資訊安全專區
資訊安全稽核 & 資訊教育專區 |
||
1 |
||
2 |
||
3 |
||
4 |
||
5 |
||
6 |
上楓國小校內資訊安全事件公告(見:校務佈告欄\資安事件公告) |
|
7 |
||
8 |
資訊安全 & 資訊倫理:網路教材篇 |
|
9 |
||
10 |
||
11 |
||
12 |
||
13 |
||
14 |
||
15 |
如何預防勒索軟體CryptoLocker 2015.04.28 宣導照(1)、宣導照(2)、宣導照(3) |
|
16 |
因應校園電腦感染勒索軟體CryptoLocker及其變種病毒之再次進行資安宣導 |
|
17 |
||
18 |
||
19 |
臺中市大雅區上楓國民小學校園行動載具使用規範 ( 2019. 8.27 校務會議通過公告實施 ) |
|
|
=============== 以下為早期資安稽核項目,現今行政院資安防護計劃已有所異動,故不再維護 ===============
項次 |
檢查內容 |
自我檢查情形 |
佐證資料 |
1 |
學校是否訂定適用範圍涵蓋全校網路之網路使用規範? |
‧簽准 |
|
2 |
學校是否禁止私人架設網路連結機房內主機電腦或網路設備? | ‧是 |
.現場查核 |
3 |
學校是否禁止使用者私自將無線網路存取設備介接至校園網路? | ‧是 |
.現場查核 |
4 |
學校無線網路是否具有身分認證機制? | ‧是 |
.現場查核 |
5 |
學校處理敏感以上等級資料之主機是否設置於專屬電腦(含虛擬電腦),例如校務系統應為專屬主機 | ‧是 ‧其他 自然人 |
.現場查核 |
6 |
每一部電腦是否安裝防毒軟體並定期更新? |
‧是 |
.現場查核 |
7 |
每一部電腦是否定期進行系統與套件之安全性更新? |
‧是 |
.現場查核 |
8 |
學校使用之軟體是否有合法授權(不可為家用等不合理授權)? |
‧是 |
.授權文件 |
9 |
新伺服器系統啟用前是否執行相關程序,以防範可能隱藏的病毒或後門程式,並記錄於相關表單中? | ‧是 |
.查檢啟用與報廢紀錄 |
10 |
個人電腦辦公桌面是否於工作結束時將經辦或使用具有機密或敏感特性的資料妥善存放(如公文、學籍資料等)? |
|
.現場查核 |
11 |
學校各電腦是否設置螢幕保護程式並設定自動啟用時間? |
‧是: 3 ~ 5 分鐘 ‧有設定密碼保護 |
.現場查核 |
12 |
學校重要系統資料是否每週至少一次人工或自動備份? |
‧自動(異地備份至教網中心) ‧手動(自動排程,每天備份) |
|
13 |
學校重要系統資料之備份是否每年定期檢查資料之可用性與完整性? |
‧是 | |
14 |
系統管理人員對敏感以上等級系統進行檢查、維護、更新等動作時,是否填寫相關日誌? |
‧是 |
.資訊工作日誌 |
15 |
系統管理人員是否每季對學校所有伺服器執行一次校時(或確認自動校時設定是否正常執行)? |
‧是 | |
16 |
學校內的公共個人電腦是否有特定安全管控機制(如密碼保護、限制非法下載、限制自行安裝軟體、限制特定資料存取)? |
‧是 |
.現場查核 |
17 |
學校敏感以上等級資訊系統是否透過使用者帳號、通行碼、驗證碼與數位憑證來管制存取權限? |
‧是 ‧採用驗證碼 ‧採用憑證 |
.連結 |
18 |
學校資訊系統內帳號與權限是否每學期至少查核乙次? |
‧是 |
.線上記錄 |
19 |
學校敏感以上等級資訊系統內具有存取特權人員清單是否定期維護並文件化? |
‧是 | |
20 |
學校是否建立資訊安全事件通報程序並公布於校內相關場所? |
‧是 | |
21 |
學校重要資訊設備是否設置於有空調、消防、防雷擊及有門鎖(或門禁)的空間? |
‧是 ‧門禁 ‧空調 ‧消防 |
.現場查核 |
22 |
學校重要資訊設備是否設置不斷電系統或電力保護措施以避免斷電或過負載所造成的損失? |
‧是 ‧不斷電系統 ‧電力保護 |
.現場查核 |
23 |
主機房及電腦教室內線路是否設置保護纜線安全設施? |
‧是:‧高架地板 ‧線槽 |
.現場查核 |
24 |
資訊設備報廢前是否依一定程序將敏感以上等級資料與授權軟體刪除或覆寫? |
‧是 | |
25 |
重要資訊設備移出(含攜出)時,流程與設備內資料是否依照各單位相關規定辦理? |
‧是 ‧本校重要資訊設備皆置放在機房並上鎖,,閒雜人無法隨意進出 |
|
26 |
公務用可攜式設備是否設定保護機制? |
‧是 |
.現場查核 |
27 |
公務用可攜式設備是否安裝安全相關程式或應用軟體,以防範可能隱藏的病毒或後門程式 |
‧是 |
.現場查核 |
28 |
學校教職員工是否將其所經辦或使用具有敏感以上等級的資料及資料的儲存媒體妥善存放? |
‧是 ‧具門禁保管 ‧定期檢查可用性 |
.線上填報 |
29 |
學校非正式人員與約聘(僱)人員因業務需要而接觸公務機密、個人權益及學校機敏資料者是否填寫保密切結書? |
‧是 |
.保密切結書 |
30 |
學校是否將資訊安全納入教職員的相關規範? |
‧是 | |
31 |
學校主官/主管/資訊管理人員/教職員每年資訊安全教育訓練時數是否均達行政院研考會至少1/4/8/2小時之規定 |
‧是 |
.資安宣導 |
32 |
資訊業務委外合約中是否訂定委外廠商的資訊安全責任及保密規定? |
‧無委外 |
|
33 |
委外開發或維護廠商人員是否均簽訂安全保密切結書? |
‧是 |
.書面文件 |
34 |
委外廠商服務異動或終止時,是否中止或刪除其系統上的帳號與權限? | ‧是 ‧委外維修合約尚未到期 |
|
35 |
是否一學期一次利用集會場合對全校師生口頭宣導智慧財產權與著作權法注意事項? |
‧是 |
.宣導紀錄 |
36 |
是否一學期一次利用集會場合對全校師生口頭宣導個人資料的資料保護及隱私與個人資料保護法及施行細則注意事項? |
‧是 |
.宣導紀錄 |
37 |
是否一學期一次利用集會場合對全校師生口頭宣導刑法電腦犯罪專章注意事項? |
‧是 |
.宣導紀錄 |