壹 目的 |
|
一、本府為推動所屬各機關、學校強化資訊安全管理,建立安全及可信賴 之電子化政府,確保所屬機關之資料、系統、設備及網路安全,特訂 定本要點。
|
貳 依據 |
|
二、本要點依據下列條文訂定: (一) 行政院及所屬各機關資訊安全管理要點。 (二) 行政院及所屬各機關資訊安全管理規範。 (三) 政風機構辦理資訊使用管理稽核作業要點。 (四) 電腦處理個人資料保護法及施行細則。
|
參 通則 |
|
三、本要點適用本府各單位、附屬機關、縣屬各級學校、派出單位及人員 。
|
|
四、為落實資訊安全,本府將對各單位及人員定期評估,並依據評估後之 檢討建議修正安全政策,俾以確保機關資訊蒐集、處理、傳送、儲存 及流通之安全。
|
肆 資訊安全政策 |
|
五、共分為三項: (一) 本要點為本府、所屬機關及學校皆需共同遵行之資訊安全政策。 (二) 本要點訂定後,由本府以書面、電子或其他方式向本府所屬員工、 連線作業之所屬機關、學校及提供資訊服務之廠商宣告。 (三) 本要點所訂之各項資訊安全措施或改進事項,本府將逐期建置。
|
伍 組織及權責 |
|
六、依下列分工原則,配賦有關單位及人員之權責: (一) 資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資 訊單位負責辦理。 (二) 資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務 單位負責辦理。 (三) 資訊機密維護及稽核使用管理事項,由政風單位會同資訊單位負責 辦理。 (四) 未設置資訊及政風單位者,由機關首長指定適當單位及人員負責辦 理。 (五) 機關業務性質特殊者,得由機關首長調整第 (一) 項分工原則。
|
|
七、本府資訊安全作業,除定期稽核外,另視需要不定期進行資訊安全稽 核,上述稽核作業由政風單位會同資訊單位及受稽核單位辦理,並將 稽核結果就優缺點及建議改善措施提出書面意見,陳報機關首長核示 ,並通知缺失單位,確實檢討限期改進,必要時得由政風單位會同資 訊單位實施複查,持續追蹤辦理情況,以維護稽核成效。
|
|
八、資訊安全管理事項之推動由副縣長 (或本府主任秘書) 負責協調事宜 ,並指示成立資訊安全推行小組,統籌資訊安全政策、計畫、資源調 度等事項之協調研議。 前項資訊安全推行小組由資訊單位負責。
|
|
九、本府各單位及所屬機關學校應指定適當人員依本要點負責辦理資訊安 全相關事宜。
|
陸 人員管理及資訊安全教育訓練 |
|
十、資訊安全管理人員之進用及任務指派,應會同政風單位進行考核,並 填具保密切結書,本府編制內職員及約聘僱人員辦理就、調、離手續 時,應填寫就、離職報告單;至其餘人員 (如技工、駕駛、工友、臨 時人員等) 則由業務權責單位負責,並加會資訊單位,資訊單位應針 對調、離職之人員調整或取消各項資訊資源之所有權限,收繳其通行 證、卡。另人員職務調整及調動,各系統主管單位應依系統存取授權 規定,限期調整其權限。
|
|
十一、本府應針對管理、業務及資訊等不同工作類別之需求,定期辦理資 訊安全教育訓練及宣導,建立員工資訊安全認知,提升機關資訊安 全水準。
|
|
十二、本府各單位主管對重要資訊系統之管理、維護、設計及操作之人員 ,應經安全評估、考核後明確指定,並報資訊單位列入資訊安全管 制名冊中。各單位自行管理資訊系統及設備應建立人員代理及備援 制度。
|
|
十三、各機關首長及各級業務主管人員,應負責督導所屬員工之資訊作業 安全,防範不法及不當行為。
|
染 電腦系統安全管理 |
|
十四、本府各單位及所屬機關辦理資訊業務委外作業,應於事前研提資訊 安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約中, 要求廠商遵守並定期考核。
|
|
十五、本府各單位及所屬機關對資訊系統變更、昇級或網路架構調整,應 訂定不影響業務正常處理之因應措施,並控管變更進度及建立紀錄 ,以備查考。
|
|
十六、本府各單位、所屬機關及學校之電腦系統應使用合法軟體,其複製 前應經資訊單位或各單位資訊安全管理人員審查登記後才可使用該 軟體。
|
|
十七、本府各單位對所屬之電腦系統須採行必要之事前預防及保護措施, 配合資訊單位針對所屬電腦系統進行偵測,並防制電腦病毒及其他 惡意軟體,確保電腦系統正常運作。
|
捌 網路安全管理 |
|
十八、資訊單位應經常評估網路資料傳送或進行交易處理之完整性、機密 性、身分鑑別及不可否認性等安全需求並針對資料傳輸、撥接線路 、網路線路與設備、接外連接介面及路由器等事項,研擬妥適的安 全控管措施。
|
|
十九、本府與外界連線作業之資訊系統,應視資料及系統之重要性及價值 ,採用資料加密、身分鑑別、電子簽章、防火牆、病毒防治及安全 漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、 破壞、竄改、刪除及未經授權之存取。
|
|
二十、開放與外界連線作業之資訊系統,必要時應以代理伺服器等方式提 供外界存取資料,避免外界直接進入資訊系統或資料庫存取資料。
|
|
二十一、利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等 級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文 件,不得上網公布。並嚴禁個人自建非法之網站及流通資訊。
|
|
二十二、本府應依文書作業規定訂定電子郵件使用規範,機密性資料及文 件不得以電子郵件或其他電子方式傳送,機密性資料以外之敏感 性資料及文件,如有電子傳送之需要,各機關應視需要以適當的 加密及電子簽章等安全技術處理。業務性質特殊文件,須利用電 子郵件或其他電子方式傳送機密性資料及文件者,得採用權責主 管機關認可之加密及電子簽章等安全技術處理。
|
|
二十三、各機關採購資訊軟硬體設備,應依國家標準或權責主管機關訂定 之政府資訊安全規範,採購相關資訊軟硬體設備,且各機關發展 及應用加密技術,應採用權責主管機關認可之密碼模組產品,並 請廠商提出輸出許可或相關授權文件,確保密碼模組之安全性, 並避免採購金鑰代管或金鑰回復功能之產品。
|
|
二十四、本府各單位資料庫系統應建立異地存放備援機制,並對備份資料 之存取應嚴格控管。
|
玫 系統存取控制 |
|
二十五、各單位業務系統、行政支援系統、便民服務系統、全國性專案系 統資訊使用單位應訂定系統存取政策及授權規定,並以書面、電 子或其他方式告知員工及使用者之相關權限及責任。
|
|
二十六、前項規定各單位依資訊安全政策,賦予各級人員必要的系統存取 權限;機關員工之系統存取權限,應以執行法定任務所必要者為 限。對被賦予系統管理最高權限之人員及掌理重要技術及作業控 制之特定人員,各系統主管單位應經審慎之授權評估。
|
|
二十七、各單位應建立系統使用者註冊管理制度,加強使用者通行密碼管 理,及要求使用者定期更新;使用者通行密碼之更新周期以不超 過六個月為原則。各單位擁有系統存取特別權限之人員,應建立 使用人員名冊,加強安全控管,並縮短密碼更斯周期。
|
|
二十八、各機關開放外界連線作業,應事前簽訂契約或協定,明定其應遵 守之資訊安全規定、標準、程序及應負之責任。
|
|
二十九、各單位對系統服務廠商以遠端登入方式進行系統維修者,應經資 訊單位同意並配予該廠商登入權限及時段,據以建立安全控管人 員名冊。
|
|
三十、各機關之重要資料委外建檔,不論在機關內外執行,均應請委外廠 商簽具相關安全保密保證書,資訊單位及政風單位並監看其運作, 防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
|
|
三十一、各機關應確立系統稽核項目,建立資訊安全查核制度,定期或不 定期進行資訊安全稽核作業,系統中之稽核紀錄檔案,應禁止任 意刪除及修改。
|
拾 系統發展及維護安全管理 |
|
三十二、各機關針對系統之維護、更新、上線執行及版本異動作業,應予 安全管制,並避免版本使用不當、暗門及電腦病毒等危害系統安 全。
|
|
三十三、各機關對廠商之軟硬體系統建置及維護人員,應規範及限制其可 接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行 密碼。
|
|
三十四、各機關委託廠商建置及維護重要之資訊軟硬體設施,應在資訊單 位監督下始得為之。
|
拾壹 業務永續運作之規劃 |
|
三十五、各機關應建立資訊安全事件緊急處理機制,在發生資訊安全 (招 破壞、駭客入侵及電腦病毒入侵) 等重大事件時,應依規定之處 理程序、立即向首長報告,並通報資訊單位及政風單位採取反應 措施,必要時聯繫檢警調單位協助偵查。
|
|
三十六、政風單位應依相關法規,訂定及區分資料安全等級,資訊單位依 政風單位所訂不同安全等級,採取適當及充足之資訊安全措施。
|
拾貳 其他 |
|
三十七、各機關應就資訊資產設備管理及機房門禁管制,訂定資產管理及 機房管理作業規範。
|
|
三十八、各單位針對機密性、敏感性及涉及民眾權益資料 (如戶役政系統 、工商系統、公文系統等) 處理,應規劃建置獨立或專屬電腦作 業環境,以維機密資料管理安全。
|
|
三十九、各單位對於機密性、敏感性及涉及民眾權益資料應自行錄製建檔 ,並依規定程序保密處理。但情形特殊無法自行處理者,需經首 長核准,並會知資訊及政風單位後,始得委託其他機關或資訊服 務廠商處理,並派員全程監控辦理情形,以防洩密情事發生。
|
|
四十、各單位電腦設備所輸出之資料、報表應妥為處理及保存,具有機密 性者應依政風單位所規定區分機密等級,相關廢棄之資料、報表應 會同政風單位立即予以銷毀。
|
拾參 附則 |
|
四十一、機關業務性質特殊者,得參照本要點另定有關規定。
|
|
四十二、本要點奉縣長核定後實施,修正時亦同。
|