103資通安全檢核表
臺中市國民中小學資通安全管理系統查檢說明
|
|||
學校名稱
|
|||
查檢日期
|
|||
項次
|
檢查內容
|
檢查情形
|
查檢內容
|
1
|
學校是否訂定適用範圍涵蓋全校網路之網路使用規範?
|
□無或未簽准
□已簽准
□簽准並公告
□簽准、公告並對全校宣導
|
提供
1.簽准公文
網路使用規範
資通安全防護標準作業程序
2.宣導之會議議程
|
2
|
學校是否禁止私人架設網路連結機房內主機電腦或網路設備?
|
□否
□是
|
現場查核
|
3
|
學校是否禁止使用者私自將無線網路存取設備介接至校園網路?
|
□否
□是
□經管理者同意並設定帳號通行碼或加密金鑰後允許
|
現場查核或申請書
|
4
|
學校無線網路是否具有身分認證機制?
|
□否
□是
|
現場查核
|
5
|
學校處理敏感以上等級資料之主機是否設置於專屬電腦(含虛擬電腦),例如校務系統應為專屬主機。
|
□否
□是
|
現場查核
|
6
|
每一部電腦是否安裝防毒軟體並定期更新?
|
□否
□是
|
現場抽檢
|
7
|
每一部電腦是否定期進行系統與套件之安全性更新?
|
□否
□是
|
現場抽檢
|
8
|
學校使用之軟體是否有合法授權(不可為家用等不合理授權)?
|
□否
□是
|
1.提供授權書
2.現場抽檢
|
9
|
新伺服器系統啟用前是否執行相關程序,以防範可能隱藏的病毒或後門程式,並記錄於相關表單中?
|
□否
□是
□一年內未有新伺服器系統啟用
|
查檢啟用與報廢紀錄單A-5
|
10
|
個人電腦辦公桌面是否於工作結束時將經辦或使用具有機密或敏感特性的資料妥善存放(如公文、學籍資料等)?
|
□否
□是
|
現場抽檢
|
11
|
學校各電腦是否設置螢幕保護程式並設定自動啟用時間?
|
□否
□是:______分鐘
□無設定密碼保護
□有設定密碼保護
|
現場抽檢
|
12
|
學校重要系統資料是否每週至少一次人工或自動備份?
|
□否
□手動
□自動
|
列印備份畫面貼於或手動記錄於資訊工作日誌A-2
|
13
|
學校重要系統資料之備份是否每年定期檢查資料之可用性與完整性?
|
□無備份
□否
□是
|
列印檢查畫面貼於或手動記錄於資訊工作日誌A-2
|
14
|
系統管理人員對敏感以上等級系統進行檢查、維護、更新等動作時,是否填寫相關日誌?
|
□否
□是
|
資訊工作日誌A-2
|
15
|
系統管理人員是否每季對學校所有伺服器執行一次校時(或確認自動校時設定是否正常執行)?
|
□否
□是
|
資訊工作日誌A-2
|
16
|
學校內的公共個人電腦是否有特定安全管控機制(如密碼保護、限制非法下載、限制自行安裝軟體、限制特定資料存取)?
|
□否
□是
|
現場抽檢
|
17
|
學校敏感以上等級資訊系統是否透過使用者帳號、通行碼、驗證碼與數位憑證來管制存取權限?
|
□否
□是
□採用驗證碼
□採用憑證
|
連線畫面
|
18
|
學校資訊系統內帳號與權限是否每學期至少查核乙次?
|
□否
□是
|
資訊工作日誌A-2內的查檢記錄
|
19
|
學校敏感以上等級資訊系統內具有存取特權人員清單是否定期維護並文件化?
|
□否
□是
|
管理者清單查檢畫面貼於資訊工作日誌A-2
|
20
|
學校是否建立資訊安全事件通報程序並公布於校內相關場所?
|
□否
□是,公布於__________
|
1.資安事件通報程序A-3
2.公布畫面或照片
|
21
|
學校重要資訊設備是否設置於有空調、消防、防雷擊及有門鎖(或門禁)的空間?
|
□否
□是:□門禁□消防
□空調□防雷擊
|
(至少應有消防-氣體式滅火器及門禁)
現場查核
|
22
|
學校重要資訊設備是否設置不斷電系統或電力保護措施以避免斷電或過負載所造成的損失?
|
□否
□是:□不斷電系統
□電力保護
□停電自動關機
|
現場查核
|
23
|
主機房及電腦教室內線路是否設置保護纜線安全設施?
|
□否
□是:□高架地板
□線槽
□套管
□其他_________
|
現場查核
|
24
|
資訊設備報廢前是否依一定程序將敏感以上等級資料與授權軟體刪除或覆寫?
|
□否
□一年內無報廢資訊設備
□是
|
查檢啟用與報廢紀錄單A-5
|
25
|
重要資訊設備移出(含攜出)時,流程與設備內資料是否依照各單位相關規定辦理?
|
□否
□是
|
查檢設備進出入紀錄表A-4
|
26
|
公務用可攜式設備是否設定保護機制?
|
□否
□是:□設定通行碼
□圖形辨識
□臉孔辨識
□指紋辨識
|
現場查核
|
27
|
公務用可攜式設備是否安裝安全相關程式或應用軟體,以防範可能隱藏的病毒或後門程式
|
□否
□是
|
現場查核
|
28
|
學校教職員工是否將其所經辦或使用具有敏感以上等級的資料及資料的可攜式儲存媒體妥善存放?
|
□否
□是:□具門禁保管
□定期檢查可用性
|
1.現場抽檢
2.資訊工作日誌A-2
|
29
|
學校非正式人員與約聘(僱)人員因業務需要而接觸公務機密、個人權益及學校機敏資料者是否填寫保密切結書?
|
□否
□是
|
提供保密切結書A-1
|
30
|
學校是否將資訊安全納入教職員的相關規範?
|
□否
□是
|
學校訂定個人電腦使用規範
|
31
|
學校主官/主管/資訊管理人員/教職員每年資訊安全教育訓練時數是否均達行政院研考會至少1/4/8/2小時之規定
|
□否
□是
|
研習時數證明
|
32
|
資訊業務委外合約中是否訂定委外廠商的資訊安全責任及保密規定?
|
□否
□無委外
□是
|
委外合約
|
33
|
委外開發或維護廠商人員是否均簽訂安全保密切結書?
|
□否
□無委外
□是
|
提供資訊應用委外廠商服務內容暨保密切結書A-6、A-7
|
34
|
委外廠商服務異動或終止時,是否中止或刪除其系統上的帳號與權限?
|
□否
□無委外
□是
|
資訊工作日誌A-2
|
35
|
是否一學期一次利用集會場合對全校師生口頭宣導智慧財產權與著作權法注意事項?
|
□否
□是
|
宣導紀錄
|
36
|
是否一學期一次利用集會場合對全校師生口頭宣導個人資料的資料保護及隱私與個人資料保護法及施行細則注意事項?
|
□否
□是
|
宣導紀錄
|
37
|
是否一學期一次利用集會場合對全校師生口頭宣導刑法電腦犯罪專章注意事項?
|
□否
□是
|
宣導紀錄
|
沒有留言:
張貼留言