登录方法:
学校统一认证用户 其他用户
取消
|網站地圖 |網站搜索澳科大官網

澳門科技大學 資訊安全政策

发布时间:2021-01-14 309
返回

[11/16/2020] 校務委員會會議通過

1. 目的
    為加強澳門科技大學(以下簡稱本校)之資訊安全管理,建立安全及可信賴之資訊系統,確保資料、系統、設備及網路安全,提升校內人員對資訊安全之認知,符合資訊安全相關規定及法令要求,特訂定本政策。

2. 定義
    本政策所稱的資訊安全,是指確保本校資訊處理之機密性、完整性與可用性,主要目的如下:
    機密性(Confidentiality):確保只有經授權的人員才可以存取資訊。
    完整性(Integrity):保護資訊與處理方法的正確性與完整性。
    可用性(Availability):確保經授權的使用者在需要時,可以存取資訊及相關資產。

3. 資訊安全涵蓋範圍
    • 資訊安全權責分工。
    • 資訊安全教育訓練。
    • 資訊系統安全管理。
    • 網路安全管理。
    • 應用系統存取管理。
    • 應用系統開發及維護管理。
    • 電腦資產管理。
    • 系統環境安全管理。
    • 資訊系統災害復原管理。
    • 其他資訊安全管理事項。

4. 資訊安全的組織架構及其權責
    為有效推行資訊安全工作,本校成立「資訊安全委員會」(由校務委員會人員組成)負責對本政策之審核及資訊安全管理制度推進事項。並指定本校資訊安全負責人,並提供人力、財政、物力及財產資源,以推動督導校內安全管理工作。
由本校資訊安全負責人帶領組成的「資訊安全推動小組」負責︰
    • 資訊安全政策制定、資訊安全整體架構規劃與檢核、監控及執行資訊安全管理工作;
    • 落實本校資訊安全管理系統控制技術相關措施;
    • 資訊安全事故的應對及事後總結工作;
    • 視實際需要為校內人員安排資訊安全教育訓練及宣導,促使教職員及學生瞭解資訊安全的重要性及各種可能的安全風險,以提高教職員及學生的資訊安全意識並熟悉工作中之資訊安全職責,促其遵守資訊安全規定以及保持資訊安全意識,積極瞭解資訊安全相關最新資訊;
    • 每年最少一次或有須要時檢視本校的資訊安全執行情況並向監管機構滙報。並當有須要時配合監管機構履行資訊安全義務。

5. 資訊安全準則
    為確保本校教職員使用本校資訊資產或執行資訊業務外判供應商人員所使用的資訊資料、應用系統、硬體設備及網路設施安全,避免因人為疏失、蓄意破壞或自然災害等風險,遭致資訊資產不當使用、洩漏、 竄改、破壞等情事,而影響電腦作業系統正常運轉或損及全校教職員及學生之權益。
    校內人員應︰
    一、 日常工作中應確實遵守澳門「網絡安全法」、「個人資料保護法」等資訊安全相關規定。
    二、 應遵守本校相關的資訊安全管理制度及內部操作程序的相關規定。
    三、 不得進行任何危害資訊安全的行為。
    四、 妥善保管校內的資訊資產包括但不限於資訊資產、訪問資訊網絡和電腦系統的身份識別和權限工具。例如密碼、手提電腦等。
    五、 不得在未有「資訊安全推動小組」批准的情況下,從電腦裝置或電腦系統中停用或移除安全措施,例如惡意程式防護軟件;以及不得解除電腦裝置或電腦系統原設的存取和使用限制;不得安裝任何未獲授權使用的電腦程式。
    六、 不得使用未獲授權使用的電腦裝置或電腦系統處理或儲存須保密的電腦數據資料。例如私人電腦、私人的電腦數據資料儲存載體、公用的雲端硬碟等;如屬必要,必須預先評估,確保具備足夠的安全措施,並獲得申請者部門負責人及「資訊安全推動小組」批准後,方可使用該等裝置或系統。
    七、 不得使用未經本校授權使用的通訊工具和網絡傳送須保密的電腦數據資料;
    八、 妥善保管獲分配使用的電腦裝置及電腦系統,並確保其使用安全;對於載有須保密的電腦數據資料的電腦裝置及電腦系統,尚須設有密碼或加密保護
    九、 校內的資訊資產應每年進行盤點清查,電腦裝置在不需要時應退還至「資訊科技管理辦公室」以處理儲存在內的電腦數據資料,例如轉移資料、刪除資料。
    十、 不得將未獲授權使用的電腦裝置或電腦系統連接至本校的內部網絡;如屬必要的情況下,該電腦裝置或電腦系統則必須完成惡意程式檢測,並獲得「資訊安全推動小組」批准後,方可將該等裝置或系統連接至內部網絡。
    十一、 資訊網絡及電腦系統的軟硬件資產應依角色及職能為基礎,針對不同層級人員,以僅知原則和最小權限原則訂定其存取權限。
    十二、 當發生資訊安全事故時,應遵照「資訊安全事件管理程序」進行通報及執行應變措施,以確保支援重要教學、研究及行政活動的相關資訊系統持續運作,並定期進行對資訊安全事件管理程序進行測試演練。
    十三、 重要系統及應用程式應定期備份,以確保系統資料的安全性。
    十四、 辦理資訊業務外判時,應於在制定合約前,提出本校的資訊安全需求,明定外判供應商之資訊安全責任與保密規定,並列入契約,要求外判供應商遵守並定期予以查核。
    十五、 本政策如有未盡事宜,則依監管機構相關法規與本校相關規定辦理。
    十六、 本政策至少每年應依實際運作需求或法律變動檢視是否需進行修訂或更新。
    十七、 違反本政策與本校之資訊安全相關規範,依相關法規或本校懲戒規定辦理。

6. 頒布與修訂
    本政策經「校務委員會」審議通過,陳請 「校長辨公室」核定後發佈並由「資訊科技管理辦公室」實行,修正時亦同。

制定單位:資訊安全推動小組
核准層級:校務委員會