資訊安全與政策

資訊安全願景:強化人員認知、避免資料外洩;落實日常維運、確保服務可用。

資訊安全目標:

  1. 辦理資訊安全教育訓練,推廣人員資訊安全之意識與強化其對相關責任之認知。
  2. 保護業務活動資訊,避免未經授權的存取。
  3. 保護業務活動資訊,避免未經授權的修改,確保其正確完整。
  4. 實施定期監控與資訊安全內部稽核制度,確保資訊安全管理之落實執行。
  5. 確保所提供之服務能夠維持一定水準之可用性。

緣由

本校積極推動資訊化並重視資訊安全議題,提升資訊安全推動層級,由副校長擔任本校資訊安全長一職,並由電算中心主任帶領,導入ISO 27001流程改善團隊,於2006年6月開始推動ISO 27001認證,於2007年8月1日正式取得「ISO 27001資訊安全管理」認證,成為全國各大學院校中少數率先獲得ISO 27001認證通過的學校。自取得證書歷經2013年10月 ISO27001 重大改版迄今,依照ISO27001規範,每三年換證一次,每年並委託公正第三方機構定期追查。目前已執行進入第10年。

目的

依據行政院所屬各機關資訊安全管理要點及相關規定,規範電子計算機中心(以下簡稱本中心)資訊安全管理制度,建立安全、可信賴之電子化系統,並確保資料、系統、設備及網路安全,保障教職員工生權益。

範圍

本中心依照執行業務需要,列出需通過 ISO27001:2013 之業務範圍,分別為「機房實體與環境安全」、「骨幹網路」、「電子郵件」、「入口網站與身分認證主機管理」與「博雅雲」,切實依照資訊安全管理各項文件執行相關業務,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生對於本校帶來可能之風險及危害。

組織及權責

本中心設置「資訊安全推動委員會」,負責建立組織全景分析制度並推動相關事項。由電算中心主任擔任召集人,負責召集內、外部議題與關注者之期望與需求討論會議,並追蹤其決議事項。另設立資安工作小組,負責相關業務之執行、資訊安全預防及危機處理。

資訊安全作業規範

一、  個人資訊安全

  • 個人密碼至少8碼,每6個月變更一次。
  • 設定螢幕保護裝置,時間10分鐘,以密碼保護。
  • 安裝防毒軟體(ESET NOD32 Antivirus),啟動即時病毒防範機制(或每週排程一次)。
  • 使用影印機、印表機、傳真機後應立即將資料取走。
  • 下班後或人員離開辦公室,業務相關資料應收置櫃內或卷宗夾,重要資料勿直接置放個人桌面(桌面淨空)。
  • 機密性資料文件,如以電子檔案、電子郵件方式傳遞時,需以ZIP編碼加密。

二、  辦公區域門禁管理

  • 工作時間內應配帶本校製發之服務證。
  • 委外人員應配帶原公司所製發之員工證或本中心製發之訪客證。
  • 非中心員工需於填寫【辦公室訪客進出登記表】,並由中心人員陪同進入。
  • 學生僅於本中心資訊服務台執行作業。

三、  電腦機房管制

  • 廠商因業務需進入電腦機房,如攜帶資訊設備(含可攜式設備/媒體),廠商應填具【電腦機房作業申請單】。
  • 未經授權人員需進出機房須填寫【電腦機房進出登記表】,並由機房維運人員或已經授權之人員(有門禁感應磁扣者)陪同進入。

四、  系統維護/作業安全(主機及作業系統、資料庫系統、應用系統、網路設備)

  • 系統變更或更新(update、patch)時,系統負責人應填【系統維護紀錄表】;若系統為委外廠商維護,應附廠商之維修紀錄單影本。
  • 與外單位有資料提供交換時,應請申請單位填寫【資訊需求申請單】。
  • 測試環境使用之設備環境應獨立,不與提供線上服務之設備環境共用。
  • 正式線上之資料庫資料執行測試時,應將機敏性資料轉換為虛擬資料。
  • 當系統完成建置或委外人員維護作業完畢後,應立即更改所有管理權限密碼。

五、  委外廠商作業安全

  • 與廠商簽訂合約時,合約內容需含【保密規定】。
  • 廠商維護以到場服務為原則,若有外部連線之需求,須填寫【廠商連線申請單】。
  • 資訊設備報修外送修應請廠商填寫【資訊設備放行條】。若非儲存媒體損壞應先拔除;若儲存機敏性資訊,應先備份並刪除機敏性資訊。

六、  資安事件通報

  • 發現中毒、入侵、服務中斷或其他可疑資安事件,應立即向­「資訊安全工作小組」或網路組長通報。

七、  電腦機房/網路設備/主機維運管理作業安全

  • 依據矯正預防處理單所提對策項目,確實執行及追蹤其成效。

實施

本政策經「資訊安全推動委員會」核定後實施,修訂時亦同。