云林县100年度提升校园资讯安全服务计画，请务必出席-云林县教育网.doc

雲林縣100年度提升校園資訊安全服務計畫 壹、依據：教育部暨本縣年度推動資訊教育細部計畫。 貳、目的： 一、使學校系統管理人員有足夠能力執行日常基礎之資安管理系統維護工作，並使其瞭解資安事件通報之程序。 二、學校鼓勵所有教職員參與資訊安全教育訓練或宣導活動，以提昇資訊安全認知。 參、指導單位：教育部 肆、主辦單位：雲林縣政府 伍、辦理學校：鎮東國小、古坑國小、林內國小、斗南國小、莿桐國小、大埤國小、虎尾國小、土庫國小、褒忠國小、東勢國小、崙豐國小、中山國小、二崙國小、崙背國小、麥寮國小、南陽國小、元長國小、四湖國小、口湖國小、水林國小。 陸、辦理內容： 一、適用範圍：學校內電腦、資訊與網路服務相關的系統、設備、程序、及人員。設定目標範圍(ISMS)之框架依國中、小學資通安全管理系統(ISMS)實施原則共四項： （一）網路安全 （二）系???安全 （三）實體安全 （四）人員安全 二、建置資通安全管理系統(ISMS)：以營運風險導向(作法)為基礎，用以建立、實作、運作、監視、審查、維持及改進資訊安全。 （一）建立 1.界定校園ISMS政策 2.建立校園資訊安全管理要點與人員資訊安全守則 3.識別並盤點校園的資訊資產 4.建立校園資訊安全相關紀錄表單 （二）實作與運作： 1. ISMS運作與資源管理 2.資訊資產之控管 3.降低個人資料外洩之風險 4.提升校園資訊素養 （三）監視與審查 1.管理階層審查會議 2.內部稽核 （四）維持與改進 矯正與預防措施 三、個人資料保護法(資訊素養教育訓練)。 四、資訊安全通報平台與資訊安全事件演練。 五、縣網中心輔導時程表： 六月1.校園導入ISMS計畫會議 2.輔導與稽核課程七~八月1.協助建立單位資訊安全政策與範圍 2.協助建立單位資訊安全管理要點與人員資訊安全守則 2.協助檢視資訊資產盤點 3.協助建立資訊安全相關紀錄表單九～十月1.協助ISMS各項運作與管理 2.協助檢視各項表單之紀錄 2.單位管理審查會議十一月1.進行單位內部稽核活動 2.針對稽核結果協助提出矯正與改善措施六、陳附國中、小學資通安全管理系統實施原則（如附件）。 柒、經費：執行本項計畫稽核人員經費由教育部專款補助。 捌、獎懲： 一、辦理本項計畫執行有功人員，圓滿執行任務後，依本府公立中小學授權獎懲案件處裡要點敘獎 二、辦理本項計畫達成資安稽核學校，依本府公立中小學授權獎懲案件處裡要點敘獎 玖、本計畫經奉准後公布實施，修正時亦同。 國中、小學資通安全管理系統 實施原則 中 華 民 國 96 年 5 月 30 日 國中、小學資通安全管理系統實施原則 文件目標 本文件提供國中、小學資通安全系統管理實施原則建議。 適用範圍 國中、小學內電腦、資訊與網路服務相關的系統、設備、程序、及人員。 實施原則 網路安全 網路控制措施 學校與外界連線，應僅限於經由縣網中心之管控，以符合一致性與單一性之安全要求。 學校內特殊系統（例如會計系統、學生學籍、成績原始資料系統等）之資料，當有必要透過網路進行傳輸時，建議透過虛擬私有網路（Virtual Private Network, VPN）或同等連線方式進行；若無透過網路進行傳輸需求，則建議區隔於網路之外。 應禁止以電話線連結主機電腦或網路設備。 網路安全管理服務委外廠商合約之安全要求 委外開發或維護廠商必須簽訂安全必威体育官网网址切結書（參考切結書範本，文件編號A-1）。 系統安全 職責區隔 學校主機電腦可依個別應用系統之需要，設置專屬電腦，例如網路服務主機（電子郵件、網站主機）、教學系統主機（例如隨選視訊主機）。 學校的行政系統主機（例如財務、人事、公文系統等）電腦，建議由各個縣（市）教育網路中心或教育局等單位統籌管理。 對抗惡意軟體、隱密通道及特洛依木馬程式 學校內的個人電腦應： 裝置防毒軟體，將軟體設定為自動定期更新病毒碼；或由伺服器端進行病毒碼更新的管理 定期（至少每個月）進行如「Windows Update」之程式更新作業，以防範作業系統之漏洞 學校內個人電腦所使用的軟體應有授權。 新系統啟用前，應經過掃毒與更新系統密碼程序，以防範可能隱藏的病毒或後門程式。 資料備份 學校(或委託)系統管理人員需針對學校重要系統（例如系統檔案、應用系統、資料庫等）定期進行備份工作，或採用自動備份機制；建議週期為每週進行一次。 操作員日誌 學校(或委託)系統管理人員需針對敏感度高、或包含特殊資訊的電腦系統進行檢查、維護、更新等動作時，應針對這些活動填寫日誌予以紀錄，作為未來需要時之檢查。 日誌內容可包含以下各項： 系統例行檢查、維護、更新活動的起始時間 系統錯誤內容和採取的改正措施。[參考日誌範本，文件編號A-2] 紀錄日誌項目人員姓名與簽名欄 資訊存取限制 學校內所