彰化縣社頭鄉清水國民小學 |
資通安全維護計畫
目 錄
壹拾壹、................................................................ 資通安全情資之評估及因應
壹拾貳、...................................................... 資通系統或服務委外辦理之管理
壹拾參、................................................................................... 資通安全教育訓練
壹拾肆、. 公務機關所屬人員辦理業務涉及資通安全事項之考核機制
壹拾伍、. 資通安全維護計畫及實施情形之持續精進及績效管理機制
壹拾陸、................................................. 資通安全維護計畫實施情形之提出
壹拾柒、......................................................................... 相關法規、程序及表單
本計畫依據「資通安全管理法」第 10 條及施行細則第 6 條訂定。
本計畫適用範圍涵蓋本彰化縣社頭鄉清水國民小學全機關。
本機關無自行維運之資通系統,故無核心資通系統。
本機關之非核心業務及說明如下表:
非核心業務 |
業務失效影響說明 |
最大可容忍中斷時間 |
公文交換 |
電子公文無法即時送達機關,影響機關行政效率 |
24小時 |
為使本機關業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:
本政策經資通安全長核准,於公告日施行,並以書面、電子或其他方式通知員工及與本機關連線作業之有關機關(構)、委外廠商,修正時亦同。
資通安全政策由本彰化縣社頭鄉清水國民小學單位簽陳資通安全長核定。
資通安全政策及目標應定期於資通安全管理審查會議中檢討其適切性。
依「資通安全管理法」第 11 條之規定,本機關訂定校長為資通安全長,負責督導機關資通安全相關事項,其任務包括:
為推動本機關之資通安全相關政策、落實資通安全事件通報及相關應變處理,由資通安全長召集各業務部門主管/副主管以上之人員代表成立資通安全處理小組,其任務包括:
大分類 |
小分類 |
說明 |
人員類 (People / PE) |
編制內人員 |
校長、主任、教師等。 |
臨時及鐘點人員 |
約聘僱人員、臨時人員、代理老師、代課老師等。 |
|
資訊類 (Information / IF) |
作業文件 |
資料庫與資料檔案、備份資料。 |
系統文件 |
網路架構圖。 |
|
契約 |
|
|
資訊紀錄 (電子/紙本) |
啟用與報廢紀錄單、資訊工作日誌、帳號申請單、系統特權帳號清單、設備進出紀錄表、服務暨委外單位服務暨保密切結書、委外廠商人員保密切結書等。 |
|
系統紀錄(Log) |
防火牆Log紀錄。 |
|
硬體類 (Hardware / HW) |
個人電腦 |
桌上型電腦。 |
可攜式電腦 |
筆記型電腦。 |
|
伺服器 |
無。 |
|
資安設備 |
防火牆。 |
|
網路設備 |
交換器。 |
|
可攜式儲存媒體 |
USB、記憶卡、CD、DVD、磁帶機、軟碟機、投影機等。 |
|
電腦保護設施 |
*不斷電系統及穩壓器不是填這! |
|
其他硬體 |
EX:投影機、印表機等。 |
|
軟體類 (Software / SW) |
作業系統 |
KMS。 |
應用系統 |
|
|
套裝軟體 |
|
|
軟體開發工具 |
|
|
資訊安全系統 |
防火牆軟體(RouterOS、Sifowork等)。 |
|
環境保護類 (Environment / EV) |
一般辦公區域 |
辦公室、會議室。 |
特殊辦公區域 |
|
|
資訊機房 |
電腦機房。 |
|
倉庫/庫房 |
倉庫、庫房。 |
|
建築保護設施 |
不斷電系統、穩壓器、機櫃、避雷針、滅火器、溫溼度感測、發電機等。 |
本機關自行辦理資通業務,未維運自行或委外開發之資通系統,為資通安全責任等級D級機關。
本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項及核心資通系統之防護基準,採行相關之防護及控制措施如下:
為即時掌控資通安全事件,並有效降低其所造成之損害,本機關應訂定資通安全事件通報、應變及演練相關機制,詳「資通安全事件通報應變程序」。
本機關接獲資通安全情資,應評估該情資之內容,並視其對本機關之影響、本機關可接受之風險及本機關之資源,決定最適當之因應方式,必要時得調整資通安全維護計畫之控制措施,並做成紀錄。
本機關接受資通安全情資後,應指定資通安全專職人員進行情資分析,並依據情資之性質進行分類及評估,情資分類評估如下:
資通安全情資之內容如包括重大威脅指標情資、資安威脅漏洞與攻擊手法情資、重大資安事件分析報告、資安相關技術或議題之經驗分享、疑似存在系統弱點或可疑程式等內容,屬資通安全相關之訊息情資。
資通安全情資之內容如包含特定網頁遭受攻擊且證據明確、特定網頁內容不當且證據明確、特定網頁發生個資外洩且證據明確、特定系統遭受入侵且證據明確、特定系統進行網路攻擊活動且證據明確等內容,屬入侵攻擊情資。
資通安全情資之內容如包含姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接識別之個人資料,或涉及個人、法人或團體營業上秘密或經營事業有關之資訊,或情資之公開或提供有侵害公務機關、個人、法人或團體之權利或其他正當利益,或涉及一般公務機密、敏感資訊或國家機密等內容,屬機敏性之情資。
資通安全情資之內容如包含機關內部之核心業務資訊、核心資通系統、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作等內容,屬涉及核心業務、核心資通系統之情資。
本機關於進行資通安全情資分類評估後,應針對情資之性質進行相應之措施,必要時得調整資通安全維護計畫之控制措施。
由資通安全處理小組彙整情資後進行風險評估,並依據資通安全維護計畫之控制措施採行相應之風險預防機制。
由資通安全專職(責)人員判斷有無立即之危險,必要時採取立即之通報應變措施,並依據資通安全維護計畫採行相應之風險防護措施,另通知各單位進行相關之預防。
就涉及個人資料、營業秘密、一般公務機密、敏感資訊或國家機密之內容,應採取遮蔽或刪除之方式排除,例如個人資料及營業秘密,應以遮蔽或刪除該特定區段或文字,或採取去識別化之方式排除之。
資通安全處理小組應就涉及核心業務、核心資通系統之情資評估其是否對於機關之運作產生影響,並依據資通安全維護計畫採行相應之風險管理機制。
本機關委外辦理資通系統之建置、維運或資通服務之提供時,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
本機關所屬人員之平時考核或聘用,依據公務機關所屬人員資通安全事項獎懲辦法,及本機關各相關規定辦理之。
為落實本安全維護計畫,使本機關之資通安全管理有效運作,相關單位於訂定各階文件、流程、程序或控制措施時,應與本機關之資通安全政策、目標及本安全維護計畫之內容相符,並應保存相關之執行成果記錄。
本機關依據「資通安全管理法」第12條之規定,應於12月前向上級,提出資通安全維護計畫實施情形,使其得瞭解本機關之年度資通安全計畫實施情形。