校园资安管理原则.docVIP

校園資安管理原則一般人員個人電腦與資訊應用 一、 個人電腦應安裝防毒軟體，並經常修補系統漏洞。除定期更新病毒碼與系統漏洞修補程式外，每次開機使用前，建議可以先檢查是否已更新病毒碼及漏洞修補至必威体育精装版版本。 二、 為避免感染病毒，建議關閉電子郵件預覽窗格功能。 三、 對於來路不明之電子郵件，不宜隨意打開，以免啟動惡意程式執行檔，使個人電腦與資訊系統遭到破壞。 四、 為避免導致他人電腦感染電腦病毒，不任意轉寄來歷不明之電子郵件。 五、 不瀏覽任何可疑或非法網站。 六、 不使用電腦設備時，宜採取登出、設定螢幕保護功能、關機或其他適當之保護措施。 七、 個人電腦應啟用螢幕保護程式功能，並設定密碼保護，於電腦暫時無人使用時可自行啟動。啟動螢幕保護程式的時間設定可依單位或個人之工作業務特性進行調整。 八、 不可運用電子郵件大量傳送廣告信或其他造成收信人困擾之垃圾郵件，避免影響郵件服務系統之正常運作。 九、 傳真機敏或重要之資訊文件時，接收與傳送端皆應確定有人，傳送完成後應立即從傳真機取走。 十、 建立個人資安防護意識，留意資安相關新聞與資訊。 密碼使用原則 一、 避免將帳號、密碼記錄於書面或張貼於容易洩漏之處 ( 例如以便條紙書寫個人帳號與密碼貼於電腦螢幕上 ) 。 二、 當發現密碼有可能遭受破解或竊取之可疑跡象時，應立即變更密碼。 三、 於應用軟體完成安裝作業後，應更改該軟體預設之使用者密碼。 四、 使用者第一次登入資訊系統時，應更改臨時性啟始 ( 首次使用 ) 密碼。 五、 應設定防禦強度較高之密碼，以下為建議設定原則：  密碼建議設定至少六碼以上。 密碼可採用文數字混合、特殊字元符號與大小寫英文字母混合來進行設定。 密碼沒有明顯意義。 六、 不任意向任何人提供個人帳號及密碼 七、 不使用非授權帳號與密碼。 八、 宜定期 ( 例如每月、每季、每半年等 ) 變更密碼。 智慧財產權 一、 應尊重智慧財產權，單位或 個人使用、複製及修改電腦軟體，應依著作權法相關規定辦理。 二、 不應使用任何非法或未經授權軟體，落實使用合法電腦軟體。 資訊系統管理者/資訊安全管理者資訊系統管理與安全防護 一、 應視資訊系統重要性、系統架構與網路架構選擇適當之安全防護措施 ( 例如防火牆、入侵偵測 / 防禦系統、防毒軟體等 ) 來提升資安防禦能力。 二、 存放系統使用者申請或註冊的資料檔案，應採用適當授權管控方式或加密方式處理，以防資料外流。 三、 為保護重要檔案及資訊，應採行適當的措施 ( 例如檔案加密、資料備份等 ) ，以防止資料遺失、毀壞及被偽造或竄改。 四、 資訊系統應檢測與修補系統漏洞或弱點。於安裝相關 修補程式前，建議可先經過評估與測試，以確認不會對系統運作造成負面影響。 五、 不使用電腦設備時，宜採取登出、設定螢幕保護功能、關機或其他適當之保護措施。 六、 資訊系統應盡量避免共用帳號。 七、 系統重要資訊 ( 例如系統紀錄、稽核紀錄等 ) ，宜依照單位需求與相關規範來進行備份作業，並應確認備份作業結果之有效性。 八、 宜針對重要資訊系統毀損或失效來制訂相關系統復原計畫與執行步驟。 九、 應確認所管理之系統帳號皆為合法授權者，避免出現閒置 ( 無人使用 ) 帳號或非授權使用者帳號 ( 例如職務調動或離職者等 ) 。 十、 應針對會造成單位危害之資安事件來建立事件通報機制，以提升組織緊急應變處理能力。 十一、 單位宜根據組織安全防護需求與資訊系統重要性來建立弱點掃描機制與弱點修補機制。 十二、 建議定期瀏覽資安相關網站或論壇 ( 例如國家資通安全會報技服中心網站 ) 以獲得新的資訊安全相關訊息或知識。 十三、 定期檢視資訊系統之異常作業相關紀錄，以確認是否有未發現或潛在之資安威脅與弱點。 十四、 宜將資訊系統安全管理相關作法與活動進行文件化，讓資訊系統管理人員、系統維護人員與資安管理人員有更具體之作業指引。 密碼使用原則 一、 當發現管理者密碼可能遭到破解或竊取之可疑跡象時，應立即變更密碼。 二、 在資訊系統完成安裝作業後，應立即變更該系統預設的管理者密碼。 三、 應設定高防禦強度之管理者密碼，以下為建議設定原則：  密碼建議設定至少六碼以上。 密碼可採用文數字混合、特殊字元符號與大小寫英文字母混合來進行設定。 密碼沒有明顯意義。 四、 妥善保管帳號及密碼，不隨意透漏或提供給他人使用。 五、 應定期 ( 例如每月、每季等 ) 變更管理者密碼。 智慧財產權 一、 應尊重智慧財產權， 單位或個人使用、複製及修改電腦軟體，應依著作權法相