資訊安全政策基本方針SECURITY POLICY

第1項（目的）

為確保學校法人東京中華學校（以下簡稱 「本校」） 所屬之資訊資產的機密性、完整性及可用性，並針對各種威脅進行阻止、預防、檢測和回復等措施。為規劃具組織性與系統化之統一方針，以及實施資訊資產安全管理措施之基本概念與措施，特訂定本基本方針。

第2項（定義）

關於本校等資訊安全措施訂定了以下定義事項。

• 網路
  • 電腦等可相互連結之通信網及其設備。
    (指硬體及軟體。)
• 資訊系統
  • 資訊處理系統，由電腦、網路及磁性媒體所組成。
• 資訊安全
  • 以適當方式維護資訊資產之機密性、完整性及可用性。
    (指資訊、磁性媒體、資訊系統及與資訊系統有關之規格書等相關文件。)
• 機密性
  • 確保唯有經授權者可存取資訊之狀態。
• 完整性
  • 確保資訊不遭破壞、篡改或刪除之狀態。
• 可用性
  • 確保經授權者在必要時可不受干擾地存取資訊。
• 校內網路系統
  • 教職人員於處理學生成績及進行學校業務等校務管理時所利用之教育網路系統。

第3項（意指之威脅）

為防範資訊資產所面臨之威脅，預想以下潛在威脅項目，並實施資訊安全措施。

• 外部人員之入侵包括網路攻擊、未經授權存取資訊、病毒攻擊、阻斷服務攻擊等。故意因素造成資訊資產之洩露、破壞、篡改或刪除，重要資訊之詐取，內部不當之使用等。
• 無故取出資訊資產、使用未經授權之軟體等違反規定，設計／開發不周、程式缺陷、操作／設定錯誤、系統維護不足、內部及外部稽核功能不周、外部託管不周、管理缺失、設備故障等因非意圖性因素所造成之資訊資產洩露、破壞或刪除等。
• 由於地震、雷電、火災等災害造成服務及業務暫停等。
• 由於大規模、大範圍之疾病引起人員短缺造成系統營運功能不全等。
• 因供電中斷、通訊中斷等服務中斷之連鎖反應等。

第4項（適用範囲）

本基本方針適用於本校等之資訊資產，及教職員與職員（以下簡稱 「教職員等」 ）。本基本方針所涉及之資訊資產如下。

• 網路、資訊系統及其相關設備、磁性媒體
• 由網路及資訊系統處理之資訊

第5項（遵守義務）

教職員等必須對資訊安全之重要性有共同認識，並於履行職責時必須遵守 《學校資訊安全政策》與《學校資訊安全實施程序》。

第6項（資訊安全措施）

在訂定教育資訊安全政策時，應採取以下資訊安全措施，以保護教育資訊資產免遭資安威脅。

• 組織結構
  • 建立學校等整體之組織結構，以針對學校等資訊資產推行資訊安全措施。
  • 本政策之管理職責應由校長與事務局長作為核准人實施。
• 資訊資產分類與管制
  • 學校等保有之資訊資產應按照機密性、完整性及可用性進行分類，並根據分類情形實施資訊安全措施。
• 物理性安全
  • 對伺服器、雲端系統、通訊線路及伺服器／電腦等之管理應採取物理性防範措施。
• 人為安全
  • 就資訊安全採取人為安全措施， 訂定教職員等應遵守之事項， 同時提供充分之教育訓練與啟蒙活動。
• 技術安全
  • 採取技術性措施， 如網路等管理、 電腦等管理、 資訊存取管控、防止未經授權之程式及未經授權之存取等。
• 運用
  • 針對學校資訊安全政策運用層面採取措施， 如監控資訊系統、確認學校資訊安全政策之遵守情形、確保外部委託時之資訊安全等。
  • 如發生對資訊資產有所危害等情形 ，為進行迅速且合宜之因應， 應訂定緊急時應變計畫。

第7項（學校資訊安全稽核及自我審查之實施）

為驗證學校資訊安全政策之遵守情形，應定期或在必要時進行資訊安全稽核及自我審查。

第8項（學校資訊安全政策之重新評估）

如基於學校資訊安全稽核及自我檢查之結果 ，有必要再次重審學校資訊安全政策及需要採取新措施來因應資訊安全形勢變化時，應重新評估學校資訊安全政策。

第9項（學校資訊安全措施標準之訂定）

為落實第 6 項、第 7 項、第 8 項規定之措施，應訂定學校資訊安全措施標準，以明確具體之遵守事項及判斷標準。

此外，因公開後有可能嚴重妨礙學校之運營等，故學校資訊安全措施標準將不以予公開。

第 10 項（學校資訊安全實施程序之訂定）

依據學校資訊安全措施標準，訂定 「校內網路系統用」 學校資訊安全實施程序，以實施資訊安全措施之具體程序。

此外，因公開後有可能嚴重妨礙學校之運營等，故學校資訊安全實施程序將不以予公開。