臺南市私立長榮高級中學應用軟體安全管理要點

中華民國一○四年五月十八日103學年度第10次行政會議通過

一、臺南市私立長榮高級中學（以下簡稱本校）為確保應用軟體(網站)、資料庫、程式開發建置之使用安全，避免因人為疏忽、系統漏洞、蓄意破壞等風險，遭致資訊資產不當使用、洩漏、竄改、破壞等情事，而影響應用軟體系統之正常運作，特制定臺南市私立長榮高級中學應用軟體安全管理要點（以下簡稱本要點）。

    本要點之業務承辦單位為本校電腦中心。

二、適用範圍：

(一)人員：本校教職員工、學生及委外資訊服務廠商。

(二)軟體設備：各網站系統、資料庫、應用軟體、程式開發。

三、共同規範：

(一)應用軟體(網站)進行遠端維護時，應於加密管道進行，並管制維護IP來源。

(二)應用軟體(網站)存取時需建立檢核機制，並適當進行安全檢查。

(三)應用程式對於所有輸入欄位應進行字元檢查，排除特殊字元，防止資料庫隱碼攻擊。

(四)需描述在各文件中所使用的特殊名詞、縮寫符號與簡稱。定義用字需解釋清楚，縮寫符號則需說明全文及其意義，並以英文字母順序表列。

(五)參考文件資料需記載並說明各文件中所參考引用之文獻及範例。軟體專案之文件，需記載組織及作業手冊之編號、標題、改訂版、與日期，及其他相關的文件等。

四、軟體需求規格：

    軟體開發需交付「軟體需求規格書」提供可茲參考依循的軟體需求分析作業程序，以利進行需求訂定作業並提昇分析品質，並可作為使用者、軟體需求分析人員、及專案管理人員之間溝通的橋樑，亦是後續品保人員檢驗之依據。

五、軟體設計規格：

    軟體開發需交付「軟體設計規格書」提供可茲參考依循的設計作業程序，以加速進行設計作業並提昇其品質，主要目的是作為進行軟體設計工作相關人員之參考、及執行軟體設計作業之依據，進而提昇設計技術及增進設計成果品質。

六、軟體程式設計：

軟體開發需交付「原始程式碼(含光碟)」，述明該程式之程式碼，程式碼中應使用註解(Comment)說明程式功能，並將程式碼以光碟媒體儲存交付。

七、軟體維護使用手冊：

    軟體開發需交付軟體維護使用手冊，應包含項目說明如下：

(一)系統建置目的及預期目標。

(二)系統功能摘要。

(三)軟硬體環璄需求

    描述此系統發展環境所需的軟硬需求及該設備的特性、處理速度、記憶體的容量、系統軟體使用規則、備份與復原處理、系統安全管理及應注意事項。應包含項目說明如下：

1.硬體需求。

2.作業系統及軟體需求。

3.系統軟硬體架構圖。

4.客戶端所需環境說明。

(四)安裝指南需提供系統軟硬體建置應有詳細安裝步驟，詳細說明軟體安裝時的每一個步驟、先後順序、以及安裝之注意事項。

(五)操作手冊需提供各種使用者查閱本系統之各項功能。

八、系統導入計畫：

    需建立系統導入計畫提供系統導入計劃之基本規範，將系統導入的各個步驟及預計時程清楚的條列出來，俾使系統順利上線運作。

九、系統組態管理：

    需建立系統組態管理文件提供專案人員執行組態管理可依循之作業依據，以降低資訊環境變更對於業務造成的影響，亦就是確保所有組態項目之間的整體一致性。

十、本要點經行政會議通過，依行政程序陳請校長發布實施，修正時亦同。