來源：國際實體環境安全與委外隱私稽核案例借鏡

威脅對象：全校各處室主管、業務承辦同仁

【主題面向簡介】 資訊機房作為學校網路維運、主機託管與核心校務資料儲存的受限管制區，是全校資訊安全防禦的心臟地帶。為了維護日常行政與教學系統的穩定順暢，並確保大量數據與親師信任的防線不受侵害，機房的實體環境安全管理必須建立起嚴格的標準進出程序與日常合規觀念。

1. 它是怎麼發生的？ 實體環境安全管理最常遇到的盲區，並非缺乏防護設備，而是日常行為造成的軌跡斷層。當資訊人員、一般同仁因公進出，或是外部廠商進場進行電力、冷氣、網路線路維護時，若因彼此熟識或圖一時方便，未能落實每個人進出皆詳細填寫紀錄的實體留痕，將會導致進出管制紀錄單失真。此外，外部廠商進場維護時若未由資訊人員全程在場陪同，或負責的資訊人員離開時忽略了將實體鑰匙落實上鎖的行政紀律，極易讓核心設備暴露於非授權的實體接觸風險中。

2. 漏洞嚴重性（治理精神） 本篇新聞的核心目的在於幫助同仁建立正確的日常實體防禦觀念，清楚知道機房進出的標準程序。外部廠商進場若僅由到場的工程師個人簽署保密切結，而忽略了其所屬法人公司也應共同簽署的雙軌責任，將使委外契約監督流於形式。同樣地，若機房內外的監視錄影器儲存配置不當或使用未經授權的公用帳號登入管理，將導致影像無法留存滿六個月或操作軌跡無法追溯。一旦校內核心系統遭遇非預期的實體更動、設備異常或維護爭議時，將因缺乏足夠時間長度與明確權責的影像軌跡，導致無法即時調閱紀錄進行事件覆盤與交叉比對，直接衝擊到校園的行政名譽。落實內部實體環境的標準程序與審查，是確保數據生命週期衛生、不驚動上級機關的自主防禦基本功。

3. 同仁怎麼做（資訊機房實體存取與影像管理三招行動指引）

第一招：落實詳實登記與上鎖職責分工。不論資訊人員、一般同仁或外包維護廠商，進出機房時，每位進出人員皆於實體進出管制紀錄單上詳細填寫進出紀錄，確保每次進出皆有完整留痕；外部廠商進場維修時，資訊人員必須全程在場陪同。每次離開機房時，皆應由負責的資訊人員確實順手關門，並使用實體鑰匙將門落實上鎖、隨手拉一下確認門鎖已確實扣上，此上鎖紀律純屬資訊人員之職責。

第二招：完備各處室委外業務之雙軌保密切結。凡涉及進入資訊機房之外部廠商或人員（例如電力、冷氣維護、工程承攬等），不論其是否實質操作機房內之通訊與伺服器設備，全校各處室承辦同仁在辦理相關委外業務、簽約與進場前，除了要求現場人員個人簽署保密切結書外，其所屬的法人公司亦必須另外簽署一份公司保密切結書，從源頭落實完整的法律課責與委外監督。

● 第三招（資安武功秘笈｜權限清理與定期銷毀） 聚焦於管理端的環境自主定期檢查。資訊同仁與管理人員應落實定期清理與自律機制，定期檢查機房內外的監視錄影系統，確保影像軌跡自動留存至少達六個月以上，且監視器主機管理帳號必須落實專人專號控管，嚴禁使用公用帳號登入。同時，若進出管制紀錄單有任何填寫錯誤，程序上嚴禁直接塗改，必須在塗改處旁由操作人親筆簽名，以確保在遭遇爭議或安全疑慮時，資訊單位隨時有完整、具備明確身分識別的歷史紀錄可以調閱紀錄以進行事件覆盤。