資訊安全與政策
資訊安全願景:強化人員認知、避免資料外洩;落實日常維運、確保服務可用。
資訊安全目標:
- 辦理資訊安全教育訓練,推廣人員資訊安全之意識與強化其對相關責任之認知。
- 保護本校業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
- 實施定期監控與資訊安全內部稽核制度,確保資訊安全管理之落實執行。
- 確保所提供之服務能夠維持一定水準之可用性。
緣由
本校積極推動資訊化並重視資訊安全議題,提升資訊安全推動層級,由副校長擔任本校資訊安全長一職,並由圖書暨資訊處處長帶領,導入ISO 27001流程改善團隊,於2006年6月開始推動ISO 27001認證,於2007年8月1日正式取得「ISO 27001資訊安全管理」認證,成為全國各大學院校中少數率先獲得ISO 27001認證通過的學校。自取得證書歷經2013年10月 ISO27001 重大改版迄今,依照ISO27001規範,每三年換證一次,每年並委託公正第三方機構定期追查。目前已執行進入第10年。
目的
依據行政院所屬各機關資訊安全管理要點及相關規定,規範圖書暨資訊處(以下簡稱本處))主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資通安全管理規範,確保本處業務資訊之機密性、完整性與可用性。
範圍
適用於本處機房管理、網路管理、東海雲、電子郵件系統、身分認證主機、東海大學官方網站、學籍成績系統、教師資訊系統以及人事系統等作業涉及之所有資訊資產適用性之安全控管。
組織及權責
本中心設置「資通安全暨個人資料保護委員會」,負責建立組織全景分析制度並推動相關事項。由圖書資訊處處長擔任召集人,負責召集內、外部議題與關注者之期望與需求討論會議,並追蹤其決議事項。另設立資通安全工作小組,負責相關業務之執行、資訊安全預防及危機處理。
資訊安全作業規範
- 個人資訊安全
- 個人密碼至少8碼,每年變更一次。
- 設定螢幕保護裝置,時間10分鐘,以密碼保護。
- 安裝防毒軟體,啟動即時病毒防範機制(或每週排程一次)。
- 使用影印機、印表機、傳真機後應立即將資料取走。
- 下班後或人員離開辦公室,業務相關資料應收置櫃內或卷宗夾,重要資料勿直接置放個人桌面(桌面淨空)。
- 機密性資料文件,如以電子檔案、電子郵件方式傳遞時,需以ZIP編碼加密。
- 辦公區域門禁管理
- 工作時間內應配帶本校製發之服務證。
- 委外人員應配帶原公司所製發之員工證或本處製發之訪客證。
- 非本處員工需於填寫【辦公室訪客進出登記表】,並由本處人員陪同進入。
- 學生僅於本處資訊服務台執行作業。
- 電腦機房管制
- 廠商因業務需進入電腦機房,如攜帶資訊設備(含可攜式設備/媒體),廠商應填具【電腦機房作業申請單】。
- 未經授權人員需進出機房須填寫【電腦機房進出登記表】,並由機房維運人員或已經授權之人員(有門禁感應磁扣者)陪同進入。
- 系統維護/作業安全(主機及作業系統、資料庫系統、應用系統、網路設備)
- 系統變更或更新(update、patch)時,系統負責人應填【系統維護紀錄表】;若系統為委外廠商維護,應附廠商之維修紀錄單影本。
- 與外單位有資料提供交換時,應請申請單位填寫【資訊需求申請單】。
- 測試環境使用之設備環境應獨立,不與提供線上服務之設備環境共用。
- 正式線上之資料庫資料執行測試時,應將機敏性資料轉換為虛擬資料。
- 當系統完成建置或委外人員維護作業完畢後,應立即更改所有管理權限密碼。
- 委外廠商作業安全
- 與廠商簽訂合約時,合約內容需含【保密合約書】,委外人員進行作業前應簽具【委外人員保密同意書】。
- 廠商維護以到場服務為原則,若有外部連線之需求,須填寫【廠商連線申請單】。
- 資訊設備報修外送修應請廠商填寫【資訊設備放行條】。若非儲存媒體損壞應先拔除;若儲存機敏性資訊,應先備份並刪除機敏性資訊。
- 資安事件通報
- 發現中毒、入侵、服務中斷或其他可疑資安事件,應立即向「資訊安全工作小組」或網路組長通報。
- 電腦機房/網路設備/主機維運管理作業安全
- 電腦機房/網路設備/主機維運管理人員之作業安全依據『系統維運資訊安全守則』辦理。
- 依據矯正預防處理單所提對策項目,確實執行及追蹤其成效。
實施
本政策經「資通安全暨個人資料保護委員會」核定後實施,修訂時亦同。