资讯设备维护与管理程序书中州科技大学文档格式.docx

1、資通安全處理小組（原版簽名頁保存於文件管制小組）訂 修 廢 記 錄訂 修 廢 內 容 摘 要103/12/01初版發行1. 目的為確保本校資訊設備受到適切的管理與維護，在不影響資訊設備使用效率的考量下，降低使用資訊設備可能造成之風險，以符合資訊安全規範，特制訂本程序書。2. 適用範圍凡本校資訊設備之維護與管理，均適用本程序書。3. 參考文件3.1. ISMS-P-001文件與紀錄管理程序書。3.2. ISMS-P-003資訊資產管理程序書。3.3. ISMS-P-013帳號密碼及存取控制管理程序書。3.4. ISMS-P-017軟體使用管理程序書。3.5. ISMS-P-009資訊安全事件管理

2、程序書。3.6. ISMS-P-018委外作業管理程序書。4. 名詞定義4.1. 資訊設備：電腦硬體設備，如筆記型電腦、個人電腦、伺服器主機、週邊設備與網路通訊設備等。4.2. 可攜式設備與儲存媒體泛指重量輕盈、體積大小合宜及便於攜帶使用的電子資料處理或儲存設備。4.2.1. 可攜式資訊設備包含筆記型電腦、平板電腦、智慧型手機、個人數位助理（PDA）、數位播放器、數位相機、錄音筆、燒錄設備或其他具存取數位資料功能之可攜式資訊設備及其周邊設備等。4.2.2. 可攜式儲存媒體可供使用者透過資訊設備之通信埠，如Ethernet、USB埠、1394埠等進行大量資料存取之媒體，包含USB隨身碟、可攜式硬

3、碟、磁片、光碟片、Compact Flash（CF卡）、Secure Digital card（SD卡）等數位相機記憶卡或其他具存取數位資料功能之媒體。4.3. 服務水準協定（Service-Level Agreement, SLA）：指服務提供者與顧客之間所訂定的協定，雙方可以透過SLA的協調進行，以取得對於客戶需求、服務內容及保證的共識。4.4. 消耗性資訊設備：如滑鼠、鍵盤等，無法使用時可能造成業務不便。4.5. 一般資訊設備：意指桌上型個人電腦、可攜式資訊設備、可攜式儲存媒體、印表機、影印機、傳真機及掃描器等一般性資訊設備。4.6. 重要資訊設備：本校除一般資訊設備以外主要業務運作所需

4、之資訊設備，如伺服器主機、網路設備等。4.7. 儲存媒體：用以儲存電子資料之儲存設備，如磁碟片、硬碟、光碟、磁帶、隨身碟、記憶卡等。5. 作業內容5.1. 資訊設備維護與管理流程圖作業流程權責單位相關表單資訊設備管理者外來文件管制表資訊資產清冊可攜式設備及儲存媒體管理清冊權責主管資訊設備維護工作紀錄單軟硬體借用登記表系統管理者委外維護廠商資訊系統管理者可攜式設備及儲存媒體查核表委外廠商保密協議書相關業務承辦人員5.2. 資訊設備驗收5.2.1. 資訊設備之採購或租賃作業，由本校相關採購規定辦理驗收。5.2.2. 資訊設備於驗收時，應考量相關檢核：5.2.2.1. 需確認是否為採購所列之版本或型

5、號。5.2.2.2. 需確認是否具有認證。5.2.2.3. 需確認是否有全球服務。5.2.2.4. 需確認原廠本地是否有服務廠商。5.2.2.5. 需確認原廠技術支援能力是否足夠。5.2.3. 於驗收時，依契約規定取得重要資訊設備有關之系統、操作使用手冊，由資訊設備管理者依ISMS-P-001文件與紀錄管理程序書之規定，登錄於ISMS-P-001-05外來文件管制表列管。5.3. 列冊管理5.3.1. 新購置之資訊設備經驗收完成後，須依據本校財產分類原則編號並貼上財產標籤。5.3.2. 資訊設備於完成驗收時，由主管或指派專人依據ISMS-P-003資訊資產管理程序書之規定進行分類分級控管，主管

6、指派資訊設備管理者，由管理者更新ISMS-P-003-01資訊資產清冊。5.3.3. 本校所保有之可攜式設備及儲存媒體，須由權責人員將其登錄於ISMS-P-016-01可攜式設備及儲存媒體管理清冊，以進行使用之安全控管。5.4. 設定設備管理規定5.4.1. 資訊設備安全管理5.4.1.1. 資產管理人員每年應評估重要（核心）資訊設備對可用性之要求，並建置及實作備援措施（Redundancies）且確保備援措施完整有效，必要時對備援措施進行營運持續之演練。5.4.1.2. 個人電腦使用者不得將帳號、密碼告知他人使用或共用，個人帳號安全管理則依據ISMS-P-013帳號密碼及存取控制管理程序書之

7、規定辦理。5.4.1.3. 使用者需長時間離開電腦設備時，應退出使用環境，短時間離開電腦設備時，系統應自動啟動螢幕保護，以確保資料之安全。5.4.2. 可攜式設備與儲存媒體管理原則5.4.2.1. 應審慎評估可攜式設備及儲存媒體使用需求之必要性，並列冊使用及管控。5.4.2.2. 使用可攜式設備及儲存媒體時，應謹慎防範資訊洩漏或妨害本校利益等情節發生，並於教育訓練時加強宣導。5.4.2.3. 將機密資料存放於可攜式設備及儲存媒體時，得採取適當加密處理或設定密碼保護（如Word、Excel或壓縮軟體之密碼功能），避免可攜式設備及儲存媒體遺失時造成資訊外洩之狀況。5.4.2.4. 本校可攜式設備及

8、儲存媒體遺失時應立即通報單位主管，並評估資料遺失是否具有機密性，依情節之重大程度決定是否向上呈報。5.4.2.5. 本校可攜式設備及儲存媒體之使用者應負保管責任，不得擅自轉借他人使用，若發生故障或遺失應由該借用人與借用單位負相關責任。5.4.2.6. 未經權責單位同意，不得將任何業務資料、套裝軟體或應用系統軟體任意複製至可攜式儲存媒體中。5.4.2.7. 可攜式設備及儲存媒體於借用歸還時，應由借用人自行刪除個人資料，避免機密資料外洩。5.4.2.8. 借用人將可攜式設備歸還時，應由權責人員負責執行掃毒動作，降低被惡意程式碼感染的風險。5.4.3. 資訊設備軟、硬體管理5.4.3.1. 安裝或拆

9、卸資訊設備之配件須派專人負責進行。5.4.3.2. 個人使用之電腦嚴禁安裝未經授權軟體，若需安裝新軟體，須取得授權後，始可進行相關作業。軟體使用與申請之作業程序，請依據ISMS-P-017軟體使用管理程序書之規定辦理。5.4.3.3. 進行套裝軟體之升級或汰換作業時，應注意新舊版之相容性、資料之備份及確保原作業環境之正常運作等事宜。5.4.3.4. 資訊設備若有使用到外來檔案時，應先行使用掃毒程式掃毒。重大電腦中毒事件之處理，請依ISMS-P-009資訊安全事件管理程序書之規定辦理。5.4.3.5. 資訊設備若需進行資訊資產移轉，由資訊設備管理者依據ISMS-P-003資訊資產管理程序書之規定

10、辦理，移轉前應經資訊設備管理者判斷是否需清除內部資訊。5.4.4. 資訊設備維護管理5.4.4.1. 資訊設備如需進行變更或維護時，須由承辦人填寫ISMS-P-016-02資訊設備維護工作紀錄單，經單位主管核准後，由資訊設備管理者進行變更維護作業，並將變更維護內容紀錄於ISMS-P-016-02資訊設備維護工作紀錄單。5.4.4.2. 新購置或租賃之資訊設備，如無法自行維護，應於採購時，統一洽談維護服務事宜。委外維護之需求及管理，依據ISMS-P-018委外作業管理程序書之規定辦理。5.4.4.3. 重要資訊設備須簽訂維護契約時，由各系統管理者於維護契約內，明訂服務水準協定（Service L

11、evel Agreement, SLA），以確保維護服務之品質。5.4.4.4. 如牽涉敏感性資料之相關委外維護工作，依據ISMS-P-018委外作業管理程序書之規定辦理，並與廠商簽訂安全條款。5.4.5. 備品管理5.4.5.1. 一般性或消耗性之資訊設備由主管指派專人負責備有適當數量之備品，以防止因資訊設備損耗、維修時所造成之業務不便。5.4.5.2. 備品存量應由專人進行控管，存量不足時應依本校相關採購程序辦理採購事宜。5.4.6. 電話管理要求5.4.6.1. 於開放空間、公共環境使用電話通訊設備時，應避免談論本校敏感性資訊。5.4.6.2. 用電話時，應留意身邊人員，以防止業務機密資

12、料被竊聽。5.4.7. 印表機、影印機及傳真機管理要求5.4.7.1. 資料於列印、影印及傳真後，應立即將文件及相關資料取走。5.4.7.2. 無人領取之資料，若無人認領則於次一工作日執行銷毀。5.5. 資訊設備使用5.5.1. 資訊設備使用者及管理者，必須依據各項管理程序、操作手冊及各項作業標準書之規定，正確安全地操作及使用資訊設備。5.5.2. 非經授權，資訊設備使用者不得自行更改資訊設備系統環境設定與設定檔。5.5.3. 資訊設備軟、硬體安裝後，使用者在使用時如發生任何問題，應立即向負責人員反應處理。5.5.4. 應指定專人擔任資訊設備報修窗口，負責協助本校同仁處理資訊設備報修事宜。5.

13、5.5. 可攜式設備及儲存媒體需時，由申請者填寫ISMS-P-016-03軟硬體借用登記表，經管理單位承辦人及主管核准後，始可外借。外借歸還時，由管理單位承辦人檢查無誤後辦理歸還作業。5.6. 定期維護保養5.6.1. 系統管理者應定期對所管理及維護之系統主機進行維護保養作業。5.6.2. 各系統管理者應於所管理的系統主機上設定校時（時間同步）功能，以維持系統時間的一致性，確保系統稽核紀錄的正確性及可信度，作為事後法律上或是紀律處理上的重要依據。5.6.3. 委外維護廠商依維護契約中所議定之服務水準協定（SLA）之要求，進行契約範圍資訊設備之叫修維護，並提供維護紀錄，維護紀錄需經專人簽核存查，

14、以利後續追蹤及查核。5.7. 異常檢查、維修及狀況確認5.7.1. 資訊設備於平日使用或維護保養時，若發現有異常或損壞，使用人員應通知資訊設備管理者進行維修。5.7.2. 資訊設備若無法自行維修，則由資訊設備管理者填寫ISMS-P-016-02資訊設備維護工作紀錄單向委外維護服務廠商提出報修申請。5.7.3. 資訊設備於修復完成且經專人檢查合格後，要求廠商將相關之維修紀錄記載於ISMS-P-016-02資訊設備維護工作紀錄單上。5.7.4. 資訊設備移出、入管理5.7.4.1. 資訊設備若需移出本校進行維修，須於ISMS-P-016-02資訊設備維護工作紀錄單中註明攜出日期，並於歸還資訊設備時

15、，於同一紀錄表內註明歸還日期。5.7.4.2. 資訊設備移出本校進行維修時，若需包含硬碟，則應由各系統管理者將資訊設備內儲存之敏感資訊進行備份，存放於安全區域，並將原資料刪除後始可移出送修。5.7.4.3. 已修復之資訊設備移入本校使用前，應須由各系統管理者檢查軟硬體配備是否完整，檢視是否有無增加不當、不合法之軟硬體，例如後門程式、無版權之程式等，並確認資訊設備內之組件是否減少。5.7.4.4. 若為硬碟故障送修，修復後需由各系統管理者重新格式化。5.7.4.5. 廠商進入本校進行資訊設備維修時，若需使用其攜入之資訊設備使用本校網路，須依ISMS-P-018委外作業管理程序書之規定辦理使用申請

16、。5.7.5. 針對可攜式設備及儲存媒體，應配合稽核作業，每年由權責主管指派專人抽檢其使用狀況，確保使用者遵守各項使用及管理規定，並將查核結果記錄於ISMS-P-016-04可攜式設備及儲存媒體查核表，呈報單位主管進行安全管理。5.8. 報廢除帳5.8.1. 資訊設備若已無法修復或無修復價值時，依據本校報廢處理流程之規定辦理。5.8.2. 資訊設備報廢資訊設備於使用年限屆滿或符合報廢條件時，得由資訊設備管理者依ISMS-P-003資訊資產管理程序書及下列規範辦理報廢。5.8.2.1. 報廢資料清除5.8.2.1.1. 資訊設備、儲存媒體報廢時，須由資訊設備管理者確認報廢之資訊資產內資訊已刪除或

17、移除後，始得進行報廢。5.8.2.2. 報廢處理與銷毀方法5.8.2.2.1. 資訊資產之儲存媒體必須消磁或利用工具清除資料，如無法進行時則以實體破壞，廢棄光碟片需實體破壞。5.8.2.2.2. 報廢磁帶需對磁帶特性進行消磁或實體破壞，確保資料已被完全銷毀。5.8.2.2.3. 書面之機密文件必須碎紙機絞碎處理。5.8.2.2.4. 資訊資產報廢處理，應依本校資產管理辦法辦理報廢，並由資訊資產管理者更新ISMS-P-003-01資訊資產清冊。5.8.2.3. 報廢銷毀5.8.2.3.1. 儲存媒體銷毀時由資訊設備管理者進行銷毀。5.8.2.3.2. 儲存媒體或文件銷毀如需委外處理時，須由資訊設

18、備管理者依ISMS-P-018委外作業管理程序書之規定，要求委外廠商簽署ISMS-P-018-01委外廠商保密協議書。5.8.3. 針對可攜式設備及儲存媒體，應配合稽核作業，每年由權責主管指派專人抽檢其使用狀況，確保使用者遵守各項使用及管理規定，並將查核結果記錄於ISMS-P-016-04可攜式設備及儲存媒體查核表，呈報單位主管進行安全管理。5.9. 紀錄保存相關業務承辦人員應參照如下規範，妥善保存各項紀錄。編號表單名稱保存地點保存期限1圖資處至少1年2346. 附件6.1. ISMS-P-001-05外來文件管制表。6.2. ISMS-P-003-01資訊資產清冊。6.3. ISMS-P-016-01可攜式設備及儲存媒體管理清冊。6.4. ISMS-P-016-02資訊設備維護工作紀錄單。6.5. ISMS-P-016-03軟硬體借用登記表。6.6. ISMS-P-016-04可攜式設備及儲存媒體查核表。6.7. ISMS-P-018-01委外廠商保密協議書。