軟、硬體，並依相關規定辦理。

使用於傳遞公務訊息之即時通訊軟體宜考量下列安全性需求： (六)媒體防護措施 (七)電腦使用之安全管理 (八)行動設備之安全管理 (九)即時通訊軟體之安全管理 (1)   用戶端應有身分識別及認證機制。

(2)   訊息於傳輸過程應有安全加密機制。

(3)   應通過經濟部工業局訂定行動化應用軟體之中級檢測項目。

(4)   伺服器端之主機設備及通訊紀錄應置於我國境內。

(5)   伺服器通訊紀錄(log)應至少保存六個月。

四、系統獲取、開發及維護本校之資通系統依「資通安全責任等級分級辦法」附表九之規定完成系統防護需求分級，依分級之結果為D級，未維運自行或委外開發之資通系統，故不再另行訂定。

五、業務持續運作演練本校為D級機關，無需針對核心資通系統制定業務持續運作計畫與演練。

六、執行資通安全健診本校為D級機關，無需執行資通安全健診。

七、資通安全防護設備本校應建置防毒軟體、防火牆，如有設置電子郵件伺服器應建立電子郵件過濾裝置，持續使用並適時進行軟、硬體之必要更新或升級。

電子郵件伺服器若為向上集中管理，則由上級單位統一辦理更新與升級。

資安設備應定期備份日誌紀錄，定期檢視並由主管複核執行成果，並檢討執行情形。

若為向上集中管理，則由上級單位統一辦理。

伍、    資通安全事件通報、應變及演練相關機制為即時掌控資通安全事件，並有效降低其所造成之損害，本校應遵循資通安全事件通報、應變及演練相關機制，詳細狀況請參閱「學校資通安全事件通報及應變管理程序」。

壹、    資通安全情資之評估及因應本校接獲臺灣學術網路資安監控系統(北區SOC、南區SOC、Mini-SOC、TACERT)之資通安全情資，應評估該情資之內容，並視其對本校之影響、本校可接受之風險及本校之資源，決定最適當之因應方式，必要時得調整資通安全維護計畫之控制措施，並做成紀錄。

一、資通安全情資之分類評估本校接受資通安全情資後，應進行情資分析，並依據情資之性質進行分類及評估，情資分類評估如下： (一)資通安全相關之訊息情資資通安全情資之內容如包括重大威脅指標情資、資安威脅漏洞與攻擊手法情資、重大資安事件分析報告、資安相關技術或議題之經驗分享、疑似存在系統弱點或可疑程式等內容，屬資通安全相關之訊息情資。

(二)入侵攻擊情資資通安全情資之內容如包含特定網頁遭受攻擊且證據明確、特定網頁內容不當且證據明確、特定網頁發生個資外洩且證據明確、特定系統遭受入侵且證據明確、特定系統進行網路攻擊活動且證據明確等內容，屬入侵攻擊情資。

(三)機敏性之情資資通安全情資之內容如包含姓名、出生年月日、國民身份證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接識別之個人資料，或涉及個人、法人或團體營業上秘密或經營事業有關之資訊，或情資之公開或提供有侵害公務機關、個人、法人或團體之權利或其他正當利益，或涉及一般公務機密、敏感資訊或國家機密等內容，屬機敏性之情資。

(四)涉及核心業務、核心資通系統之情資資通安全情資之內容如包含學校內部之核心業務資訊、核心資通系統、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作等內容，屬涉及核心業務、核心資通系統之情資。

二、資通安全情資之因應措施本校於進行資通安全情資分類評估後，應針對情資之性質進行相應之措施，必要時得調整資通安全維護計畫之控制措施。

(一)資通安全相關之訊息情資由資通安全推動小組彙整情資後進行風險評估，並依據資通安全維護計畫之控制措施採行相應之風險預防機制。

(二)入侵攻擊情資由資通安全專責(兼職)人員判斷有無立即之危險，必要時採取立即之通報應變措施，並依據資通安全維護計畫採行相應之風險防護措施，另通知各單位進行相關之預防。

(三)機敏性之情資就涉及個人資料、營業秘密、一般公務機密、敏感資訊或國家機密之內容，應採取遮蔽或刪除之方式排除，例如個人資料及營業秘密，應以遮蔽或刪除該特定區段或文字，或採取去識別化之方式排除之。

(四)涉及核心業務、核心資通系統之情資資通安全推動小組應就涉及核心業務、核心資通系統之情資評估其是否對於機關之運作產生影響，並依據資通安全維護計畫採行相應之風險管理機制。

貳、    資通系統或服務委外辦理之管理本校委外辦理資通系統之建置、維運或資通服務之提供時，應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求，選任適當之受託者，並監督其資通安全維護情形。

一、選任受託者應注意事項受託者辦理受託業務之相關程序及環境，應具備完善之資通安全管理措施或通過第三方驗證。

受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。

受託者辦理受託業務得否複委託、得複委託之範圍與對象，及複委託之受託者應具備之資通安全維護措施。

受託業務包括客製化資通系統開發者，受託者應提供該資通系統之第三方安全性檢測證明；涉及利用非自行開發之系統或資源者，並應標示非自行開發之內容與其來源及提供授權證明。

受託者執行受託業務，違反資通安全相關法令或知悉資通安全事件時，應立即通知委託機關及採行之補救措施。

委託關係終止或解除時，應確認受託者返還、移交、刪除或銷毀履行委託契約而持有之資料。

受託者應採取之其他資通安全相關維護措施。

本校應定期或於知悉受託者發生可能影響受託業務之資通安全事件時，以稽核或其他適當方式確認受託業務之執行情形。

二、監督受託者資通安全維護情形應注意事項參、    資通安全教育訓練一、資通安全教育訓練要求本校依資通安全責任等級分級屬D級，一般使用者與主管，每人每年接受3小時以上之資通安全通識教育訓練。

二、資通安全教育訓練辦理方式承辦單位應於每年辦理資通安全認知宣導及教育訓練，以建立員工資通安全認知，提升機關資通安全水準，並應保存相關之資通安全認知宣導及教育訓練紀錄。

本校資通安全認知宣導及教育訓練之內容得包含： (1)   資通安全政策(含資通安全維護計畫之內容、管理程序、流程、要求事項及人員責任、資通安全事件通報程序等)。

(2)   資通安全法令規定。

(3)   資通安全作業內容。

(4)    資通安全技術訓練。

員工報到時，應使其充分瞭解本校資通安全相關作業規範及其重要性。

資通安全教育及訓練之政策，除適用所屬員工外，對機關外部的使用者，亦應一體適用。

肆、    公務機關所屬人員辦理業務涉及資通安全事項之考核機制本校所屬人員之平時考核或聘用，依據公務機關所屬人員資通安全事項獎懲辦法，及本校各相關規定辦理之。

伍、    資通安全維護計畫及實施情形之持續精進及績效管理機制一、資通安全維護計畫之實施為落實本法，使本校之資通安全管理有效運作，相關單位於訂定各階文件、流程、程序或控制措施時，應與本校之資通安全政策、目標及本安全維護計畫之內容相符，並應保存相關之執行成果記錄。

二、資通安全維護計畫實施情形之稽核機制 (一)稽核機制之實施資通安全推動小組應定期(至少每年一次)或於系統重大變更或組織改造後執行自我內部資通安全稽核，以確認人員是否遵循本規範與機關之管理程序要求，並有效實作及維持管理制度。

配合教育局政風室年度「資訊安全專案檢查實施計畫」及「教育部全國國中小學資訊安全管理系統」(國中小適用)之檢查項目，納入稽核範圍辦理稽核作業，並應將前次稽核之結果納入稽核範圍。

執行稽核時，應填報當年度教育局政風室「資訊安全專案檢查表」及「教育部全國國中小學資訊安全管理系統」(國中小適用)。

稽核結果應對相關管理階層(含資安長)報告並應留存稽核過程之相關紀錄以作為資通安全稽核計畫及稽核事件之證據。

稽核實施後發現有缺失或待改善項目者，應判定其發生之原因，並對缺失或待改善之項目研議改善措施、改善進度規劃，並落實執行，必要時得考量對現行資通安全管理制度或相關文件進行變更。

於執行改善措施時，應留存相關之執行紀錄。

本校之資通安全推動小組應每年定期召開資通安全管理審查會議，確認資通安全維護計畫之實施情形，確保其持續適切性、合宜性及有效性。

管理審查議題應包含下列討論事項： (二)稽核改善報告三、資通安全維護計畫之持續精進及績效管理 (1)   過往管理審查議案之處理狀態。

(2)   與資通安全管理系統有關之內部及外部議題的變更，如法令變更、上級機關要求、資通安全推動小組決議事項等。

(3)   資通安全維護計畫內容之適切性。

(4)   資通安全績效之回饋，包括：資通安全政策及目標之實施情形。

資通安全人力及資源之配置之實施情形。

資通安全防護及控制措施之實施情形。

稽核結果。

不符合項目及矯正措施。

(5)   風險評鑑結果及風險處理計畫執行進度。

(6)   重大資通安全事件之處理及改善情形。

(7)   利害關係人之回饋。

(8)   持續改善之機會。

持續改善機制之管理審查應做成改善績效追蹤報告，相關紀錄並應予保存，以作為管理審查執行之證據。

陸、    資通安全維護計畫實施情形之提出本校依據資通安全管理法第12條之規定，每年向上級或監督機關，提出上年度資通安全維護計畫實施情形（須填報教育部全國國中小學資訊安全管理系統），使其得瞭解本校之年度資通安全計畫實施情形。

柒、    相關法規、程序及表單一、相關法規及參考文件資通安全管理法資通安全管理法施行細則資通安全責任等級分級辦法資通安全事件通報及應變辦法資通安全情資分享辦法公務機關所屬人員資通安全事項獎懲辦法資訊系統風險評鑑參考指引政府資訊作業委外安全參考指引無線網路安全參考指引網路架構規劃參考指引行政裝置資安防護參考指引政府行動化安全防護規劃報告安全軟體發展流程指引安全軟體設計指引安全軟體測試指引資訊作業委外安全參考指引行政院及所屬各機關資料中心設置作業要點高雄市政府內部控制監督作業規範本校資通安全事件通報及應變程序資通安全推動小組成員及分工表資通安全保密同意書資通安全需求申請單資訊及資通系統資產清冊風險評估表風險類型暨風險對策參考表管制區域人員進出登記表委外廠商執行人員保密切結書、保密同意書委外廠商查核項目表年度資通安全教育訓練計畫資通安全認知宣導及教育訓練簽到表資通安全維護計畫實施情形稽核結果及改善報告改善績效追蹤報告資通安全維護計畫文本地址：高雄市苓雅區三多二路100號  電話：07-7511074  傳真：07-7160131高雄市苓雅區五權國小版權所有 | 意見反映WuCyuanElementrySchool |