玖、資通安全防護及控制措施

三、作業與通訊安全管理

(四)確保實體與環境安全措施

1. 本校同仁應遵循「實體環境安全管理辦法」5.2實體進入控制規定，落實資料中心及電腦機房之 門禁管理 :
   • 為確保設備及資料之安全，應採用有身分識別功能之安全門，做為必要之安全控管。
   • 除機房管理人員外，其他因業務需要進入電腦機房作業時，應由機房管理人員陪同進入並於「電腦機房進出管制登記簿」上登記。
   • 「實體環境安全管理辦法」5.2實體進入控制規定，內部人員於進出時應隨時注意是否有非經授權人員跟隨進入。
   • 外部人員或委外人員應配帶原公司所製發之員工證或相關證明，並應於指定環境內執行作業。
   • 門禁系統之進出記錄應定期備份、審閱；記錄存放於安全區域並保存一年備查。
2. 本校同仁應遵循「實體環境安全管理辦法」5.6防範外部及環境威脅、5.7支援的公用設施、5.9設備維護相關規定，落實資料中心及電腦機房之 環境控制 :
   • 應保護設備免於電源失效，及因其他支援之公用服務事業失效，所導致之中斷。
   • 電腦機房溫濕度採固定區間控制，溫度應維持在18℃至28℃，相對溼度維持在30%至70%。
   • 電腦機房應設置專用之消防器材或系統，如熱感應、煙霧偵測、火災警報、滅火設備、火災逃生設備等，同時應符合相關法規並定期檢測、記錄。
   • 電腦機房維運設備(如消防、電力、空調設備等)或重要資訊設備(如主機、網路設備等)應與合格專業廠商簽訂維護合約，定期實施保養與妥善維護，以確保設備的完整與安全。
3. 本校同仁應遵循「實體環境安全管理辦法」、「資訊資產管理辦法」、「資訊作業管理辦法」、「個人資料檔案安全維護計畫」相關規定，落實 辦公室區域之實體與環境安全措施:
   • 依據「實體環境安全管理辦法」5.13桌面淨空與螢幕淨空安全控管規定，應實施桌面淨空，重要文件應妥善保管。
   • 依據「資訊資產管理辦法」5.12可移除式媒體的管理規定，將機密資料存放於可攜式設備與媒體時，應採取適當加密處理或保護措施，避免遺失時洩漏資訊。
   • 依據「資訊資產管理辦法」5.11資訊資產處置規定，密級、限制使用、內部使用等級的資訊類資訊資產以任何型式儲存均須置於上鎖區域保管，並設有存取控制。
   • 依據「資訊作業管理辦法」5.4應用系統測試/正式環境、資料庫之安全維護規定，應將敏感性系統隔離。
   • 針對存有個人資料之紙本文件及可攜式儲存媒體，不使用或下班時，應遵守桌面淨空政策，放置於抽屜或儲櫃並上鎖。
   • 資訊或資通系統相關設備，未經管理人授權，不得被帶離辦公室。

i