施政計畫、業務統計及研究報告
資訊安全政策
壹、目的
依據「行政院及所屬各機關資訊安全管理要點」,為強化本場資訊安全管理,建立安全及可信賴之電子化系統,確保資料、系統、設備及網路之安全,特訂定本要點。
貳、組織及權責
本場有關資訊安全管理事務依下列分工原則:
一、 資訊安全政策、計畫以及技術規範之研議、建置與評估等事項,由資安聯絡人負責辦理,資訊安全長負責督導。
二、 資料及資訊系統之安全需求研議、使用管理及維護等事項,由資安聯絡人負責辦理,資訊安全長負責督導。
三、 資訊安全教育訓練及宣導事宜由資安聯絡人負責辦理,資訊安全長負責督導。
四、 資訊安全之稽核作業,資安聯絡人協同資訊安全長負責辦理。
五、 本場對所有單位,每年進行一次資訊安全內部稽核。
六、 本場由資訊安全長(副首長)負責資訊安全管理事項之協調及推動。
參、人員管理
一、 各單位對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要之考核;各單位對可存取機密性或敏感性資訊或系統之人員,及因工作需要須配賦系統存取特別權限之人員,應加強評估及考核。
二、 各單位負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,實施人員輪調,建立人力備援制度。
三、 資訊作業相關人員離職時,應確實做好電腦軟硬體及相關文件之移交工作。
四、 各單位業務主管應負責督導所屬員工之資訊作業安全,防範不法及不當行為。
肆、電腦系統安全管理
一、 各單位辦理資訊業務委外作業時,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約中,要求廠商遵守及定期考核,並派員監督。
二、 電腦系統作業變更時,應詳實建立紀錄,以備查考。
三、 各單位應依相關法規或契約規定,複製及使用軟體;嚴禁使用非法軟體。
四、 磁片使用前應事先做掃毒檢查,或於電腦系統中裝置防毒軟體,以防止感染電腦病毒。
伍、網路安全管理
一、 各單位利用網路公佈及流通資訊時,應評估資料安全等級,機密、敏感性或未經當事人同意之個人隱私資料及文件,不得上網公佈。
二、 本場非屬機密性或敏感性之資料及文件得以電子郵件或其他電子方式傳送。機密性或敏感性之資料及文件,欲利用電子郵件或其他電子方式傳送時,須以適當的加密或電子簽章等安全技術處理。
陸、系統存取控制
一、 各單位對電腦資料庫及檔案應建立分級(機密及安全等級)管理制度。
二、 各項正式作業之電腦系統操作及資料處理,由各權責單位指定專人負責建檔、核對、更新、審查及維護電腦資料之正確性。資訊系統發展人員非經核准不得操作使用或更改已正式作業之系統檔案。
三、 電腦資料庫及檔案,應按不同業務範圍及使用權限,分別設定目錄、識別保護碼;重要或具機密性資料在建檔或提供使用時,應加設通行密碼、使用權限碼,以確保資料安全,且通行密碼應經常更新。
四、 各單位離職、休職、調職人員,應立即取消使用單位內各項資源之所有權限,並列入人員離職、休職、調職之必要手續;人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
五、 各電腦系統應建立系統使用者註冊管理制度,建立使用人員名冊。
六、 各單位之重要資料及系統委外廠商處理者,不論在機關內外執行,均應採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
柒、系統發展及維護安全管理
一、 各單位自行開發或委外發展之系統,應在系統之初始階段即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動等作業,應予安全管制,避免不當軟體及電腦病毒危害系統安全。
二、 對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼;基於實際作業需要,得核發短期性及臨時性之系統辨識與通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。
三、 委託廠商建置及維護重要軟硬體設施時,應在本場相關人員監督及陪同下始得為之。
捌、資訊資產安全管理
一、 各單位對於儲存各項機密資料或程式軟體之磁片、磁碟、磁帶、光碟片及報表等媒體,應設專人管理並定期備份,防止資料洩漏或損毀。
二、 對於需要長期保留或重要檔案之備份資料,應存放在防火、防潮、防磁的設備中。
玖、實體及環境安全管理
一、 各單位對於電腦設備之裝置地點,應考量使用及管理上之安全,並應指定專人負責管理,非經奉准之人員,不得隨意操作設備。管理或使用人員應詳細記載電腦設備故障、異常及維護等情形,以作為設備更新及作業安全之依據。
二、 電腦設備機房或電腦教室應設置適當之滅火設備。值班人員下班後,應關閉門窗及不必要之電源,以確保安全。
拾、業務永續運作之規劃
若發生資訊安全事件,應立即向相關人員通報,以採取適當反應措施。若有情節嚴重者,則聯繫檢警調單位協助偵查。
拾壹、附則
本要點經首長核定後實施,修正時亦同。