資訊設(shè)備維護(hù)與管理程序書-中州科技大學(xué)

1、精品文檔管理系統(tǒng)文件文 件類 別第二階文件文 件編 號ISMS-P-016文 件名 稱資訊設(shè)備維護(hù)與管理程序書發(fā) 行單 位文件管制小組發(fā) 行日 期103年 12月 01日版次A訂修廢單位審查核準(zhǔn)資通安全處理小組（原版簽名頁保存於文件管制小組）。1歡迎下載精品文檔訂修廢記錄版次發(fā)行日期訂修廢內(nèi)容摘要A103/12/01初版發(fā)行。2歡迎下載精品文檔1. 目的為確保本校資訊設(shè)備受到適切的管理與維護(hù)，在不影響資訊設(shè)備使用效率的考量下，降低使用資訊設(shè)備可能造成之風(fēng)險(xiǎn)，以符合資訊安全規(guī)範(fàn)，特制訂本程序書。2. 適用範(fàn)圍凡本校資訊設(shè)備之維護(hù)與管理，均適用本程序書。3. 參考文件3.1.ISMS-P-001

2、文件與紀(jì)錄管理程序書。3.2.ISMS-P-003 資訊資產(chǎn)管理程序書。3.3.ISMS-P-013 帳號密碼及存取控制管理程序書。3.4.ISMS-P-017 軟體使用管理程序書。3.5.ISMS-P-009 資訊安全事件管理程序書。3.6.ISMS-P-018 委外作業(yè)管理程序書。4. 名詞定義4.1.資訊設(shè)備：電腦硬體設(shè)備，如筆記型電腦、個人電腦、伺服器主機(jī)、週邊設(shè)備與網(wǎng)路通訊設(shè)備等。4.2.可攜式設(shè)備與儲存媒體泛指重量輕盈、體積大小合宜及便於攜帶使用的電子資料處理或儲存設(shè)備。4.2.1. 可攜式資訊設(shè)備包含筆記型電腦、平板電腦、智慧型手機(jī)、個人數(shù)位助理 （PDA）、數(shù)位播放器、數(shù)位相機(jī)

3、、錄音筆、燒錄設(shè)備或其他具存取數(shù)位資料功能之可攜式資訊設(shè)備及其周邊設(shè)備等。4.2.2. 可攜式儲存媒體可供使用者透過資訊設(shè)備之通信埠，如 Ethernet 、USB埠、1394埠等進(jìn)行大量資料存取之媒體，包含 USB隨身碟、可攜式硬碟、磁片、光碟片、 Compact Flash （CF 卡）、Secure Digital card （SD卡）等數(shù)位相機(jī)記憶卡或其他具存取數(shù)位資料功能之媒體。3歡迎下載精品文檔4.3.服務(wù)水準(zhǔn)協(xié)定（ Service-Level Agreement, SLA）：指服務(wù)提供者與顧客之間所訂定的協(xié)定，雙方可以透過 SLA 的協(xié)調(diào)進(jìn)行，以取得對於客戶需求、服務(wù)內(nèi)容及保證的

4、共識。4.4.消耗性資訊設(shè)備：如滑鼠、鍵盤等，無法使用時(shí)可能造成業(yè)務(wù)不便。4.5.一般資訊設(shè)備：意指桌上型個人電腦、可攜式資訊設(shè)備、可攜式儲存媒體、印表機(jī)、影印機(jī)、傳真機(jī)及掃描器等一般性資訊設(shè)備。4.6.重要資訊設(shè)備：本校除一般資訊設(shè)備以外主要業(yè)務(wù)運(yùn)作所需之資訊設(shè)備，如伺服器主機(jī)、網(wǎng)路設(shè)備等。4.7.儲存媒體：用以儲存電子資料之儲存設(shè)備，如磁碟片、硬碟、光碟、磁帶、隨身碟、記憶卡等。4歡迎下載精品文檔5. 作業(yè)內(nèi)容5.1.資訊設(shè)備維護(hù)與管理流程圖作業(yè)流程權(quán)責(zé)單位相關(guān)表單資訊設(shè)備驗(yàn)收列冊管理設(shè)定設(shè)備管理規(guī)定資訊設(shè)備使用正常定期維護(hù)保養(yǎng)異常檢查正常異常權(quán)責(zé)單位資訊設(shè)備管理者外來文件管制表資訊資產(chǎn)清

5、冊資訊設(shè)備管理者可攜式設(shè)備及儲存媒體管理清冊權(quán)責(zé)主管資訊設(shè)備維護(hù)工作紀(jì)錄單資通安全處理小組軟硬體借用登記表系統(tǒng)管理者委外維護(hù)廠商資訊系統(tǒng)管理者資訊設(shè)備維護(hù)工作紀(jì)錄單資訊設(shè)備管理者維修處理委外維護(hù)廠商資訊設(shè)備維護(hù)工作紀(jì)錄單不正常狀況確認(rèn)資訊設(shè)備管理者資訊設(shè)備維護(hù)工作紀(jì)錄單可攜式設(shè)備及儲存媒體查核表不堪使用報(bào)廢除帳資訊資產(chǎn)清冊資通安全處理小組委外廠商保密協(xié)議書記錄保存相關(guān)業(yè)務(wù)承辦人員。5歡迎下載精品文檔5.2.資訊設(shè)備驗(yàn)收5.2.1. 資訊設(shè)備之採購或租賃作業(yè)，由本校相關(guān)採購規(guī)定辦理驗(yàn)收。5.2.2. 資訊設(shè)備於驗(yàn)收時(shí)，應(yīng)考量相關(guān)檢核：5.2.2.1.需確認(rèn)是否為採購所列之版本或型號。5.2.2.

6、2.需確認(rèn)是否具有認(rèn)證。5.2.2.3.需確認(rèn)是否有全球服務(wù)。5.2.2.4.需確認(rèn)原廠本地是否有服務(wù)廠商。5.2.2.5.需確認(rèn)原廠技術(shù)支援能力是否足夠。5.2.3. 於驗(yàn)收時(shí)，依契約規(guī)定取得重要資訊設(shè)備有關(guān)之系統(tǒng)、操作使用手冊，由資訊設(shè)備管理者依ISMS-P-001 文件與紀(jì)錄管理程序書之規(guī)定，登錄於 ISMS-P-001-05 外來文件管制表列管。5.3.列冊管理5.3.1. 新購置之資訊設(shè)備經(jīng)驗(yàn)收完成後，須依據(jù)本校財(cái)產(chǎn)分類原則編號並貼上財(cái)產(chǎn)標(biāo)籤。5.3.2. 資訊設(shè)備於完成驗(yàn)收時(shí)，由主管或指派專人依據(jù) ISMS-P-003 資訊資產(chǎn)管理程序書之規(guī)定進(jìn)行分類分級控管，主管指派資訊設(shè)備管理

7、者，由管理者更新ISMS-P-003-01 資訊資產(chǎn)清冊。5.3.3. 本校所保有之可攜式設(shè)備及儲存媒體，須由權(quán)責(zé)人員將其登錄於ISMS-P-016-01 可攜式設(shè)備及儲存媒體管理清冊 ，以進(jìn)行使用之安全控管。5.4.設(shè)定設(shè)備管理規(guī)定5.4.1. 資訊設(shè)備安全管理5.4.1.1.資產(chǎn)管理人員每年應(yīng)評估重要（核心）資訊設(shè)備對可用性之要求，並建置及實(shí)作備援措施（ Redundancies）且確保備援措施完整有效，必要時(shí)對備援措施進(jìn)行營運(yùn)持續(xù)之演練。5.4.1.2.個人電腦使用者不得將帳號、密碼告知他人使用或共用，個。6歡迎下載精品文檔人帳號安全管理則依據(jù) ISMS-P-013 帳號密碼及存取控制管

8、理程序書之規(guī)定辦理。5.4.1.3.使用者需長時(shí)間離開電腦設(shè)備時(shí)，應(yīng)退出使用環(huán)境，短時(shí)間離開電腦設(shè)備時(shí)，系統(tǒng)應(yīng)自動啟動螢?zāi)槐Ｗo(hù)，以確保資料之安全。5.4.2. 可攜式設(shè)備與儲存媒體管理原則5.4.2.1.應(yīng)審慎評估可攜式設(shè)備及儲存媒體使用需求之必要性，並列冊使用及管控。5.4.2.2.使用可攜式設(shè)備及儲存媒體時(shí)，應(yīng)謹(jǐn)慎防範(fàn)資訊洩漏或妨害本校利益等情節(jié)發(fā)生，並於教育訓(xùn)練時(shí)加強(qiáng)宣導(dǎo)。5.4.2.3.將機(jī)密資料存放於可攜式設(shè)備及儲存媒體時(shí)，得採取適當(dāng)加密處理或設(shè)定密碼保護(hù)（如 Word、Excel 或壓縮軟體之密碼功能），避免可攜式設(shè)備及儲存媒體遺失時(shí)造成資訊外洩之狀況。5.4.2.4.本?？蓴y式設(shè)

9、備及儲存媒體遺失時(shí)應(yīng)立即通報(bào)單位主管，並評估資料遺失是否具有機(jī)密性，依情節(jié)之重大程度決定是否向上呈報(bào)。5.4.2.5.本校可攜式設(shè)備及儲存媒體之使用者應(yīng)負(fù)保管責(zé)任，不得擅自轉(zhuǎn)借他人使用，若發(fā)生故障或遺失應(yīng)由該借用人與借用單位負(fù)相關(guān)責(zé)任。5.4.2.6.未經(jīng)權(quán)責(zé)單位同意，不得將任何業(yè)務(wù)資料、套裝軟體或應(yīng)用系統(tǒng)軟體任意複製至可攜式儲存媒體中。5.4.2.7.可攜式設(shè)備及儲存媒體於借用歸還時(shí)，應(yīng)由借用人自行刪除個人資料，避免機(jī)密資料外洩。5.4.2.8.借用人將可攜式設(shè)備歸還時(shí)，應(yīng)由權(quán)責(zé)人員負(fù)責(zé)執(zhí)行掃毒動作，降低被惡意程式碼感染的風(fēng)險(xiǎn)。5.4.3. 資訊設(shè)備軟、硬體管理5.4.3.1.安裝或拆卸資訊

10、設(shè)備之配件須派專人負(fù)責(zé)進(jìn)行。7歡迎下載精品文檔5.4.3.2.個人使用之電腦嚴(yán)禁安裝未經(jīng)授權(quán)軟體，若需安裝新軟體，須取得授權(quán)後，始可進(jìn)行相關(guān)作業(yè)。軟體使用與申請之作業(yè)程序，請依據(jù)ISMS-P-017 軟體使用管理程序書 之規(guī)定辦理。5.4.3.3.進(jìn)行套裝軟體之升級或汰換作業(yè)時(shí)，應(yīng)注意新舊版之相容性、資料之備份及確保原作業(yè)環(huán)境之正常運(yùn)作等事宜。5.4.3.4.資訊設(shè)備若有使用到外來檔案時(shí)，應(yīng)先行使用掃毒程式掃毒。重大電腦中毒事件之處理，請依 ISMS-P-009 資訊安全事件管理程序書之規(guī)定辦理。5.4.3.5.資訊設(shè)備若需進(jìn)行資訊資產(chǎn)移轉(zhuǎn)，由資訊設(shè)備管理者依據(jù)ISMS-P-003 資訊資產(chǎn)管

11、理程序書 之規(guī)定辦理，移轉(zhuǎn)前應(yīng)經(jīng)資訊設(shè)備管理者判斷是否需清除內(nèi)部資訊。5.4.4. 資訊設(shè)備維護(hù)管理5.4.4.1.資訊設(shè)備如需進(jìn)行變更或維護(hù)時(shí)，須由承辦人填寫ISMS-P-016-02 資訊設(shè)備維護(hù)工作紀(jì)錄單，經(jīng)單位主管核準(zhǔn)後，由資訊設(shè)備管理者進(jìn)行變更維護(hù)作業(yè)，並將變更維護(hù)內(nèi)容紀(jì)錄於 ISMS-P-016-02 資訊設(shè)備維護(hù)工作紀(jì)錄單 。5.4.4.2.新購置或租賃之資訊設(shè)備，如無法自行維護(hù)，應(yīng)於採購時(shí)，統(tǒng)一洽談維護(hù)服務(wù)事宜。委外維護(hù)之需求及管理，依據(jù)ISMS-P-018 委外作業(yè)管理程序書之規(guī)定辦理。5.4.4.3.重要資訊設(shè)備須簽訂維護(hù)契約時(shí)，由各系統(tǒng)管理者於維護(hù)契約內(nèi)，明訂服務(wù)水準(zhǔn)協(xié)定

12、 （Service Level Agreement, SLA），以確保維護(hù)服務(wù)之品質(zhì)。5.4.4.4. 如牽涉敏感性資料之相關(guān)委外維護(hù)工作，依據(jù) ISMS-P-018 委外作業(yè)管理程序書 之規(guī)定辦理，並與廠商簽訂安全條款 。5.4.5. 備品管理5.4.5.1.一般性或消耗性之資訊設(shè)備由主管指派專人負(fù)責(zé)備有適當(dāng)數(shù)量之備品，以防止因資訊設(shè)備損耗、維修時(shí)所造成之業(yè)務(wù)不便。8歡迎下載精品文檔5.4.5.2.備品存量應(yīng)由專人進(jìn)行控管，存量不足時(shí)應(yīng)依本校相關(guān)採購程序辦理採購事宜。5.4.6. 電話管理要求5.4.6.1.於開放空間、公共環(huán)境使用電話通訊設(shè)備時(shí)，應(yīng)避免談?wù)摫拘Ｃ舾行再Y訊。5.4.6.2.用

13、電話時(shí)，應(yīng)留意身邊人員，以防止業(yè)務(wù)機(jī)密資料被竊聽。5.4.7. 印表機(jī)、影印機(jī)及傳真機(jī)管理要求5.4.7.1.資料於列印、影印及傳真後，應(yīng)立即將文件及相關(guān)資料取走。5.4.7.2.無人領(lǐng)取之資料，若無人認(rèn)領(lǐng)則於次一工作日執(zhí)行銷毀。5.5.資訊設(shè)備使用5.5.1. 資訊設(shè)備使用者及管理者，必須依據(jù)各項(xiàng)管理程序、 操作手冊及各項(xiàng)作業(yè)標(biāo)準(zhǔn)書之規(guī)定，正確安全地操作及使用資訊設(shè)備。5.5.2. 非經(jīng)授權(quán)，資訊設(shè)備使用者不得自行更改資訊設(shè)備系統(tǒng)環(huán)境設(shè)定與設(shè)定檔。5.5.3. 資訊設(shè)備軟、硬體安裝後，使用者在使用時(shí)如發(fā)生任何問題，應(yīng)立即向負(fù)責(zé)人員反應(yīng)處理。5.5.4. 應(yīng)指定專人擔(dān)任資訊設(shè)備報(bào)修窗口，負(fù)責(zé)協(xié)

14、助本校同仁處理資訊設(shè)備報(bào)修事宜。5.5.5. 可攜式設(shè)備及儲存媒體需時(shí)，由申請者填寫 ISMS-P-016-03 軟硬體借用登記表，經(jīng)管理單位承辦人及主管核準(zhǔn)後，始可外借。外借歸還時(shí)，由管理單位承辦人檢查無誤後辦理歸還作業(yè)。5.6.定期維護(hù)保養(yǎng)5.6.1. 系統(tǒng)管理者應(yīng)定期對所管理及維護(hù)之系統(tǒng)主機(jī)進(jìn)行維護(hù)保養(yǎng)作業(yè)。5.6.2. 各系統(tǒng)管理者應(yīng)於所管理的系統(tǒng)主機(jī)上設(shè)定校時(shí)（時(shí)間同步）功能，以維持系統(tǒng)時(shí)間的一致性，確保系統(tǒng)稽核紀(jì)錄的正確性及可信度，作為事後法律上或是紀(jì)律處理上的重要依據(jù)。9歡迎下載精品文檔5.6.3. 委外維護(hù)廠商依維護(hù)契約中所議定之服務(wù)水準(zhǔn)協(xié)定（ SLA）之要求，進(jìn)行契約範(fàn)圍資訊

15、設(shè)備之叫修維護(hù)，並提供維護(hù)紀(jì)錄，維護(hù)紀(jì)錄需經(jīng)專人簽核存查，以利後續(xù)追蹤及查核。5.7.異常檢查、維修及狀況確認(rèn)5.7.1. 資訊設(shè)備於平日使用或維護(hù)保養(yǎng)時(shí)，若發(fā)現(xiàn)有異?；驌p壞，使用人員應(yīng)通知資訊設(shè)備管理者進(jìn)行維修。5.7.2. 資訊設(shè)備若無法自行維修，則由資訊設(shè)備管理者填寫ISMS-P-016-02 資訊設(shè)備維護(hù)工作紀(jì)錄單向委外維護(hù)服務(wù)廠商提出報(bào)修申請。5.7.3. 資訊設(shè)備於修復(fù)完成且經(jīng)專人檢查合格後，要求廠商將相關(guān)之維修紀(jì)錄記載於 ISMS-P-016-02 資訊設(shè)備維護(hù)工作紀(jì)錄單上。5.7.4. 資訊設(shè)備移出、入管理5.7.4.1.資訊設(shè)備若需移出本校進(jìn)行維修，須於 ISMS-P-016

16、-02 資訊設(shè)備維護(hù)工作紀(jì)錄單中註明攜出日期，並於歸還資訊設(shè)備時(shí)，於同一紀(jì)錄表內(nèi)註明歸還日期。5.7.4.2.資訊設(shè)備移出本校進(jìn)行維修時(shí)，若需包含硬碟，則應(yīng)由各系統(tǒng)管理者將資訊設(shè)備內(nèi)儲存之敏感資訊進(jìn)行備份，存放於安全區(qū)域，並將原資料刪除後始可移出送修。5.7.4.3.已修復(fù)之資訊設(shè)備移入本校使用前，應(yīng)須由各系統(tǒng)管理者檢查軟硬體配備是否完整，檢視是否有無增加不當(dāng)、不合法之軟硬體，例如後門程式、無版權(quán)之程式等，並確認(rèn)資訊設(shè)備內(nèi)之組件是否減少。5.7.4.4.若為硬碟故障送修，修復(fù)後需由各系統(tǒng)管理者重新格式化。5.7.4.5.廠商進(jìn)入本校進(jìn)行資訊設(shè)備維修時(shí)，若需使用其攜入之資訊設(shè)備使用本校網(wǎng)路 ，須

17、依ISMS-P-018 委外作業(yè)管理程序書之規(guī)定辦理使用申請。5.7.5. 針對可攜式設(shè)備及儲存媒體，應(yīng)配合稽核作業(yè)，每年由權(quán)責(zé)主管指派專人抽檢其使用狀況，確保使用者遵守各項(xiàng)使用及管理規(guī)定，並將查核結(jié)果記錄於ISMS-P-016-04 可攜式設(shè)備及儲存媒。10歡迎下載精品文檔體查核表，呈報(bào)單位主管進(jìn)行安全管理。5.8.報(bào)廢除帳5.8.1. 資訊設(shè)備若已無法修復(fù)或無修復(fù)價(jià)值時(shí)，依據(jù)本校報(bào)廢處理流程之規(guī)定辦理。5.8.2. 資訊設(shè)備報(bào)廢資訊設(shè)備於使用年限屆滿或符合報(bào)廢條件時(shí)，得由資訊設(shè)備管理者依ISMS-P-003 資訊資產(chǎn)管理程序書及下列規(guī)範(fàn)辦理報(bào)廢。5.8.2.1.報(bào)廢資料清除5.8.2.1.

18、1.資訊設(shè)備、儲存媒體報(bào)廢時(shí)，須由資訊設(shè)備管理者確認(rèn)報(bào)廢之資訊資產(chǎn)內(nèi)資訊已刪除或移除後，始得進(jìn)行報(bào)廢。5.8.2.2.報(bào)廢處理與銷毀方法5.8.2.2.1.資訊資產(chǎn)之儲存媒體必須消磁或利用工具清除資料，如無法進(jìn)行時(shí)則以實(shí)體破壞，廢棄光碟片需實(shí)體破壞。5.8.2.2.2.報(bào)廢磁帶需對磁帶特性進(jìn)行消磁或?qū)嶓w破壞，確保資料已被完全銷毀。5.8.2.2.3.書面之機(jī)密文件必須碎紙機(jī)絞碎處理。5.8.2.2.4.資訊資產(chǎn)報(bào)廢處理，應(yīng)依本校資產(chǎn)管理辦法辦理報(bào)廢，並由資訊資產(chǎn)管理者更新 ISMS-P-003-01 資訊資產(chǎn)清冊。5.8.2.3.報(bào)廢銷毀5.8.2.3.1.儲存媒體銷毀時(shí)由資訊設(shè)備管理者進(jìn)行銷毀。5.8.2.3.2.儲存媒體或文件銷毀如需委外處理時(shí)，須由資訊設(shè)備管理者依ISMS-P-018 委外作業(yè)管理程序書 之規(guī)定，要求委外廠商簽署 ISMS-P-018-01 委外廠商保密協(xié)議書。5.8.3. 針對可攜式設(shè)備及儲存媒體，應(yīng)配合稽核作業(yè)，每年由權(quán)責(zé)主管指派專人抽檢其使用狀況，確保使用者遵守各項(xiàng)使用及管理規(guī)。11歡迎下載精品文檔定，並將查核結(jié)果記錄於 ISMS-P-016-04 可攜式設(shè)備及儲存媒體查核表，呈報(bào)單位主管進(jìn)行安全管理。5.9.紀(jì)錄保存相關(guān)業(yè)務(wù)承辦人員應(yīng)參照如下規(guī)範(fàn)，妥善保存各項(xiàng)紀(jì)錄。編號表單名稱保存地點(diǎn)