資源描述:
《國立中正大學資訊安全管理規(guī)範實施要點》由會員上傳分享��,免費在線閱讀�,更多相關內(nèi)容在學術論文-天天文庫。
1���、國立中正大學資訊安全管理規(guī)範實施要點第二四○次行政會議修正通過(89.1.3)壹����、依據(jù)教育部臺(八八)電字第八八一一四七0九號函及「行政院所屬各機關資訊安全管理規(guī)範」�����。貳���、資訊安全之目的為強化本校資訊安全管理����,建立安全及可信賴之電子化機關,確保資料�����、系統(tǒng)���、設備及網(wǎng)路安全����,保障教職員工生權(quán)益��,特訂定本規(guī)範��。參��、通則本要點所稱各單位��,指本校所屬各處�、室�����、院、系所�、中心及圖書館。肆�、人員安全管理及教育訓練1.甄選及進用之人員,如其工作職責須使用處理敏感性資訊的資訊科技設施或涉及機密性及敏感性資訊者��,應經(jīng)適當?shù)陌踩u估
2���、程序�。2.員工使用資訊科技設施應依相關規(guī)定課予機密維護責任�����,並進行資訊安全教育及訓練��。伍����、系統(tǒng)與網(wǎng)路之安全管理一、電腦病毒及惡意軟體之防範(一)���、建立軟體管理政策��,規(guī)定使用者應遵守軟體授權(quán)規(guī)定����,禁止使用未取得授權(quán)的軟體。(二)����、電腦病毒防制軟體應定期更新。(三)����、使用防毒軟體事前掃瞄電腦系統(tǒng)及資料儲存媒體,偵測有無感染電腦病毒����。(四)、對來路不明及內(nèi)容不確定的磁片�,應在使用前詳加檢查是否感染電腦病毒。(五)��、應遵守智慧財產(chǎn)權(quán)相關規(guī)定��。?二���、個人資料之保護(一)、應依據(jù)電腦處理個人資料保護法等相關規(guī)定���,審慎處理個
3�、人資訊。(二)���、應建立個人資料控制及管理機制����,並視需要指定負責個人資料保護之人員�����,以便協(xié)調(diào)管理人員�、使用者及系統(tǒng)服務提供者,促使相關人員瞭解各部門應負的個人資料保護責任��,以及應遵守之作業(yè)程序����。?三、日常作業(yè)之安全管理(一)����、應準備足夠的備援設施,定期執(zhí)行必要的資料及軟體備份及備援作業(yè),以便發(fā)生災害或是儲存媒體失效時�,可迅速回復正常作業(yè)。(二)�、系統(tǒng)發(fā)生作業(yè)錯誤時,應正式記錄下來�����,並報告權(quán)責主管人員�,並採取必要的更正行動。(三)��、電腦作業(yè)環(huán)境如溫度��、溼度及電源供應之品質(zhì)等���,應隨時監(jiān)測��,並採取必要的補救措施��。?四�����、
4、電腦媒體與資料文件之安全管理(一)��、可重複使用的資料儲存媒體,不再繼續(xù)使用時�����,應將儲存的內(nèi)容消除�����。(二)���、須離辦公場所的儲存媒體����,應建立書面的授權(quán)規(guī)定�����,並建立使用紀錄�����。(三)�����、儲存媒體應依製造廠商提供的保存規(guī)格,存放在安全的環(huán)境�。(四)、系統(tǒng)文件應鎖在安全的儲櫃或其他安全場所�。(五)、委外處理的電腦文具���、設備�����、媒體蒐集及委外處理資料���,應慎選有足夠安全管理能力及經(jīng)驗的機構(gòu)作為委辦對象。(六)���、應保護重要的資料檔案�����,以防止遺失���、毀壞����、被偽造或竄改��。(七)�����、與他單位進行電子資料交換�����,應採行保護措施�����,以防止資料受損及未
5�、經(jīng)授權(quán)的資料存取及竄改�。?五、網(wǎng)路服務之管理(一)���、系統(tǒng)的最高使用權(quán)限�����,應經(jīng)權(quán)責主管人員審慎評估後�����,交付可信賴的人員管理��。(二)����、網(wǎng)路系統(tǒng)管理人員應負責製發(fā)帳號,供授權(quán)的人員使用���。(三)��、提供給內(nèi)部人員使用的網(wǎng)路服務����,與開放業(yè)務有關人員從遠端登入內(nèi)部網(wǎng)路系統(tǒng)的網(wǎng)路服務�,應執(zhí)行嚴謹?shù)纳矸直孀R作業(yè),或使用防火牆代理伺服器(ProxyServer)進行安全控管�。(四)、離(休)職人員應依資訊安全規(guī)定及程序��,取銷其存取網(wǎng)路之權(quán)利����。(五)�����、網(wǎng)路系統(tǒng)管理人員未經(jīng)權(quán)責主管人員許可���,不得閱覽使用者之私人檔案�;但如發(fā)現(xiàn)有可疑的網(wǎng)
6、路安全情事��,網(wǎng)路系統(tǒng)管理人員得依授權(quán)規(guī)定檢查其檔案��。(六)�����、網(wǎng)路系統(tǒng)中各主要主機伺服器應有備援主機�,以備主要作業(yè)主機無法正常運作時之用。(七)���、網(wǎng)路硬體設備應加裝不斷電系統(tǒng)����,以防止不正常的斷電狀況。?六����、使用者管理(一)、使用者應遵守「臺灣學術網(wǎng)路使用規(guī)範」及相關規(guī)定��。(二)�����、被授權(quán)的網(wǎng)路使用者�,只能在授權(quán)範圍內(nèi)存取網(wǎng)路資源。(三)��、使用者應遵守相關安全規(guī)定��,如有違反��,應撤消其網(wǎng)路資源存取權(quán)利����,並依相關法規(guī)處理。(四)��、網(wǎng)路使用者不得將自己的登入身份識別與登入網(wǎng)路的密碼交付他人使用��。(五)、應禁止網(wǎng)路使用者以任
7���、何方法竊取他人的登入身份與登入網(wǎng)路通行碼����。(六)����、應禁止及防範網(wǎng)路使用者以任何儀器設備或軟體工具竊聽網(wǎng)路上的通訊。?七����、主機安全防護單位存放機密性及敏感性資料之大型主機或伺服器主機(如DomainNameServer等)���,除作業(yè)系統(tǒng)既有的安全設定外�,應強化身份辨識之安全機制�����,防止遠端撥接或遠端登入資料經(jīng)由電話線路或網(wǎng)際網(wǎng)路傳送時�,被偷窺或截取(如一般網(wǎng)路服務HTTP、Telnet���、FTP等的登入密碼)����,及防制非法使用者假冒合法使用者身分登入主機進行偷竊、破壞等情事����。八、系統(tǒng)與網(wǎng)路入侵之處理(一)����、立即拒絕入侵者
8、任何存取動作����,防止災害繼續(xù)擴大;當防護網(wǎng)被突破時����,系統(tǒng)應設定拒絕任何存取����;或入侵者己被嚴密監(jiān)控,在不危害內(nèi)部網(wǎng)路安全的前題下,得適度允許入侵者存取動作����,以利追查入侵者。(二)���、切斷入侵者的連接�����?���;驗檫_到追查入侵者的目的�����,可考慮讓入侵者做有條件的連接��,一旦入侵者危害到內(nèi)部網(wǎng)路安全��,則必須立即切斷入侵者的連接����。(三)、應全面檢討網(wǎng)路安全措施及修正防火牆的設定����,以防禦類似的入侵與攻擊。(四)
