五月 02

個資弱點掃描

個資弱點掃描

五月 02

主機弱點掃描

主機弱點掃描

五月 01

臺南市關廟區五甲國小學資通安全管理系統實施原則

中華民國 103年 2 月 7 日經103年2月12日校務會議通過

(參考教育部96年5月30日版本修訂)

 

臺南市立五甲國民小學資通安全管理辦法

經 102 年 9 月 04日校務會議通過

一、依據

  • 教育部 96 年 5 月 30 日函頒國中、小學資通安全管理系統實施原則。
  • 個人資料保護法中華民國101年9月21日行政院院臺法字第 1010056845 號令發布除第 6、54 條條文外,其餘條文定自一百零一年十月一日施行。
  • 個人資料保護法施行細則中華民國101年9月26日法務部法令字第 10103107360 號令修正發布名稱及全文 33 條;並自一百零一年十月一日施行。

二、目的

確保臺南市立五甲國民小學(以下簡稱本校)所屬之資訊資產機密性、完整性及可用性,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。

三、適用範圍

本校校內電腦、資訊與網路服務相關的系統、設備、程序及人員,包含合約廠商及其它經授權使用之人員。

四、組織與職權

為強化本校資通安全暨個資保護需求,健全資通安全管理制度,特設立「臺南市五甲國小資通安全委員會」(以下簡稱本委員會),以推動本校資通安全管理業務之運作。本委員會之成員為校長、各處室主任及行政組長,由校長兼任召集人,資訊組長(網管)為資通安全長,行政及技術相關事宜由資訊組負責。

本委員會權責如下:

  1. 訂定本校資通安全政策及資通安全管控機制。
  2. 督導資通安全政策之實施。
  3. 資通安全事件通報、緊急應變及危機處理。
  4. 規劃並督導資通安全教育訓練。
  5. 督導個人資料保護工作之落實。

本委員會每年開會一次,必要時得召開臨時會議。會議須有應出席委員半數(含)以上出席始得開會,並得邀請相關人員列席。

五、資安政策

維護本校資訊之機密性、完整性與可用性,保障使用者資料隱私。

  • 保護本校網路資訊,避免未經授權的存取與修改。
  • 本校業務執行須符合相關法令及法規之要求。
  • 建立資訊業務永續運作計畫,確保本校業務永續運作。

六、實施原則

1. 網路安全

1.1 本校與外界連線,僅限於經由教育局資訊中心之管控,以符合一致性與單一性之安全要求。並禁止以電話線連結主機電腦或網路設備。

1.2  網路安全管理服務委外廠商合約之安全要求

委外開發或維護廠商必須簽訂安全保密切結書。

2. 系統安全

2.1本校內的個人電腦應

  • 裝置防毒軟體,將軟體設定為自動定期更新病毒碼;或由伺服器端進行病毒碼更新的管理。
  • 定期(至少每個月)進行如「Windows Update」之程式更新作業,以防範作業系統之漏洞。
  • 新系統啟用前,應經過掃毒與更新系統密碼程序,以防範可能隱藏的病毒或後門程式。

2.2 本校內個人電腦所使用的軟體應有授權,嚴禁安裝各種非法軟體。

2.3 資料備份

本校系統管理人員需針對本校重要系統(例如系統檔案、應用系統、資料庫等)定期進行備份工作,或採用自動備份機制;建議週期為每週進行一次。

2.4 操作員日誌

  • 本校系統管理人員需針對敏感度高、或包含特殊資訊的電腦系統進行檢查、維護、更新等動作時,應針對這些活動填寫日誌予以紀錄,作為未來需要時之檢查。
  • 日誌內容可包含以下各項:
    • 系統例行檢查、維護、更新活動的起始時間
    • 系統錯誤內容和採取的改正措施。
    • 紀錄日誌項目人員姓名與簽名欄

2.5 使用者註冊

  • 本校新進人員,資訊人員將會以教育局資訊中心郵件系統之帳號,註冊至本校各應用系統上,再由使用者自訂其密碼。若使用者有其特殊需求,也可另行單獨申請變更。
  • 本校人員離職後,資訊人員應立即註銷該員在各應用系統的帳號及使用權。
  • 本校資訊人員,必須妥善管理各應用系統之使用者帳號。
    • 每人使用唯一的使用者識別碼(ID)。
    • 檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。
    • 保存一份包含所有識別碼註冊的記錄。
    • 使用者調職或離職後,應移除其識別碼的存取權限。
    • 定期(建議每學期)檢查並取消多餘的使用者識別碼和帳號。
    • 定期(建議每學期)檢查新增之帳號,若有莫名帳號產生,應關閉帳號權限,並依通報程序請求處理。

2.6 特權管理

本校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明,應予以文件化記錄備查。

2.7 密碼(Password)之使用

  • 本校各資訊系統與服務應避免使用共同帳號及密碼。
  • 設定各應用系統的帳號密碼時,請遵循以下原則:
    • 混合大寫與小寫字母、數字,特殊符號。
    • 密碼越長越好,最短也應該在8個字以上。
    • 至少每三個月改一次密碼。
    • 使用技巧記住密碼
      • 使用字首字尾記憶法: a. My favorite student is named Sophie Chen,取字頭成為mFSinsC b. There are 26 lovely kids in my English class,取字尾成為Ee6ysnMEc
      • 中文輸入按鍵記憶法: a. 例如「密碼」的注音輸入為「wj/ vu/6a83」
  • 應該避免的作法
    • 嚴禁不設密碼、與帳號相同或與主機名稱相同。
    • 不要使用與自己有關的資訊,例如學校或家裡電話、親朋好友姓名、身份證號碼、生日等。
    • 不重覆電腦鍵盤上的字母,例如6666rrrr或qwertyui或zxcvbnm。
    • 不使用連續或簡單的組合的字母或數字,例如abcdefgh或12345678或24681024
    • 避免全部使用數字,例如52526565。
    • 不使用難記以至必須寫下來的密碼。
    • 避免使用字典找得到的英文單字或詞語,如TomCruz 、superman
    • 不要使用電腦的登入畫面上任何出現的字。
    • 不分享密碼內容給任何人,包括男女朋友、職務代理人、上司等。
  • 因特殊需要擁有多個帳號時,可考慮使用一組複雜但相同的密碼。

2.8 原始程式庫之存取控制

學校與系統廠商間的合約應加註對原始程式庫安全之要求,並防範資料庫隱碼(SQL-injection)問題,針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。

2.9 通報安全事件與處理

  • 本校發生資安事件之處理流程如右圖所示。
  • 資通安全事件包括:任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。

3. 實體安全

3.1   設備安置及保護

  • 本校重要的資訊設備(如主機機房)應置於設有空調空間。
  • 本校資訊設備主機機房、電腦教室區域,應設置滅火設備,並禁止擺放易燃物、或飲食。
  • 本校資訊設備主機機房、電腦教室區域內的電源線插頭應有接地的連結、或有避雷針等裝置,避免如雷擊事件所造成損害情況。
  • 本校資訊設備主機機房、電腦教室區域,應至少於入出口處加裝門鎖或其他同等裝置。

3.2  電源供應

本校重要的資訊設備(如主機機房)應有適當的電力設施,例如設置UPS、電源保護措施,以免斷電或過負載而造成損失。

3.3  纜線安全

本校資訊設備主機機房、電腦教室區域內應避免明佈線。

3.4   設備與儲存媒體之安全報廢或再使用

所有包括儲存媒體的設備項目,在報廢前,應先確保已將任何敏感資料和授權軟體刪除或覆寫。

3.5   設備維護

  • 應與設備廠商建立維護合約。
  • 廠商進入安全區域需簽訂安全保密切結書。
  • 3.6   財產攜出
  • 未經授權不應將學校的資訊設備、資訊或軟體攜出所在地。
  • 當有必要將設備移出,應檢視相關授權,並實施登記與歸還記錄。
  • 3.7   桌面淨空與螢幕淨空政策
  • 結束工作時,所有學校教職員工應將其所經辦或使用具有機密或敏感特性的資料(例如公文、學籍資料等)及資料的儲存媒體(如USB隨身碟、磁碟片、光碟等),妥善存放。
  • 本校職員工使用的個人電腦應設定個人密碼以及螢幕保護措施5-10分鐘。

4. 人員安全

4.1  每學年至少要於校務會議上宣導一次本管理辦法,以及重要資通安全消息,以加強教職員工的資安意識。

4.2   資通安全教育與訓練

  • 本校資通安全長,每年至少要有8小時的資通安全相關教育訓練,使其有足夠能力執行日常基礎之資安管理系統維護工作,並使其瞭解資安事件通報之程序。
  • 其他教職員工每年至少要有2小時,參與資通安全教育訓練或宣導活動,以提昇資通安全認知。

5. 個資保護要求

5.1 本校應就法律允許下,因公務需求所蒐集、處理及保存的個人資料,公佈以下項目至學校網站上。

  • 個人資料檔案名稱。
  • 保有機關名稱及聯絡方式。
  • 個人資料檔案保有之依據及特定目的。
  • 個人資料之類別。

5.2 本校教職員工必須遵守個資法規定,不得以任何理由,在沒有法源依據或違反當事人的意願下任意蒐集或洩露他人個資。

5.3 個資法實施後,本校辦理各項活動之因應措施

  • 本校在辦理任何公開活動,會有蒐集、處理甚至公佈部份個資(例:姓名)時,必須在活動辦法及報名表中,陳述「本校之機關名稱」、「蒐集用途」及「使用地區和期限」,在經「當事人同意」並報名後始得蒐集。若有公佈的需求時,必須加註「將會公佈本活動優勝人(學)員名單」字樣。所蒐集的個資,必須於宣告期限後予以銷毀。
  • 本校承辦業務人員,必須妥善保護各項個人資料,並在活動辦法及報名表中註明「本校將會善盡保管之責」字樣。

6. 應對以下各項相關法令有基礎之認知

6.1  智慧財產權

  • 經濟部智慧財產局 http://www.tipo.gov.tw/
  • 著作權法 http://law.moj.gov.tw/LawClass/LawContent.aspx?PCODE=J0070017

6.2  個人資料保護及隱私

  • 個人資料保護法 http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
  • 個人資料保護法施行細則 http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050022

6.3  電子簽章法

  • 電子簽章法 http://law.moj.gov.tw/LawClass/LawContent.aspx?PCODE=J0080037
  • 電子簽章法施行細則 http://law.moj.gov.tw/LawClass/LawContent.aspx?PCODE=J0080039
  • 核可憑證機構名單 http://gcis.nat.gov.tw/eclaw/bbs.asp
    校長: 

    教務主任:

     

    資訊組長:

     

 

臺南市關廟區五甲國小102學年度「資通安全委員會」
職稱 職    務 姓名 工作執掌
召集人 校    長 劉英國 統籌資通安全推行工作事宜
資通安全長 資訊組長 李 志 明 編擬及執行資通安全各項推行工作
資安委員 教務主任 劉炳告 綜理教務處及相關業務之資通安全
資安委員 學務主任 劉英志 綜理學務處及相關業務之資通安全
資安委員 總務主任 翁素杏 綜理總務處及相關業務之資通安全
資安委員 輔導主任 何滄 文 綜理輔導室及相關業務之資通安全
資安委員 人事主任 陳宗煌 綜理人事室及相關業務之資通安全
資安委員 會計主任 余慧 麟 綜理會計室及相關業務之資通安全
資安委員 教學組長 周 奕 良 綜理教學組及相關業務之資通安全
資安委員 註冊組長 郭 泰 山 綜理註冊組及相關業務之資通安全
資安委員 訓育組長 翁 參 玉 綜理訓育組及相關業務之資通安全
資安委員 體育組長 蕭 柏 琪 綜理體育組及相關業務之資通安全
資安委員 衛生組長 莊 淑 芬 綜理衛生組及相關業務之資通安全
資安委員 事務組長 林 才 富 綜理事務組及相關業務之資通安全
資安委員 出納組長 王 麗 月 綜理出納組及相關業務之資通安全
資安委員 輔導組長 黃 麗 芬 綜理輔導組及相關業務之資通安全
資安委員 資料組長 王 芬 芳 綜理資料組及相關業務之資通安全

 

 

四月 30

臺南市立五甲國小附設幼兒園個人資料保護區

臺南市立五甲國民小學個人資料保護區

■作業依據:

個人資料保護法第17條:公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同:

一、 個人資料檔案名稱。
二、 保有機關名稱及聯絡方式。
三、 個人資料檔案保有之依據及特定目的。
四、 個人資料之類別。

※特定目的及個人資料之類別係參考「電腦處理個人資料保護法之特定目的及個人資料之類別【民國85年8月7日修正】」。

■公告日期:2012-10-08

■保有機關:臺南市立五甲國民小學

■聯絡方式

地  址:臺南市關廟區和平路246號
電  話:06-5952155#302
電子郵件:mingwujia@tn.edu.tw

■資料內容:

單位名稱 個人資料檔案名稱 保有依據 特定目的 個人資料類別
教務處 學生基本資料 臺南市國民中學學生學籍管理辦法

臺南市國民小學學生學籍管理辦法
079學生資料管理 識別類(C001辨識個人者);
特徵類(C011個人描述);
家庭情形(C023家庭其他成員之細節)
教務處 學生成績資料 國民小學及國民中學學生成績評量準則 079學生資料管理 識別類(C001辨識個人者);
教育、技術或其他專業(C057學生紀錄)
訓導處 學生健康檢查紀錄表 學生健康檢查實施辦法 079學生資料管理 識別類(C001辨識個人者);
特徵類(C011個人描述、C012身體描述);
家庭情形(C023家庭其他成員之細節);
健康與其他(C111健康紀錄)
輔導室 學生輔導資料記錄表 國民教育法施行細則 079學生資料管理 識別類(C001辨識個人者);
特徵類(C011個人描述、C012身體描述、C013習慣、C014個性);
家庭情形(C023家庭其他成員之細節);
社會情況(C031住家及設施、C035休閒活動及興趣);
教育、技術或其他專業(學生紀錄)
輔導室 學生輔導記錄 國民教育法施行細則 079學生資料管理 識別類(C001辨識個人者);
特徵類(C011個人描述、C014個性)
人事室 公務人員履歷資料 人事管理條例、行政院暨所屬各機關人事行政資訊化統一發展要點、行政院及所屬各機關人事資料統一管理要點 002人事行政管理 識別類(C001辨識個人者、C003政府資料中之辨識者);
教育、技術或其他專業(C052資格或技術);
受僱情形(C061現行之受僱情形、C063離職經過、C065工作紀錄、C072受訓紀錄 )
人事室 差勤資料 公務人員請假規則、教師請假規則 002人事行政管理 識別類(C001辨識個人者、C003政府資料中之辨識者);
受僱情形(C061現行之受僱情形、C065工作紀錄 )
人事室 機關員工聯絡資訊 行政院及所屬機關人事資料統一管理要點 002人事行政管理 識別類(C001辨識個人者)
人事室 退休撫卹資料 公務人員退休法及其施行細則、公務人員撫卹法及其施行細則、學校教職員退休條例及其施行細則、學校教職員撫卹條例及其施行細則 043 退撫基金或退休金管理 識別類(C001辨識個人者、C003政府資料中之辨識者);
家庭情形(C021家庭情形);
受僱情形(C061現行之受僱情形、C062僱用經過、C063離職經過、C064工作經驗、C068薪資與預扣款 )
人事室 平時考核資料 公立高級中等以下學校教師成績考核辦法、公務人員考績法及其施行細則、行政院及所屬各機關公務人員平時考核要點 002人事行政管理 識別類(C001辨識個人者);
受僱情形(C065工作紀錄 )
人事室 福利資料 行政院所屬各級人事機構人員設置管理要點、全國軍公教員工待遇支給要點、中央公教人員急難貸款實施要點、中央各機關學校員工文康活實施要點 002人事行政管理 識別類(C001辨識個人者、C003政府資料中之辨識者);
家庭情形(C021家庭情形、C023家庭其他成員之細節);
財務細節 (C087津貼、福利、贈款 )
人事室 保險資料 公教人員保險法及其施行細則、全民健康保險法 089保健醫療服務 識別類(C001辨識個人者、C003政府資料中之辨識者);
家庭情形(C021家庭情形、C023家庭其他成員之細節);
受僱情形(C061現行之受僱情形、C068薪資與預扣款 )
教務處 代課教師資料 中小學兼任代課及代理教師聘任辦法 053教育或訓練行政 識別類(C001辨識個人者、C003政府資料中之辨識者);
特徵類(C011個人描述);
教育、技術或其他專業(C052資格或技術)
總務處 教職員工薪津資料 公立學校教職員敘薪辦法、全國軍公教員工待遇支給要點 063會計與相關服務 識別類(C001 辨識個人者、C003 政府資料中之辨識者);
受僱情形(C068 薪資與預扣款)
學務處 志工名冊 志願服務法 053教育或訓練行政 識別類(C001辨識個人者、C003政府資料中之辨識者);

臺南市立五甲國小附設幼兒園個人資料保護區

■公告日期:2012-10-08

■保有機關:臺南市立五甲國小附設幼兒園
■聯絡方式:

地  址:臺南市關廟區和平路246號
電  話:06-5952155#302
電子郵件:mingwujia@tn.edu.tw

■資料內容:

單位名稱 個人資料檔案名稱 保有依據 特定目的 個人資料類別
教務 學生學籍資料 幼兒教育及照顧法 079 學生資料管理 識別類:(C001 辨識個人者、C003 政府資料中之識別者);特徵類:(C011 個人描述);家庭情形:(C023 家庭其他成員之細節 )
教務 扶持5歲幼兒教育計畫補助卷宗 教育部補助國民中小學及幼稚園弱勢學生實施要點 079 學生資料管理 識別類:(C001 辨識個人者、C003 政府資料中之識別者);特徵類:(C011 個人描述);家庭情形:(C021 家庭情形);社會情況:(C032 財產);財務細節:(C081 收入、所得、資產與投資)
教務 幼兒團體保險名冊 臺南市高級中等以下學校及幼稚園辦理學生團體保險辦法 001 人身保險業務 識別類:(C001 辨識個人者、C003 政府資料中之識別者);特徵類:(C011 個人描述 )
人事 教職員工基本資料 幼兒教育及照顧法 002 人事行政管理 識別類:C001 辨識個人者、C002  辨識財務者、C003 政府資料中之識別者、)

» 新文章