国立空中大学系统开发与维护程序书.PDFVIP

國立空中大學系統開發與維護程序書 經 98學年度第 2次資訊環境規劃委員會通過 (99.6.1) 經 99學年度第 1次資訊環境規劃委員會修訂通過 (99.12.28) 1.目的 國立空中大學（以下簡稱本校）為開發、測試與維護資訊系統（含網頁製作）特訂定本程 序書。 2 適用範圍 本校施作範圍內資訊系統（含網頁製作，以下提及系統均含網頁製作）之程式開發相關支 援活動，如既有線上系統之測試、修改、維護、上線變更、原始碼之管控與儲存等作業。 3 權責 本校相關資訊系統（含網頁製作）開發、維護人員與委外人員：遵守本程序書之相關規定， 以確保本單位相關軟體與資料等資訊資產之安全。 4 名詞定義 無。 5 作業說明 5.1 一般控制措施 5.1.1當發展新資訊系統，或現有系統功能之強化，於系統規劃需求分析階段，即將安 全需求要項納入系統功能。 5.1.2除由系 統自動執行之安全控管措施之外，亦可考量由人工執行相關控管措施。 5.1.3 於採購套裝軟體時，視其安全需求，進行分析。除事前經軟體使用單位主管核准 外，應避免修改套裝軟體，如需修改應依本程序書之變更作業控制措施加以控管。 5.1.4 系統之安全需求及控制程度，應與資訊資產價值相稱，並考量安全措施不足，可 能帶來之傷害程度。 5.1.5資訊系 統應保護敏感等級（含）以上之資料，防止洩漏或被竄改，必要時應使用 資料加密等技術保護。 5.1.6 在作業 系統上執行應用軟體，應建立控制程序並嚴格執行，為減少可能危害作業 系統之風險，應用程式之更新作業應限定只能由授權之管理人員才可執行，且應 建立應用程式之更新稽核紀錄。 5.1.7 真實資料被複製到測試系統時，應依複製作業之性質及內容，在取得授權後始能 -１- 進行且需對真實資料進行適當遮蔽掩蔽。真實資料之複製情形應予以紀錄，以備 日後稽核之用。 5.1.8 系統若需委外建置或維護，請參考「國立空中大學資訊委外服務資訊安全管理事 項」。 5.1.9 系統弱點管理，應定期查核技術符合性，進行弱點掃描或滲透測試，以確定資訊 系統及網路環境符合安全實施標準。掃描週期如下： 5.1.9.1 每半年至少針對伺服器執行一次。 5.1.9.2 當系統有重大變動時。 5.1.9.3 新系統上線前。 5.1.10資訊如涉及重要資料之傳輸，應使用加密傳輸，並依下列規定進行金鑰之管理︰ 5.1.10.1 金鑰應有明確的啟動與止動日期，並於可用期間，保護其不被修改、遺 失和破壞。 5.1.10.2 系統端金鑰之使用與存取，應限於金鑰之系統管理者，不可由其他非系 統管理者任意存取。 5.1.10.3使用者端金鑰之使用，應限於權責單位承辦人員，用畢應鎖於安全之處 所或專人保管。 5.1.10.4 對於金鑰之使用、啟動、止動，皆應留存相關之稽核紀錄。 5.2軟體 控制措施 5.2.1作業系 統變更時，應審查與測試重要營運系統，以確保對組織作業或安全無不利 之衝擊。 5.2.2 系統軟體安裝：系統軟體應由系統負責人進行安裝，安裝時應視狀況通知相關技 術人員支援或通知使用者，以避免資訊服務中斷或影響業務。 5.2.3 系統軟體測試 5.2.3.1軟體測試由系統負責人辦理，測試時應事先公告並通知協調相關人員支