欢迎来到天天文库
浏览记录
ID:13344124
大小:83.00 KB
页数:10页
时间:2018-07-22
《国立中正大学资讯安全管理规範实施要点》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、國立中正大學資訊安全管理規範實施要點第二四○次行政會議修正通過(89.1.3)壹、依據教育部台(八八)電字第八八一一四七0九號函及「行政院所屬各機關資訊安全管理規範」。貳、資訊安全之目的為強化本校資訊安全管理,建立安全及可信賴之電子化機關,確保資料、系統、設備及網路安全,保障教職員工生權益,特訂定本規範。參、通則本要點所稱各單位,指本校所屬各處、室、院、系所、中心及圖書館。肆、人員安全管理及教育訓練1.甄選及進用之人員,如其工作職責須使用處理敏感性資訊的資訊科技設施或涉及機密性及敏感性資訊者,應經適當的安全評估程序。2.
2、員工使用資訊科技設施應依相關規定課予機密維護責任,並進行資訊安全教育及訓練。伍、系統與網路之安全管理一、電腦病毒及惡意軟體之防範(一)、建立軟體管理政策,規定使用者應遵守軟體授權規定,禁止使用未取得授權的軟體。(二)、電腦病毒防制軟體應定期更新。(三)、使用防毒軟體事前掃瞄電腦系統及資料儲存媒體,偵測有無感染電腦病毒。(四)、對來路不明及內容不確定的磁片,應在使用前詳加檢查是否感染電腦病毒。(五)、應遵守智慧財產權相關規定。 二、個人資料之保護(一)、應依據電腦處理個人資料保護法等相關規定,審慎處理個人資訊。(二)、應建
3、立個人資料控制及管理機制,並視需要指定負責個人資料保護之人員,以便協調管理人員、使用者及系統服務提供者,促使相關人員瞭解各部門應負的個人資料保護責任,以及應遵守之作業程序。 三、日常作業之安全管理(一)、應準備足夠的備援設施,定期執行必要的資料及軟體備份及備援作業,以便發生災害或是儲存媒體失效時,可迅速回復正常作業。(二)、系統發生作業錯誤時,應正式記錄下來,並報告權責主管人員,並採取必要的更正行動。(三)、電腦作業環境如溫度、溼度及電源供應之品質等,應隨時監測,並採取必要的補救措施。 四、電腦媒體與資料文件之安全管理(
4、一)、可重複使用的資料儲存媒體,不再繼續使用時,應將儲存的內容消除。(二)、須離辦公場所的儲存媒體,應建立書面的授權規定,並建立使用紀錄。(三)、儲存媒體應依製造廠商提供的保存規格,存放在安全的環境。(四)、系統文件應鎖在安全的儲櫃或其他安全場所。(五)、委外處理的電腦文具、設備、媒體蒐集及委外處理資料,應慎選有足夠安全管理能力及經驗的機構作為委辦對象。(六)、應保護重要的資料檔案,以防止遺失、毀壞、被偽造或竄改。(七)、與他單位進行電子資料交換,應採行保護措施,以防止資料受損及未經授權的資料存取及竄改。 五、網路服務之
5、管理(一)、系統的最高使用權限,應經權責主管人員審慎評估後,交付可信賴的人員管理。(二)、網路系統管理人員應負責製發帳號,供授權的人員使用。(三)、提供給內部人員使用的網路服務,與開放業務有關人員從遠端登入內部網路系統的網路服務,應執行嚴謹的身分辨識作業,或使用防火牆代理伺服器(ProxyServer)進行安全控管。(四)、離(休)職人員應依資訊安全規定及程序,取銷其存取網路之權利。(五)、網路系統管理人員未經權責主管人員許可,不得閱覽使用者之私人檔案;但如發現有可疑的網路安全情事,網路系統管理人員得依授權規定檢查其檔案
6、。(六)、網路系統中各主要主機伺服器應有備援主機,以備主要作業主機無法正常運作時之用。(七)、網路硬體設備應加裝不斷電系統,以防止不正常的斷電狀況。 六、使用者管理(一)、使用者應遵守「臺灣學術網路使用規範」及相關規定。(二)、被授權的網路使用者,只能在授權範圍內存取網路資源。(三)、使用者應遵守相關安全規定,如有違反,應撤消其網路資源存取權利,並依相關法規處理。(四)、網路使用者不得將自己的登入身份識別與登入網路的密碼交付他人使用。(五)、應禁止網路使用者以任何方法竊取他人的登入身份與登入網路通行碼。(六)、應禁止及防
7、範網路使用者以任何儀器設備或軟體工具竊聽網路上的通訊。 七、主機安全防護單位存放機密性及敏感性資料之大型主機或伺服器主機(如DomainNameServer等),除作業系統既有的安全設定外,應強化身份辨識之安全機制,防止遠端撥接或遠端登入資料經由電話線路或網際網路傳送時,被偷窺或截取(如一般網路服務HTTP、Telnet、FTP等的登入密碼),及防制非法使用者假冒合法使用者身分登入主機進行偷竊、破壞等情事。八、系統與網路入侵之處理(一)、立即拒絕入侵者任何存取動作,防止災害繼續擴大;當防護網被突破時,系統應設定拒絕任何存
8、取;或入侵者己被嚴密監控,在不危害內部網路安全的前題下,得適度允許入侵者存取動作,以利追查入侵者。(二)、切斷入侵者的連接。或為達到追查入侵者的目的,可考慮讓入侵者做有條件的連接,一旦入侵者危害到內部網路安全,則必須立即切斷入侵者的連接。(三)、應全面檢討網路安全措施及修正防火牆的設定,以防禦類似的入侵與攻擊。(四)
此文档下载收益归作者所有