全校導入資訊安全管理系統(ISMS)
本校導入資訊安全管理系統(ISMS)於全校性之資訊系統與機房,每年定期進行資安內部稽核與外部稽核,通過ISO 27001管理系統驗證。目標擴展導入範圍至全校,優先從教務處與學務處推動,陸續導入至其他行政及教學單位。
資通安全長之配置
依據本校ISMS文件「資訊安全組織管理程序」及圖資處資訊法規「中臺科技大學資通安全推動小組設置辦法」,資訊安全管理資安長為校長。
資通安全推動組織
為執行及宣導資通安全,並落實相關措施,成立「中臺科技大學資通安全推動小組」,並訂定「中臺科技大學資通安全推動小組設置辦法」。資通安全推動小組由校長擔任召集人,副校長擔任副召集人,圖資長擔任執行秘書,小組成員包括校長、主任秘書、圖資長及資訊服務組組長、系統發展組組長暨相關單位代表。
資通安全推動小組之職責
內部資通安全稽核及委外稽核
本校資通安全推動小組每年定期召開管理審查會議,依據下列程序進行內、外部稽核:
電腦系統安全管理作業
- 定期購買更新授權之防毒軟體。
- 定期宣導電腦病毒碼及病毒程式更新。
網路安全管理作業
設置網路安全設備:CISCO 6504區網中心對接主幹、CISCO 9407校園網路主幹、FLOWVIEWER 頻寬管理器、FORTINET 1200D防火牆(含入侵偵測系統)、兩台DNS伺服器(提供全校網路名稱查詢與申請建置)。
建置IPMS IP管理系統:由圖資處專人專責管理。
系統存取控制
定期備份系統資料:校務系統資料庫、校務系統上傳附加檔案、校務系統入口網資料及電子郵件。
定期備份系統主機:校園入口虛擬主機、帳號認證伺服器主機備援
設置備用資料庫:完成校務系統資料庫鏡像設定。
系統發展及維護安全管理
確保資料系統完整:視資料及系統之重要性及價值,控管系統原始碼版本,確保程式原始碼版本之可追朔性。
建構校園入口安全機制:校務系統及校園入口增加SSL加密傳輸協定,並新增驗證碼機制,降低帳密防猜風險。
識別及解決數據安全風險
清查相關資訊資產與個人資料,依據機密性、可用性、完整性、進行相關風險評估,制定可接受的風險程度與等級,並針對風險較高的數據著手進行改善措施。
收集、使用和保留學生資訊之政策和做法
收集學生資訊時,先告知收集目的與使用範圍,並依照中臺科技大學個人資料保護管制要點,對相關學生資訊進行人員、作業、物理環境、技術等各方面全面管制,已逾保留期限之學生資訊也於已銷毀或刪除。