校園通用資安管理原則 (資訊系統管理者/資訊安全管理者)
資訊系統管理與安全防護
一、 應視資訊系統重要性、系統架構與網路架構選擇適當之安全防護措施 ( 例如防火牆、入侵偵測 / 防禦系統、防毒軟體等 ) 來提升資安防禦能力。
二、 存放系統使用者申請或註冊的資料檔案,應採用適當授權管控方式或加密方式處理,以防資料外流。
三、 為保護重要檔案及資訊,應採行適當的措施 ( 例如檔案加密、資料備份等 ) ,以防止資料遺失、毀壞及被偽造或竄改。
四、 資訊系統應檢測與修補系統漏洞或弱點。於安裝相關 修補程式前,建議可先經過評估與測試,以確認不會對系統運作造成負面影響。
五、 不使用電腦設備時,宜採取登出、設定螢幕保護功能、關機或其他適當之保護措施。
六、 資訊系統應盡量避免共用帳號。
七、 系統重要資訊 ( 例如系統紀錄、稽核紀錄等 ) ,宜依照單位需求與相關規範來進行備份作業,並應確認備份作業結果之有效性。
八、 宜針對重要資訊系統毀損或失效來制訂相關系統復原計畫與執行步驟。
九、 應確認所管理之系統帳號皆為合法授權者,避免出現閒置 ( 無人使用 ) 帳號或非授權使用者帳號 ( 例如職務調動或離職者等 ) 。
十、 應針對會造成單位危害之資安事件來建立事件通報機制,以提升組織緊急應變處理能力。
十一、 單位宜根據組織安全防護需求與資訊系統重要性來建立弱點掃描機制與弱點修補機制。
十二、 建議定期瀏覽資安相關網站或論壇 ( 例如國家資通安全會報技服中心網站 ) 以獲得新的資訊安全相關訊息或知識。
十三、 定期檢視資訊系統之異常作業相關紀錄,以確認是否有未發現或潛在之資安威脅與弱點。
十四、 宜將資訊系統安全管理相關作法與活動進行文件化,讓資訊系統管理人員、系統維護人員與資安管理人員有更具體之作業指引。
密碼使用原則
一、 當發現管理者密碼可能遭到破解或竊取之可疑跡象時,應立即變更密碼。
二、 在資訊系統完成安裝作業後,應立即變更該系統預設的管理者密碼。
三、 應設定高防禦強度之管理者密碼,以下為建議設定原則:
‧ 密碼建議設定至少八碼以上。(本校程序書規定系統管理人員之密碼長度應至少10碼)
‧ 密碼可採用文數字混合、特殊字元符號與大小寫英文字母混合來進行設定。
‧ 密碼沒有明顯意義。
四、 妥善保管帳號及密碼,不隨意透漏或提供給他人使用。
五、 應定期 ( 例如每月、每季等 ) 變更管理者密碼。(本校程序書規定重要系統每四個月變更一次)
智慧財產權
一、 應尊重智慧財產權, 單位或個人使用、複製及修改電腦軟體,應依著作權法相關規定辦理。
二、 應定期清查單位內之軟體使用情形,以確認人員未使用非法或未經授權軟體,以落實使用合法軟體。
轉載自教育部資訊安全服務網 http://cissnet.edu.tw/Page/Detail/126
校園通用資安管理原則 (網路管理者/網路安全管理者)
網路管理
一、 應充分掌握並運用電腦及網路系統容量使用狀況的資訊,分析及找出可能危及系統安全的瓶頸,預先規劃補救措施。
二、 單位宜根據組織安全防護需求、網路服務 ( 設備 ) 重要性來建立弱點掃描機制與相關弱點修補機制。
三、 宜針對重要網路設備或網路服務系統毀損或失效來制訂相關復原計畫與執行步驟。
四、 宜監控單位人員網路資源運用情形,以避免出現網路資源被錯誤使用 ( 例如發送垃圾郵件、病毒郵件等 ) 。
五、 可定期檢視單位內是否有人員自行建置之對外連線網路,並評估該對外連線是否會對單位資訊安全造成危害,如經評估會造成資安危害,應採取適當防護措施。
六、 單位內部網路應視網路架構、網路服務特性、與服務主機架構來選擇適當之安全防護措施 ( 例如防火牆、入侵偵測 / 防禦系統、防毒閘道等 ) 來構建安全防護網。
七、 建有無線網路環境之單位應建立適當安全防護措施,以避免對內部網路與重要資訊系統造成安全危害。
八、 建議定期瀏覽資安相關網站或論壇 ( 例如國家資通安全會報技服中心網站 ) 以獲得新的網路安全相關訊息或知識。
九、 宜定期檢視網路設備與網路服務主機之異常作業相關紀錄以確認是否有未發現或潛在之安全威脅與弱點。
十、 宜將網路安全管理相關作法與活動進行文件化,讓網管人員、維護人員與網安管理人員有更具體之作業指引。
密碼使用原則
一、 當發現網路管理者密碼可能遭到破解或竊取之可疑跡象時,應立即變更密碼。
二、 在網路設備完成安裝作業後,應立即變更該設備之預設密碼。
三、 應設定高防禦強度之管理者密碼,以下為建議設定原則:
‧ 密碼建議設定至少八碼以上。(本校程序書規定系統管理人員之密碼長度應至少10碼)
‧ 密碼可採用文數字混合、特殊字元符號與大小寫英文字母混合來進行設定。
‧ 密碼沒有明顯意義。
四、 妥善保管帳號及密碼,不隨意透漏或提供給他人使用。
五、 應定期 ( 例如每月、每季等 ) 變更管理者密碼 。(本校程序書規定重要系統每四個月變更一次)
智慧財產權
一、 應尊重智慧財產權, 單位使用、複製及修改網路應用服務相關軟體,應依著作權法相關規定辦理。
二、 應定期清查單位內之網路應用服務相關軟體使用情形,以確認人員未使用非法或未經授權軟體,以落實使用合法軟體。
轉載自教育部資訊安全服務網 http://cissnet.edu.tw/Page/Detail/127
校園通用資安管理原則(一般人員)
個人電腦與資訊應用
一、 個人電腦應安裝防毒軟體,並經常修補系統漏洞。除定期更新病毒碼與系統漏洞修補程式外,每次開機使用前,建議可以先檢查是否已更新病毒碼及漏洞修補至最新版本。
二、 為避免感染病毒,建議關閉電子郵件預覽窗格功能。
三、 對於來路不明之電子郵件,不宜隨意打開,以免啟動惡意程式執行檔,使個人電腦與資訊系統遭到破壞。
四、 為避免導致他人電腦感染電腦病毒,不任意轉寄來歷不明之電子郵件。
五、 不瀏覽任何可疑或非法網站。
六、 不使用電腦設備時,宜採取登出、設定螢幕保護功能、關機或其他適當之保護措施。
七、 個人電腦應啟用螢幕保護程式功能,並設定密碼保護,於電腦暫時無人使用時可自行啟動。啟動螢幕保護程式的時間設定可依單位或個人之工作業務特性進行調整。
八、 不可運用電子郵件大量傳送廣告信或其他造成收信人困擾之垃圾郵件,避免影響郵件服務系統之正常運作。
九、 傳真機敏或重要之資訊文件時,接收與傳送端皆應確定有人,傳送完成後應立即從傳真機取走。
十、 建立個人資安防護意識,留意資安相關新聞與資訊。
密碼使用原則
一、 避免將帳號、密碼記錄於書面或張貼於容易洩漏之處 ( 例如以便條紙書寫個人帳號與密碼貼於電腦螢幕上 ) 。
二、 當發現密碼有可能遭受破解或竊取之可疑跡象時,應立即變更密碼。
三、 於應用軟體完成安裝作業後,應更改該軟體預設之使用者密碼。
四、 使用者第一次登入資訊系統時,應更改臨時性啟始 ( 首次使用 ) 密碼。
五、 應設定防禦強度較高之密碼,以下為建議設定原則:
‧ 密碼建議設定至少六碼以上。(本校程序書規定一般使用者之密碼的長度最少應有8位,系統管理人員之密碼長度應至少10位)
‧ 密碼可採用文數字混合、特殊字元符號與大小寫英文字母混合來進行設定。
‧ 密碼沒有明顯意義。
六、 不任意向任何人提供個人帳號及密碼
七、 不使用非授權帳號與密碼。
八、 宜定期 ( 例如每月、每季、每半年等 ) 變更密碼。(本校程序書規定每六個月變更一次)
智慧財產權
一、 應尊重智慧財產權,單位或 個人使用、複製及修改電腦軟體,應依著作權法相關規定辦理。
二、 不應使用任何非法或未經授權軟體,落實使用合法電腦軟體。
轉載自教育部資訊安全服務網 http://cissnet.edu.tw/Page/Detail/9
