華梵大學資訊安全管理作業辦法

97 年5 月14 日第124 次行政會議通過

第一條 華梵大學(以下簡稱本校)為強化資訊安全管理,建立安全及可信賴之電子化系統, 確保資料、系統、設備網路之安全,特依「行政院及所屬各機關資訊安全管理要點」 訂定本辦法。

第二條 本校有關資訊安全管理事務依下列分工原則:
一、資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由圖書資訊處負責辦理。
二、資料及資訊系統之安全需求研議、使用管理及維護等事項,由業務單位負責辦理。
三、資訊安全稽核事項,由秘書室會同相關單位負責辦理。

第三條 本校由校長擔任資訊安全長,負責資訊安全管理事項之協調及推動,並由圖書資訊長擔任執行秘書。

第四條 資訊安全應定期或不定期進行稽核。

第五條 各單位對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要之考核;各單位對可存取機密性或敏感性資訊或系統之人員,及因工作需要須配賦系統存取特別權限之人員,應加強評估及考核。

第六條 各單位應加強資訊安全人力之培訓,提升資訊安全管理能力,若資訊安全人力或經驗如有不足,得洽請圖書資訊處提供服務,必要時洽請學者專家或專業機關(構)提供顧問諮詢服務。

第七條 各單位負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,實施人員輪調,建立人力備援制度。

第八條 資訊作業相關人員離職時,應取消其進出識別證,並確實做好電腦軟硬體及相關文件之移交工作。

第九條 各單位業務主管應負責督導所屬員工之資訊作業安全,防範不法及不當行為。

第十條 各單位辦理資訊業務委外作業時,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約中,要求廠商遵守及定期考核,並派員監督。

第十一條 各單位對系統變更作業,應建立控管制度並建立紀錄備查。

第十二條 各單位使用軟體之權利及義務應依著作權法及有關議定之合約辦理。

第十三條 各單位應採行必要之事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。

第十四條 各單位利用公眾網路傳送資訊或進行交易處理,應遵守「華梵大學校園網路使用管理辦法」;並應評估可能之安全風險,確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求。

十五條 各單位應針對資料傳輸、撥接線路、網路線路與設備、對外連接介面及路由器等事項,研擬妥適安全控管措施。

十六條 各單位與外界網路連接之網點,必要時得以防火牆或其他安全設施,控管外界與單位內部網路之資料傳輸及資源存取。

十七條 各單位開放外界連線作業之資訊系統,必要時得視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。

第十八條 各單位利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。單位網站存有個人資料及檔案者,應加強安全保護措施,防止個人隱私資料遭違法或不當之竊取使用。

第十九條 機密性資料及文件,不得以電子郵件或其他電子方式傳送。機密性資料以外之敏感性資料及文件,如有電子傳送之需要,應視需要以適當之加密或電子簽章等安全技術處理。單位業務性質特殊,須利用電子郵件或其他電子方式傳送機密性資料及文件者,得採用權責主管機關認可之加密或電子簽章等安全技術處理。電子郵件使用相關規定另訂之。

第二十條 各單位應依資訊安全政策,賦予各級人員必要之系統存取權限;賦予之系統存取權限,應以執行法定任務所必要者為限。對被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員,應經審慎之授權評估。
第二十一條 各單位離(休)職人員,應立即取消使用校內各項資訊資源之所有權限,並列入人員離(休)職之必要手續。各單位人員職務調整及調動,應依系統存取授權規定,限期調整其權限。

第二十二條 各單位應建立教職員工生及使用者註冊管理制,加強通行碼管理,並要求定期更新;其通行碼之更新週期,由各單位視作業系統及安全管理需求決定,最長以不超過六個月為原則。對單位內外擁有系統存取特別權限之人員,應建立使用人員名冊,加強安全控管,並縮短通行碼更新週期。

第二十三條 各單位開放外界連線作業,應事前簽訂契約或協定,明定其應遵守之資訊安全規定、標準、程序及應負之責任。

第二十四條 各單位對系統服務廠商以遠端登入方式進行系統維護者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。

第二十五條 各單位之重要資料及系統委外廠商處理者,不論在機關內外執行,均應採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。

第二十六條 各單位應確立系統稽核項目,建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業;系統中之稽核紀錄檔案,應禁止任意刪除及修改。

第二十七條 各單位自行開發或委外發展之系統,應在系統之初始階段即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動等作業,應予安全管制,避免不當軟體及電腦病毒危害系統安全。

第二十八條 對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行碼;基於實際作業需要,得核發短期性及臨時性之系統辨識與通行碼供廠商使用,但使用完畢後應立即取消其使用權限。

第二十九條 委託廠商建置及維護重要軟硬體設施時,應在本校相關人員監督及陪同下始得為之。

第三十條 各單位對於儲存各項機密資料或程式軟體之磁片、磁碟、磁帶、光碟片及報表等媒體,應設專人管理並定期備份,防止資料洩漏或損毀。

第三十一條 對於需要長期保留或重要檔案之備份資料,應存放在防火、防潮、防磁的設備中。

第三十二條 各單位對於電腦設備之裝置地點,應考量使用及管理上之安全,並應指定專人負責管理,非經奉准之人員,不得進入及隨意操作設備。

第三十三條 各單位應訂定業務永續運作計畫,評估各種人為及天然災害對單位正常業務運作之影響,訂定緊急應變與回復作業程序及相關人員之權責,並定期演練及調整更新計畫。

第三十四條 若發生資訊安全事件,應立即向相關人員通報,以採取適當反應措施。若有情節嚴重者,則聯繫檢警調單位協助偵查。

第三十五條 本辦法經行政會議通過,報請校長核定後施行,修正時亦同。