【管理原則】資訊系統管理者/資訊安全管理者

⇛資訊系統管理與安全防護
一、應視資訊系統重要性、系統架構與網路架構選擇適當之安全防護措施 ( 例如防火牆、入侵偵測 / 防禦系統、防毒軟體等 ) 來提升資安防禦能力。
二、存放系統使用者申請或註冊的資料檔案，應採用適當授權管控方式或加密方式處理，以防資料外流。
三、為保護重要檔案及資訊，應採行適當的措施 ( 例如檔案加密、資料備份等 ) ，以防止資料 遺失、毀壞及被偽造或竄改。
四、資訊系統應檢測與修補系統漏洞或弱點。於安裝相關 修補程式前，建議可先經過評估與測試，以確認不會對系統運作造成負面影響。
五、不使用電腦設備時，宜採取登出、設定螢幕保護功能、關機或其他適當之保護措施。
六、資訊系統應盡量避免共用帳號。
七、系統重要資訊 ( 例如系統紀錄、稽核紀錄等 ) ，宜依照單位需求與相關規範來進行備份作業，並應確認備份作業結果之有效性。
八、宜針對重要資訊系統毀損或失效來制訂相關系統復原計畫與執行步驟。
九、應確認所管理之系統帳號皆為合法授權者，避免出現閒置 ( 無人使用 ) 帳號或非授權使用者帳號 ( 例如職務調動或離職者等 ) 。
十、應針對會造成單位危害之資安事件來建立事件通報機制，以提升組織緊急應變處理能力。
十一、單位宜根據組織安全防護需求與資訊系統重要性來建立弱點掃描機制與弱點修補機制。
十二、建議定期瀏覽資安相關網站或論壇 ( 例如國家資通安全會報技服中心網站 ) 以獲得新的資訊安全相關訊息或知識。
十三、定期檢視資訊系統之異常作業相關紀錄，以確認是否有未發現或潛在之資安威脅與弱點。
十四、宜將資訊系統安全管理相關作法與活動進行文件化，讓資訊系統管理人員、系統維護人員與資安管理人員有更具體之作業指引。


⇛密碼使用原則
一、當發現管理者密碼可能遭到破解或竊取之可疑跡象時，應立即變更密碼。
二、在資訊系統完成安裝作業後，應立即變更該系統預設的管理者密碼。
三、應設定高防禦強度之管理者密碼，以下為建議設定原則：
‧ 密碼建議設定至少六碼以上。
‧ 密碼可採用文數字混合、特殊字元符號與大小寫英文字母混合來進行設定。
‧ 密碼沒有明顯意義。
四、妥善保管帳號及密碼，不隨意透漏或提供給他人使用。
五、應定期 ( 例如每月、每季等 ) 變更管理者密碼。


⇛智慧財產權
一、應尊重智慧財產權， 單位或個人使用、複製及修改電腦軟體，應依著作權法相關規定辦理。
二、應定期清查單位內之軟體使用情形，以確認人員未使用非法或未經授權軟體，以落實使用合法軟體。



- 資料來源-
教育部提升校園資訊安全服務計畫服務團隊
安侯企業管理股份有限公司