7-1~7-11資通安全防護及控制措施
本校依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項及資通系統之防護基準,採行相關之防護及控制措施如下: (7-1不適用D級機關)
一、 資訊及資通系統之管理 (7-2)
(一) 資訊及資通系統之保管
1. 資訊及資通系統管理人應確保資訊及資通系統已盤點造冊並適切分級,並持續更新以確保其正確性。
2. 資訊及資通系統管理人應確保資訊及資通系統被妥善的保存或備份。
3. 資訊及資通系統管理人應確保重要之資訊及資通系統已採取適當之存取控制政策。
(二) 資訊及資通系統之使用
1. 本校同仁使用資訊及資通系統前應經其管理人授權。
2. 本校同仁使用資訊及資通系統時,應留意其資通安全要求事項,並負對應之責任。
3. 本機關同仁使用資訊及資通系統後,應依規定之程序歸還。資訊類資訊之歸還應確保相關資訊已正確移轉,並安全地自原設備上抺除。
4. 非本校同仁使用本機關之資訊及資通系統,應確實遵守本機關之相關資通安全要求,且未經授權不得任意複製資訊。
5. 對於資訊及資通系統,宜識別並以文件記錄及實作可被接受使用之規則。
(三) 資訊及資通系統之刪除或汰除
1. 資訊及資通系統之刪除或汰除前應評估機關是否已無需使用該等資訊及資通系統,或該等資訊及資通系統是否已妥善移轉或備份。
2. 資訊及資通系統之刪除或汰除時宜加以清查,以確保所有機敏性資訊及具使用授權軟體已被移除或安全覆寫。
3. 具機敏性之資訊或具授權軟體之資通系統,宜採取實體銷毀,或以毀損、刪除或覆寫之技術,使原始資訊無法被讀取,並避免僅使用標準刪除或格式化功能。
二、 存取控制與加密機制管理 (7-3)
(一) 網路安全控管
1. 網路區域劃分如下:
(1) 外部網路:對外網路區域,連接外部廣網路(Wide Area Network, WAN)。
(2) 內部區域網路 (Local Area Network, LAN):機關內部單位人員使用之網路區段。
2. 外部網路與內部區域網路間連線需經防火牆進行存取控制,非允許的服務與來源不能進入其他區域。
3. 應定期檢視防火牆政策是否適當,並適時進行防火牆軟、硬體之必要更新或升級。(若為向上集中管理,則由上級單位統一辦理更新與升級。)
4. 內部網路之區域應做合理之區隔,使用者應經授權後在授權之範圍內存取網路資源。
5. 使用者應依規定之方式存取網路服務,若使用自備設備,須向管理人員提出申請。
6. 無線網路防護
(1) 機密資料原則不得透過無線網路及設備存取、處理或傳送。
(2) 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站,應安裝防毒軟體,並定期更新病毒碼。
(二) 資通系統權限管理
1. 資通系統應設置通行碼管理,建議通行碼之要求需滿足:
(1) 通行碼長度8碼以上。
(2) 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。
(3) 使用者應定期更換通行碼(至少每半年更換)。
2. 使用者使用資通系統前應經授權,並使用唯一之使用者ID,除有特殊營運或作業必要經核准並紀錄外,不得共用ID。
3. 使用者無繼續使用資通系統時,應立即停用或移除使用者ID,資通系統管理者應定期清查使用者之權限。
(三) 特權帳號之存取管理
1. 資通系統之特權帳號應經正式申請授權方能使用,特權帳號授權前應妥善審查其必要性,其授權及審查記錄應留存。
2. 資通系統之特權帳號不得共用。
3. 資通系統之管理者應定期清查系統特權帳號並劃定特權帳號逾期之處理方式。
(四) 加密管理
1. 機密資訊於儲存或傳輸時應進行加密。
2. 一旦加密資訊具遭破解跡象,應立即更改之。
三、 作業與通訊安全管理 (7-4)
(一) 防範惡意軟體之控制措施
1. 主機及個人電腦應安裝防毒軟體,並適時進行軟、硬體之必要更新或升級。
(1) 經任何形式之儲存媒體所取得之檔案,於使用前應先掃描有無惡意軟體。
(2) 電子郵件附件及下載檔案於使用前,宜於他處先掃描有無惡意軟體。
(3) 確實執行網頁惡意軟體掃描。
2. 使用者未經同意不得私自安裝應用軟體,管理者應定期針對管理之設備進行軟體清查。
3. 使用者不得私自使用已知或有嫌疑惡意之網站。
4. 設備管理者應定期進行作業系統及軟體更新,以避免惡意軟體利用系統或軟體漏洞進行攻擊。
(二) 遠距工作之安全措施
1. 本校資通系統之操作及維護以現場操作為原則,避免使用遠距工作,如有緊急需求時,應申請並經內部程序核可同意後始可開通。
2. 資通安全推動小組應定期審查已授權之遠距工作需求是否適當。
(三) 電子郵件安全管理
1. 使用者使用電子郵件時應提高警覺,並使用純文字模式瀏覽,避免讀取來歷不明之郵件或含有巨集檔案之郵件。
2. 原則不得使用電子郵件傳送機密性或敏感性之資料,如有業務需求者應依相關規定進行加密或其他之防護措施。
3. 使用者不得利用學校所提供電子郵件服務從事侵害他人權益或違法之行為。
4. 使用者應確保電子郵件傳送時之傳遞正確性。
(四) 確保實體與環境安全措施
1. 簡易機房之安全控管
(1) 簡易機房應進行實體隔離。
(2) 機關人員、來訪人員、外部維護廠商等應申請及授權後方可進入簡易機房。
(3) 簡易機房應安裝之安全偵測及防護措施,包括熱度或煙霧偵測設備、火災警報設備、溫濕度監控設備、不斷電系統等,以減少環境不安全之危險。
2. 辦公室區域之實體與環境安全措施
(1) 應考量採用辦公桌面的淨空政策,以減少文件及可移除式媒體等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。
(2) 文件及可移除式媒體在不使用或不上班時,應存放在櫃子內。
(3) 機密性及敏感性資訊,不使用或下班時應該上鎖。
(4) 機密資訊或處理機密資訊之資通系統應避免存放或設置於公眾可接觸之場域。
(五) 資料備份
1. 重要資料及資通系統應進行資料備份,並執行異地存放。
2. 敏感或機密性資訊之備份應加密保護。
(六) 媒體防護措施
1. 使用隨身碟或記憶卡等存放資料時,具機密性、敏感性之資料應與一般資料分開儲存,不得混用並妥善保管。
2. 資訊如以實體儲存媒體方式傳送,應留意實體儲存媒體之包裝,選擇適當人員進行傳送,並應保留傳送及簽收之記錄。
3. 為降低媒體劣化之風險,宜於所儲存資訊因相關原因而無法讀取前,將其傳送至其他媒體。
4. 對機密與敏感性資料之儲存媒體實施防護措施,包含機密與敏感之紙本或備份儲存媒體,應保存於上鎖之櫃子,且需由專人管理鑰匙。
(七) 電腦使用之安全管理
1. 電腦、業務系統或自然人憑證,若超過15分鐘不使用時,應立即登出或啟動螢幕保護功能。
2. 禁止私自安裝點對點檔案分享軟體及未經合法授權軟體。
3. 連網電腦應隨時配合更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
4. 筆記型電腦及實體隔離電腦與行動載具應定期以人工方式更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
5. 下班時應關閉電腦及螢幕電源。
6. 如發現資安問題,應主動循機關之通報程序通報。
7. 支援資訊作業的相關設施如影印機、傳真機等,應安置在適當地點,以降低未經授權之人員進入管制區的風險,及減少敏感性資訊遭破解或洩漏之機會。
(八) 行動設備之安全管理
機密資料不得由未經許可之行動設備存取、處理或傳送。
(九) 即時通訊軟體之安全管理
使用即時通訊軟體傳遞機關內部公務訊息,其內容不得涉及機密資料。但有業務需求者,應使用經專責機關鑑定相符機密等級保密機制或指定之軟、硬體,並依相關規定辦理。
(十) IOT設備及大陸廠牌設備之安全管控
校內使用IOT設備,應符合IoT 設備資安防護指南要求,每年進行設備填報及妥適管理;大陸廠牌資通設備使用亦須符合行政院數位發展部資通安全署資通安全作業管考系統要求。
四、 資通安全防護設備 (7-11)
資通安全防護設備,如:防毒軟體、網路防火牆…等,應更新與升級。
資通安全政策由本校資訊業務承辦人簽陳校長核定並公告之。
一、 資訊及資通系統之管理 (7-2)
(一) 資訊及資通系統之保管
1. 資訊及資通系統管理人應確保資訊及資通系統已盤點造冊並適切分級,並持續更新以確保其正確性。
2. 資訊及資通系統管理人應確保資訊及資通系統被妥善的保存或備份。
3. 資訊及資通系統管理人應確保重要之資訊及資通系統已採取適當之存取控制政策。
(二) 資訊及資通系統之使用
1. 本校同仁使用資訊及資通系統前應經其管理人授權。
2. 本校同仁使用資訊及資通系統時,應留意其資通安全要求事項,並負對應之責任。
3. 本機關同仁使用資訊及資通系統後,應依規定之程序歸還。資訊類資訊之歸還應確保相關資訊已正確移轉,並安全地自原設備上抺除。
4. 非本校同仁使用本機關之資訊及資通系統,應確實遵守本機關之相關資通安全要求,且未經授權不得任意複製資訊。
5. 對於資訊及資通系統,宜識別並以文件記錄及實作可被接受使用之規則。
(三) 資訊及資通系統之刪除或汰除
1. 資訊及資通系統之刪除或汰除前應評估機關是否已無需使用該等資訊及資通系統,或該等資訊及資通系統是否已妥善移轉或備份。
2. 資訊及資通系統之刪除或汰除時宜加以清查,以確保所有機敏性資訊及具使用授權軟體已被移除或安全覆寫。
3. 具機敏性之資訊或具授權軟體之資通系統,宜採取實體銷毀,或以毀損、刪除或覆寫之技術,使原始資訊無法被讀取,並避免僅使用標準刪除或格式化功能。
二、 存取控制與加密機制管理 (7-3)
(一) 網路安全控管
1. 網路區域劃分如下:
(1) 外部網路:對外網路區域,連接外部廣網路(Wide Area Network, WAN)。
(2) 內部區域網路 (Local Area Network, LAN):機關內部單位人員使用之網路區段。
2. 外部網路與內部區域網路間連線需經防火牆進行存取控制,非允許的服務與來源不能進入其他區域。
3. 應定期檢視防火牆政策是否適當,並適時進行防火牆軟、硬體之必要更新或升級。(若為向上集中管理,則由上級單位統一辦理更新與升級。)
4. 內部網路之區域應做合理之區隔,使用者應經授權後在授權之範圍內存取網路資源。
5. 使用者應依規定之方式存取網路服務,若使用自備設備,須向管理人員提出申請。
6. 無線網路防護
(1) 機密資料原則不得透過無線網路及設備存取、處理或傳送。
(2) 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站,應安裝防毒軟體,並定期更新病毒碼。
(二) 資通系統權限管理
1. 資通系統應設置通行碼管理,建議通行碼之要求需滿足:
(1) 通行碼長度8碼以上。
(2) 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。
(3) 使用者應定期更換通行碼(至少每半年更換)。
2. 使用者使用資通系統前應經授權,並使用唯一之使用者ID,除有特殊營運或作業必要經核准並紀錄外,不得共用ID。
3. 使用者無繼續使用資通系統時,應立即停用或移除使用者ID,資通系統管理者應定期清查使用者之權限。
(三) 特權帳號之存取管理
1. 資通系統之特權帳號應經正式申請授權方能使用,特權帳號授權前應妥善審查其必要性,其授權及審查記錄應留存。
2. 資通系統之特權帳號不得共用。
3. 資通系統之管理者應定期清查系統特權帳號並劃定特權帳號逾期之處理方式。
(四) 加密管理
1. 機密資訊於儲存或傳輸時應進行加密。
2. 一旦加密資訊具遭破解跡象,應立即更改之。
三、 作業與通訊安全管理 (7-4)
(一) 防範惡意軟體之控制措施
1. 主機及個人電腦應安裝防毒軟體,並適時進行軟、硬體之必要更新或升級。
(1) 經任何形式之儲存媒體所取得之檔案,於使用前應先掃描有無惡意軟體。
(2) 電子郵件附件及下載檔案於使用前,宜於他處先掃描有無惡意軟體。
(3) 確實執行網頁惡意軟體掃描。
2. 使用者未經同意不得私自安裝應用軟體,管理者應定期針對管理之設備進行軟體清查。
3. 使用者不得私自使用已知或有嫌疑惡意之網站。
4. 設備管理者應定期進行作業系統及軟體更新,以避免惡意軟體利用系統或軟體漏洞進行攻擊。
(二) 遠距工作之安全措施
1. 本校資通系統之操作及維護以現場操作為原則,避免使用遠距工作,如有緊急需求時,應申請並經內部程序核可同意後始可開通。
2. 資通安全推動小組應定期審查已授權之遠距工作需求是否適當。
(三) 電子郵件安全管理
1. 使用者使用電子郵件時應提高警覺,並使用純文字模式瀏覽,避免讀取來歷不明之郵件或含有巨集檔案之郵件。
2. 原則不得使用電子郵件傳送機密性或敏感性之資料,如有業務需求者應依相關規定進行加密或其他之防護措施。
3. 使用者不得利用學校所提供電子郵件服務從事侵害他人權益或違法之行為。
4. 使用者應確保電子郵件傳送時之傳遞正確性。
(四) 確保實體與環境安全措施
1. 簡易機房之安全控管
(1) 簡易機房應進行實體隔離。
(2) 機關人員、來訪人員、外部維護廠商等應申請及授權後方可進入簡易機房。
(3) 簡易機房應安裝之安全偵測及防護措施,包括熱度或煙霧偵測設備、火災警報設備、溫濕度監控設備、不斷電系統等,以減少環境不安全之危險。
2. 辦公室區域之實體與環境安全措施
(1) 應考量採用辦公桌面的淨空政策,以減少文件及可移除式媒體等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。
(2) 文件及可移除式媒體在不使用或不上班時,應存放在櫃子內。
(3) 機密性及敏感性資訊,不使用或下班時應該上鎖。
(4) 機密資訊或處理機密資訊之資通系統應避免存放或設置於公眾可接觸之場域。
(五) 資料備份
1. 重要資料及資通系統應進行資料備份,並執行異地存放。
2. 敏感或機密性資訊之備份應加密保護。
(六) 媒體防護措施
1. 使用隨身碟或記憶卡等存放資料時,具機密性、敏感性之資料應與一般資料分開儲存,不得混用並妥善保管。
2. 資訊如以實體儲存媒體方式傳送,應留意實體儲存媒體之包裝,選擇適當人員進行傳送,並應保留傳送及簽收之記錄。
3. 為降低媒體劣化之風險,宜於所儲存資訊因相關原因而無法讀取前,將其傳送至其他媒體。
4. 對機密與敏感性資料之儲存媒體實施防護措施,包含機密與敏感之紙本或備份儲存媒體,應保存於上鎖之櫃子,且需由專人管理鑰匙。
(七) 電腦使用之安全管理
1. 電腦、業務系統或自然人憑證,若超過15分鐘不使用時,應立即登出或啟動螢幕保護功能。
2. 禁止私自安裝點對點檔案分享軟體及未經合法授權軟體。
3. 連網電腦應隨時配合更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
4. 筆記型電腦及實體隔離電腦與行動載具應定期以人工方式更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
5. 下班時應關閉電腦及螢幕電源。
6. 如發現資安問題,應主動循機關之通報程序通報。
7. 支援資訊作業的相關設施如影印機、傳真機等,應安置在適當地點,以降低未經授權之人員進入管制區的風險,及減少敏感性資訊遭破解或洩漏之機會。
(八) 行動設備之安全管理
機密資料不得由未經許可之行動設備存取、處理或傳送。
(九) 即時通訊軟體之安全管理
使用即時通訊軟體傳遞機關內部公務訊息,其內容不得涉及機密資料。但有業務需求者,應使用經專責機關鑑定相符機密等級保密機制或指定之軟、硬體,並依相關規定辦理。
(十) IOT設備及大陸廠牌設備之安全管控
校內使用IOT設備,應符合IoT 設備資安防護指南要求,每年進行設備填報及妥適管理;大陸廠牌資通設備使用亦須符合行政院數位發展部資通安全署資通安全作業管考系統要求。
四、 資通安全防護設備 (7-11)
資通安全防護設備,如:防毒軟體、網路防火牆…等,應更新與升級。
資通安全政策由本校資訊業務承辦人簽陳校長核定並公告之。
