資訊安全管理政策
國立臺灣科學教育館資訊安全管理作業規範
壹、依據:
教育部96年12月19日台電字0960196582號函頒發之「教育部所屬機關及各公私立學校資通安全工作事項」。
貳、適用對象:
本規範適用對象如下:
一、本館全體同仁(含工讀生、臨時人員、替代役)。
二、來館使用網路民眾
三、委外資訊廠商及其他與本館業務相關人員。
參、本作業規範適用範圍包括:網路安全管理、電腦設備安全管理及應用軟體安全管理。
一、網路安全管理作業規範如下:
(一)、電腦網路使用與資訊安全管理:
1. 本館處理行政公務電腦網路使用以網域帳號及密碼控管。
2. 處理行政公務電腦禁止將帳號與密碼交付他人運用,並不得使用他人帳號與密碼登入電腦,離職時由資訊單位將密碼帳號刪除。
3. 禁止利用點對點軟體分享下載資料或將館內電腦資料匣開放讓館外人員分享使用。
4. 網路使用者應關閉網路資源分享功能,防止資料外流,並不得以任何手段蓄意干擾或妨害網路系統正常運作。
5. 禁止利用館內網路散播病毒、發表毀謗言論、傳送色情圖片等不當行為。
6. 館內處理行政公務電腦須遵守本館同仁使用電腦安全自我檢查表檢查規定。
7. 網路使用者應尊重智慧財產權,使用者避免下列可能涉及侵害智慧財產權之行為:
(1)來路不明或未經授權之電腦程式。
(2)下載、拷貝受著作權法保護之著作。
(3)未經著作權人同意,將受保護著作資料上傳於外部公開網站或部落格中。
(4)BBS或其他線上討論區上之文章,經作者明示禁止轉載,而仍然任意轉載或轉寄。
8. 廠商進行維護時應採行必要的事前預防及保護措施,以預防及偵測電腦病毒、木馬及邏輯炸彈等惡意軟體之侵入。
9. 無論與本館有無直接合約關係,廠商之人員有接觸本館資訊系統及機密資訊者,均負有保密責任。
10. 廠商對本館資訊資產不得未經授權的存取、洩漏、更改、破壞或干擾。
(二)、電子郵件安全管理(針對處理行政公務電腦):
1. 郵件軟體應關閉信件預覽功能。
2. 來路不明電子郵件不宜任意開啟,以免啟動駭客惡意執行檔。
3. 敏感性或具保密需求之郵件,應採取適當加密措施。
4. 禁止以匿名信或偽造他人名義發送電子郵件。
5.若有公告事項,依國立臺灣科學教育館資訊電子公告作業規範辦理。
二、電腦設備安全管理作業規範如下:
(一)、伺服器主機安全管理:
1. 電腦伺服器主機設備應妥善保管,並以帳號密碼控管。
2. 伺服器主機除由系統維護人員基於業務需要執行啟動及操控外,其他人員不得擅自操作。
3. 電腦伺服器專用電源插座,不得使用於電腦以外之設備,以免耗用不斷電系統電源,造成跳電當機,影響電腦正常運作。
4. 電腦伺服器周圍環境不得攜入或存放磁性、放射性、易燃性及易爆性物品,並嚴禁嬉戲、吸菸及飲用食物。
(二)、個人電腦設備安全管理:
1. 電腦應使用專用電源延長線,避免與其他電器用品共用插座,以免電力無法負荷導致火災等危害安全情事。
2. 個人電腦設備應維持整潔,電腦風扇出口禁止雜物阻擋,並注意通風,以維安全。
3. 使用個人電腦設備應盡善良保管人維護責任,禁止任意拆卸或安裝硬體。
4. 個人電腦於下班或公出時應關機以維設備安全。
5. 處理行政公務電腦應設螢幕保護程式密碼,時間為15分鐘以內,防止無關人員使用。
(三)、電腦設備作業系統安全管理:
1. 電腦設備作業系統及相關伺服器軟體應適時更新軟體及進行漏洞修補。
2. 電腦設備作業系統應安裝防毒軟體並適時更新病毒資料庫。
(四)、個人資訊安全管理:
1. 敏感性或具保密需求之資料應採檔案加密,存放辦公室固定電腦為主,並注意實體隔離,勿存放於隨身儲存設備中。
2. 若需公務電腦資料攜回家中處理,應先將隨身儲存設備中之敏感性或具保密需求資料刪除,以維安全。
3. 同仁經由網際網路下載檔案或使用隨身碟(USB)應立即進行病毒掃描,確認安全無毒後才可使用。
三、應用軟體安全管理作業規範如下:
(一)、本館各組室軟體購置與使用,應採合法授權軟體,同時符合智慧財產權相關法規規定。
(二)、一般性應用軟體採購各組室可依需求提出申請,並由資訊單位彙整,經館長核定後依採購程序辦理,購置後統一由資訊單位納入管理。
(三)、購入之軟體應依「國立臺灣科學教育館財物管理作業規範」配合總務組財產管理人員統一列冊管理,有關授權證明、原版程式及使用手冊由資訊單位妥善儲存與管理。
(四)、列冊管理之軟體依需要提供各單位使用,並應登錄使用者單位、姓名及使用日期等相關資料供管理參考。
(五)、採購應用軟體與系統、資料庫及程式開發等應用程式,應注意所有輸入欄位應有字元檢查功能,排除不必要特殊字元,以防止資料庫隱碼(SQL-Injection)攻擊。
肆、違反處分:
一、本館全體同仁:遵照教育部資安規定,每年定期由本館資訊人員進行內部稽核作業外,並且於平日進行不定期稽核,發現問題立即處理,未通過稽核項目處分說明如下
(一)一級:違反以下項目,由資訊單位進行口頭告誡,並請其立即改正,不改正者由資訊單位逕行改正。
1. 個人電腦下班或公出時未關機。
2. 螢幕保護程式未設密碼或螢幕等候時間大於15分鐘。
3. 使用個人電腦設備未盡善良保管人維護責任,任意拆卸或安裝硬體。
4. 個人電腦設備電腦風扇出口擺放雜物阻擋。
5. 電腦專用電源延長線與其他電器用品共用插座,導致電力無法負荷者。
6. 未遵守本館同仁使用電腦安全自我檢查表13項檢查項目。
(二)二級:違反以下項目,由資訊單位告發,報請該同仁主管口頭告誡並請當事人依行政程序檢討報告陳核,若涉有違反其他法律,由當事人自負其法律責任。
1. 敏感性或具保密需求之資料未採檔案加密。
2. 利用點對點軟體分享下載資料或將館內電腦資料匣開放讓館外人員分享使用。
3. BBS或其他線上討論區文章,經作者明示禁止轉載仍然任意轉載或轉寄。
4. 利用館內網路散播病毒、發表毀謗言論。
5. 未經著作權人同意,將受保護著作資料上傳於外部公開網站或部落格中。
6. 下載、拷貝受著作權法保護之著作或使用來路不明與未經授權之電腦程式。
7. 網路使用者蓄意干擾或妨害網路系統的正常運作。
8. 利用館內網路傳送色情圖片等不當行為。
9. 以匿名信或偽造他人名義發送電子郵件。
二、委外資訊廠商人員:本項人員違反下列規範者,處分說明如下,若涉有違反其他法律,由當事人自負其法律責任。
(一)一級:違反以下項目,由資訊單位進行勸導改進,不改正者由資訊單位簽呈發文該公司進行改正。
1. 使用電腦設備未盡善良保管人維護責任,任意拆卸或安裝硬體。
2. 應用軟體與系統、資料庫及程式開發等應用程式,應注意所有輸入欄位應有字元檢查功能,排除不必要特殊字元,以防止資料庫隱碼(SQL-Injection)攻擊。
3. 利用館內網路傳送色情圖片等不當行為。
4. 廠商進行維護時未採行必要的事前預防及保護措施,以預防及偵測電腦病毒、木馬及邏輯炸彈等惡意軟體之侵入。
(二)二級:違反以下項目,由資訊單位簽辦發文該公司改正,若涉有違反其他法律,除由當事人自負其法律責任,並依相關法律究辦。
1. 下載、拷貝受著作權法保護之著作或使用來路不明與未經授權之電腦程式。
2. 利用點對點軟體分享下載資料或將館內電腦資料匣開放讓館外人員分享使用。
3. 利用館內網路散播病毒、發表毀謗言論。
4. 網路使用者蓄意干擾或妨害網路系統的正常運作。
5. 資訊資產未經授權的存取、洩漏、更改、破壞或干擾。
6. 廠商之人員洩露本館資訊系統及機密資訊者。
三、來館使用網路民眾及其他與本館業務相關人員(含圖書館、實驗室及各樓層無線上網人員):
(一)本作業規範置於一樓大廳服務台、地下一樓會員服務處、實驗室、九樓圖書館服務台等處,供申請網路人員閱覽使用。
(二)本項人員違反下列規範者,收回網路使用權,若涉有違反其他法律,由當事人自負其法律責任。
1. 利用點對點軟體分享下載資料或將館內電腦資料匣開放讓館外人員分享使用。
2. 利用館內網路散播病毒、發表毀謗言論。
3. 下載、拷貝受著作權法保護之著作或使用來路不明與未經授權之電腦程式。
4. 網路使用者蓄意干擾或妨害網路系統的正常運作。
5. 利用館內網路傳送色情圖片等不當行為。
6. 以匿名信或偽造他人名義發送電子郵件。
(三)網路使用者應確實遵守著作權法不重製、安裝、使用非法軟體,若經查獲需自行擔負刑事、民事等責任。
四、本作業規範未載明事項,依民法、刑法、著作權法、其他相關法律或規範辦理。
伍、發布與施行:本規範奉館長核定後,發布實施,修正時亦同。
洽詢資訊
電話:02-66101234分機1518
電子郵件:shkao@mail.ntsec.gov.tw