玖、資通安全防護及控制措施
三、作業與通訊安全管理
(四)確保實體與環境安全措施
資料中心及電腦機房之門禁管理
資料中心及電腦機房應進行
實體隔離
。
機關人員或來訪人員應
申請及授權
後方可進入資料中心及電腦機房,資料中心及電腦機房管理者並應定期檢視授權人員之名單。
人員進入管制區應配載身分識別之標示,並隨時注意
身分不明或可疑人員
。
僅於必要時,得
准許
外部支援人員
進入
資料中心及電腦機房。
人員及設備進出資料中心及電腦機房應
留存記錄
。
資料中心及電腦機房之環境控制
資料中心及電腦機房之空調、電力應建立
備援措施
。
資料中心及電腦機房之
溫濕度管控範圍
為...
資料中心及電腦機房應安裝之
安全偵測及防護措施
,包括熱度及煙霧偵測設備、火災警報設備、溫濕度監控設備、漏水偵測設備、入侵者偵測系統,以減少環境不安全引發之危險。
各項安全設備應
定期執行檢查、維修
,並應定時針對設備之管理者進行適當之安全設備
使用訓練
。
辦公室區域之實體與環境安全措施
應考量採用
辦公桌面的淨空政策
,以減少文件及可移除式媒體等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。
文件及
可移除式媒體
在不使用或不上班時,應存放在
櫃子內
。
機密性及敏感性資訊
,不使用或下班時應該
上鎖
。
機密資訊或處理機密資訊之資通系統
應避免存放或設置於公眾可接觸之場域。
顯示存放機密資訊或具處理機密資訊之資通系統地點之
通訊錄
及內部人員電話簿,不宜讓未經授權者輕易取得。
資訊或資通系統相關設備,未經
管理人授權
,不得被帶離辦公室。
玖、資通安全防護及控制措施
三、作業與通訊安全管理
(四)確保實體與環境安全措施
本校同仁應遵循「實體環境安全管理辦法」5.2實體進入控制規定,落實
資料中心及電腦機房之
門禁管理
:
為確保設備及資料之安全,應採用
有身分識別功能之安全門
,做為必要之安全控管。
除機房管理人員外,其他因業務需要進入電腦機房作業時,應由機房管理人員陪同進入並於
「電腦機房進出管制登記簿」
上登記。
「實體環境安全管理辦法」5.2實體進入控制規定,內部人員於進出時應隨時注意是否有
非經授權人員
跟隨進入。
外部人員或委外人員應配帶原公司所製發之員工證或相關證明,並應於
指定環境內
執行作業。
門禁系統之
進出記錄
應定期備份、審閱;記錄存放於安全區域並保存一年備查。
本校同仁應遵循「實體環境安全管理辦法」5.6防範外部及環境威脅、5.7支援的公用設施、5.9設備維護相關規定,落實
資料中心及電腦機房之
環境控制
:
應保護設備
免於電源失效
,及因其他支援之公用服務事業失效,所導致之中斷。
電腦機房
溫濕度
採固定區間控制,溫度應維持在18℃至28℃,相對溼度維持在30%至70%。
電腦機房應設置專用之
消防器材或系統
,如熱感應、煙霧偵測、火災警報、滅火設備、火災逃生設備等,同時應符合相關法規並定期檢測、記錄。
電腦機房維運設備(如消防、電力、空調設備等)或重要資訊設備(如主機、網路設備等)應與合格專業廠商簽訂維護合約,
定期實施保養
與妥善維護,以確保設備的完整與安全。
本校同仁應遵循「實體環境安全管理辦法」、「資訊資產管理辦法」、「資訊作業管理辦法」、「個人資料檔案安全維護計畫」相關規定,落實
辦公室區域之實體與環境安全措施
:
依據「實體環境安全管理辦法」5.13桌面淨空與螢幕淨空安全控管規定,應實施
桌面淨空,重要文件應妥善保管
。
依據「資訊資產管理辦法」5.12可移除式媒體的管理規定,將機密資料存放於
可攜式設備與媒體
時,應採取適當
加密處理或保護措施
,避免遺失時洩漏資訊。
依據「資訊資產管理辦法」5.11資訊資產處置規定,
密級、限制使用、內部使用等級的資訊類資訊資產
以任何型式儲存均須置於
上鎖區域保管
,並設有存取控制。
依據「資訊作業管理辦法」5.4應用系統測試/正式環境、資料庫之安全維護規定,應
將敏感性系統隔離
。
針對存有
個人資料
之紙本文件及可攜式儲存媒體,不使用或下班時,應遵守桌面淨空政策,放置於抽屜或儲櫃並上鎖。
資訊或資通系統相關設備,未經管理人授權,不得被帶離辦公室。
i