教育部补助委办采购维护伺服主机及应用系统-Mail2000邮件系统.docVIP

下载本文档

2
0
约6.18千字
约 8页
2017-03-18 发布于天津
举报
版权申诉

教育部补助委办采购维护伺服主机及应用系统-Mail2000邮件系统.doc

1、本文档共8页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

教育部补助委办采购维护伺服主机及应用系统-Mail2000邮件系统.doc

教育部補助委辦採購維護伺服主機及應用系統網站資訊安全管理要點修正規定第一章總則一、教育部（以下簡稱本部）為落實個人資料保護法、國家機密保護法、行政院及所屬各機關資訊安全管理要點及本部資訊安全管理規範等相關規定，特訂定本要點。二、本部以補助或委辦方式，辦理採購、建置或維護之伺服主機及應用系統網站相關業務之機關（構）、學校及廠商（以下簡稱受補助或委辦單位），應以書面、電子傳輸或其他方式告知本要點研定義務，並規範其所屬員工及相關人員(包含分包或臨時人員)，依本要點辦理。三、本部資訊業務委辦時，應於事前審慎評估可能之潛在安全風險（如資料或使用者通行碼被破解、系統被破壞或資料損失等風險），並與受補助或委辦單位簽訂適當之資訊安全協定，課予相關之安全管理責任，並納入契約條款。四、補助或委辦之應用系統(網站)其營運涉及個人資料蒐集、處理、利用等事項者，受補助或委辦單位視同補助或委辦單位，並依個人資料保護法相關法規辦理。第二章綜合管理五、受補助或委辦單位應配合本部資訊安全規定，執行相關工作。前項本部資訊安全規定，由本部依相關法規訂定之，並公告於本部網站首頁。六、受補助或委辦單位，應填寫資訊安全必威体育官网网址合約書。相關人員執行委託業務前，應填寫必威体育官网网址承諾書。必威体育官网网址合約書及相關人員之必威体育官网网址承諾書應簽署一式兩份，由本部補助或委辦單位及受補助或委辦單位留存。七、受補助或委辦單位應配合本部進行資訊安全事件處理、演練及緊急應變措施等相關安全工作事項。受補助或委辦單位與本部簽訂之契約條款中，應包含營運持續管理(BCM, Business Continuity Management)計畫，並要求服務水準協議(SLA, Service Level Agreement)，並定義相關RTO(Recover Time Objective)、RPO(Recover Point Objective)。八、資安事件發生時，受補助或委辦單位及業務承辦人應配合本部資安事件通報應變流程，協助於時限內完成事件排除。前項之處理時限，依行政院「國家資通安全通報應變、作業要綱」及本部資訊安全管理規範規定之時限。九、本部應用系統(網站)委外開發時，應通過安全性檢測(弱點掃描、滲透測試)並持續維護，降低遭受入侵、竄改或刪除之風險。補助或委辦單位宜將安全性要求，或個人資料蒐集與利用之相關資料(資料類別、目的及法規依據)納入專案契約，並規劃適當經費執行。十、應用系統(網站)委外之承辦單位，應每年定期維護應用系統(網站)業務負責人、應用系統負責人及維護單位等相關通訊及聯絡資料，並告知資訊及科技教育司資訊安全業務承辦人。十一、應用系統(網站)委外，其所申請之網域(domain)、網路位址(IP)之使用期間，以三年為限，期滿應用系統(網站)委外承辦單位應重新提出申請。十二、下列資訊安全事項，應納入資訊業務委外之服務契約：涉及機密性、敏感性或關鍵性之應用系統項目。應經核准始得執行之事項。受補助或委辦單位如何配合執行本部營運持續運作(BCM,Business Continuity Management)計畫。受補助或委辦單位應遵守之資訊安全規範及標準，以及評鑑受補助或委辦單位遵守資訊安全標準之衡量及評估作業程序。受補助或委辦單位處理及通報資訊安全(包括違反個人資料保護法)事件之責任及作業程序。十三、應用系統(網站)開發，應預作下線或停止服務等退場機制，及保留所有原始契約和源碼(SOURCE CODE)，並於契約中詳述本部及受補助或委辦單位個別之權利與義務。十四、本部應用系統(網站)業務補助或委辦單位應監督受補助或委辦單位，如未依本辦法落實應用系統(網站)資訊安全管理，致發生資安事件，依本部職員懲處要點相關規定議處。第三章作業系統管理十五、伺服主機應安裝主機型防火牆，阻絕不使用之網路通訊埠，及定期檢視防火牆策略清單是否符合資安要求。十六、所有伺服器應安裝防毒軟體，並隨時更新病毒碼及檢查運作是否正常。十七、伺服主機應即時進行作業系統及相關軟體更新及修補，並定期或不定期進行主機弱點掃描。十八、主機、系統維護時，應於加密管道進行(如SSH,SSL等)，並限制維護來源IP。十九、受補助或委辦單位及系統維護人員不得使用任何遠端遙控軟體進行系統管理、維護或更新。但有警急狀況必須使用時，應於防火牆與伺服主機內限定維護來源之IP，並設定時限。二十、管理者不在場時，主控台(Console)應置於登出狀態，並設置密碼管理。二十一、系統不得提供網路芳鄰功能，若單位建置完成系統、網路、主機等安控措施則不在此限。二十二、主機系統每半年/不定期依人事組織進行實際使用權限之調整，變更使用者權限，協助本部業務負責人檢查各系統之使用者存取權限(利用應用系統存取權限清單)。