資源描述:
《國立中正大學(xué)資訊安全管理規(guī)範(fàn)實(shí)施要點(diǎn)》由會員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫����。
1、國立中正大學(xué)資訊安全管理規(guī)範(fàn)實(shí)施要點(diǎn)第二四○次行政會議修正通過(89.1.3)壹、依據(jù)教育部臺(八八)電字第八八一一四七0九號函及「行政院所屬各機(jī)關(guān)資訊安全管理規(guī)範(fàn)」�。貳、資訊安全之目的為強(qiáng)化本校資訊安全管理���,建立安全及可信賴之電子化機(jī)關(guān)���,確保資料、系統(tǒng)��、設(shè)備及網(wǎng)路安全����,保障教職員工生權(quán)益,特訂定本規(guī)範(fàn)���。參����、通則本要點(diǎn)所稱各單位���,指本校所屬各處�����、室���、院�、系所����、中心及圖書館。肆��、人員安全管理及教育訓(xùn)練1.甄選及進(jìn)用之人員�����,如其工作職責(zé)須使用處理敏感性資訊的資訊科技設(shè)施或涉及機(jī)密性及敏感性資訊者��,應(yīng)經(jīng)適當(dāng)?shù)陌踩u估程序���。2.員工使用資訊科技設(shè)施應(yīng)依相關(guān)規(guī)定課
2、予機(jī)密維護(hù)責(zé)任���,並進(jìn)行資訊安全教育及訓(xùn)練�。伍����、系統(tǒng)與網(wǎng)路之安全管理一��、電腦病毒及惡意軟體之防範(fàn)(一)����、建立軟體管理政策�,規(guī)定使用者應(yīng)遵守軟體授權(quán)規(guī)定,禁止使用未取得授權(quán)的軟體��。(二)��、電腦病毒防制軟體應(yīng)定期更新�。(三)、使用防毒軟體事前掃瞄電腦系統(tǒng)及資料儲存媒體���,偵測有無感染電腦病毒����。(四)�����、對來路不明及內(nèi)容不確定的磁片���,應(yīng)在使用前詳加檢查是否感染電腦病毒����。(五)、應(yīng)遵守智慧財產(chǎn)權(quán)相關(guān)規(guī)定���。?二����、個人資料之保護(hù)(一)�����、應(yīng)依據(jù)電腦處理個人資料保護(hù)法等相關(guān)規(guī)定�,審慎處理個人資訊����。(二)、應(yīng)建立個人資料控制及管理機(jī)制���,並視需要指定負(fù)責(zé)個人資料保護(hù)之人員����,以便協(xié)
3、調(diào)管理人員���、使用者及系統(tǒng)服務(wù)提供者�����,促使相關(guān)人員瞭解各部門應(yīng)負(fù)的個人資料保護(hù)責(zé)任����,以及應(yīng)遵守之作業(yè)程序����。?三、日常作業(yè)之安全管理(一)����、應(yīng)準(zhǔn)備足夠的備援設(shè)施,定期執(zhí)行必要的資料及軟體備份及備援作業(yè)��,以便發(fā)生災(zāi)害或是儲存媒體失效時���,可迅速回復(fù)正常作業(yè)��。(二)�、系統(tǒng)發(fā)生作業(yè)錯誤時,應(yīng)正式記錄下來����,並報告權(quán)責(zé)主管人員,並採取必要的更正行動��。(三)���、電腦作業(yè)環(huán)境如溫度���、溼度及電源供應(yīng)之品質(zhì)等,應(yīng)隨時監(jiān)測�,並採取必要的補(bǔ)救措施。?四����、電腦媒體與資料文件之安全管理(一)、可重複使用的資料儲存媒體���,不再繼續(xù)使用時,應(yīng)將儲存的內(nèi)容消除�����。(二)、須離辦公場所的儲存媒體�����,應(yīng)
4�、建立書面的授權(quán)規(guī)定,並建立使用紀(jì)錄�����。(三)���、儲存媒體應(yīng)依製造廠商提供的保存規(guī)格�,存放在安全的環(huán)境�。(四)、系統(tǒng)文件應(yīng)鎖在安全的儲櫃或其他安全場所�����。(五)�����、委外處理的電腦文具���、設(shè)備�����、媒體蒐集及委外處理資料�,應(yīng)慎選有足夠安全管理能力及經(jīng)驗(yàn)的機(jī)構(gòu)作為委辦對象。(六)���、應(yīng)保護(hù)重要的資料檔案����,以防止遺失���、毀壞�����、被偽造或竄改���。(七)、與他單位進(jìn)行電子資料交換�����,應(yīng)採行保護(hù)措施����,以防止資料受損及未經(jīng)授權(quán)的資料存取及竄改。?五���、網(wǎng)路服務(wù)之管理(一)��、系統(tǒng)的最高使用權(quán)限��,應(yīng)經(jīng)權(quán)責(zé)主管人員審慎評估後���,交付可信賴的人員管理。(二)����、網(wǎng)路系統(tǒng)管理人員應(yīng)負(fù)責(zé)製發(fā)帳號,供授權(quán)的人員使
5����、用。(三)����、提供給內(nèi)部人員使用的網(wǎng)路服務(wù)�����,與開放業(yè)務(wù)有關(guān)人員從遠(yuǎn)端登入內(nèi)部網(wǎng)路系統(tǒng)的網(wǎng)路服務(wù)�����,應(yīng)執(zhí)行嚴(yán)謹(jǐn)?shù)纳矸直孀R作業(yè)����,或使用防火牆代理伺服器(ProxyServer)進(jìn)行安全控管����。(四)、離(休)職人員應(yīng)依資訊安全規(guī)定及程序����,取銷其存取網(wǎng)路之權(quán)利。(五)����、網(wǎng)路系統(tǒng)管理人員未經(jīng)權(quán)責(zé)主管人員許可,不得閱覽使用者之私人檔案���;但如發(fā)現(xiàn)有可疑的網(wǎng)路安全情事����,網(wǎng)路系統(tǒng)管理人員得依授權(quán)規(guī)定檢查其檔案��。(六)�、網(wǎng)路系統(tǒng)中各主要主機(jī)伺服器應(yīng)有備援主機(jī),以備主要作業(yè)主機(jī)無法正常運(yùn)作時之用�����。(七)�����、網(wǎng)路硬體設(shè)備應(yīng)加裝不斷電系統(tǒng)�,以防止不正常的斷電狀況。?六���、使用者管理(一)
6����、��、使用者應(yīng)遵守「臺灣學(xué)術(shù)網(wǎng)路使用規(guī)範(fàn)」及相關(guān)規(guī)定。(二)�����、被授權(quán)的網(wǎng)路使用者�����,只能在授權(quán)範(fàn)圍內(nèi)存取網(wǎng)路資源��。(三)�����、使用者應(yīng)遵守相關(guān)安全規(guī)定����,如有違反,應(yīng)撤消其網(wǎng)路資源存取權(quán)利�����,並依相關(guān)法規(guī)處理�����。(四)、網(wǎng)路使用者不得將自己的登入身份識別與登入網(wǎng)路的密碼交付他人使用����。(五)、應(yīng)禁止網(wǎng)路使用者以任何方法竊取他人的登入身份與登入網(wǎng)路通行碼�。(六)、應(yīng)禁止及防範(fàn)網(wǎng)路使用者以任何儀器設(shè)備或軟體工具竊聽網(wǎng)路上的通訊����。?七���、主機(jī)安全防護(hù)單位存放機(jī)密性及敏感性資料之大型主機(jī)或伺服器主機(jī)(如DomainNameServer等)���,除作業(yè)系統(tǒng)既有的安全設(shè)定外,應(yīng)強(qiáng)化身份辨識
7�����、之安全機(jī)制�,防止遠(yuǎn)端撥接或遠(yuǎn)端登入資料經(jīng)由電話線路或網(wǎng)際網(wǎng)路傳送時,被偷窺或截取(如一般網(wǎng)路服務(wù)HTTP�����、Telnet、FTP等的登入密碼)�,及防制非法使用者假冒合法使用者身分登入主機(jī)進(jìn)行偷竊、破壞等情事��。八����、系統(tǒng)與網(wǎng)路入侵之處理(一)、立即拒絕入侵者任何存取動作����,防止災(zāi)害繼續(xù)擴(kuò)大;當(dāng)防護(hù)網(wǎng)被突破時�,系統(tǒng)應(yīng)設(shè)定拒絕任何存取�����;或入侵者己被嚴(yán)密監(jiān)控����,在不危害內(nèi)部網(wǎng)路安全的前題下,得適度允許入侵者存取動作��,以利追查入侵者�。(二)��、切斷入侵者的連接�����?�;?yàn)檫_(dá)到追查入侵者的目的����,可考慮讓入侵者做有條件的連接����,一旦入侵者危害到內(nèi)部網(wǎng)路安全����,則必須立即切斷入侵者的連接。
8�、(三)、應(yīng)全面檢討網(wǎng)路安全措施及修正防火牆的設(shè)定���,以防禦類似的入侵與攻擊�。(四)
