法規內容:
資訊安全政策
壹、總體目標:
「資訊通達、安全為上」。
貳、範圍:
本府辦公各樓層。
參、目的:
花蓮縣政府(以下稱本府)為推動各處(局)強化資訊安全管理,建
立安全及可信賴之電子化政府作業環境,確保資料、系統、設備及網
路安全,保障民眾權益,特訂定本作業要點,俾便本府各處(局)推
動資訊安全管理時有所遵循。
肆、依據:
一、行政院及所屬各機關資訊安全管理規範
二、行政院及所屬各機關資訊安全管理要點
三、電腦處理個人資料保護法
四、政府所屬各級行政機關電腦軟體管理作業要點
五、國家機密保護辦法
伍、組織及權責:
一、資訊安全組織:
為順利推展資訊安全各項工作,成立跨單位之資訊安全推行小組(附
件一),由主計處、行政暨研考處、政風處、人事處、觀光旅遊處及
城鄉發展處等單位各派至少一人組成,本府秘書長為總召集人,統籌
負責推動、協調及督導資訊安全管理事項及資源調度之協調研議。
二、分工原則:
(一)資訊安全相關政策、計畫、措施及技術規範之研議,以及安全技術
之研究、建置及評估相關事項,由資訊單位負責辦理。
(二)資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務
單位負責辦理。
(三)資訊機密維護及稽核使用管理事項,由政風處會同相關單位負責辦
理。
(四)人員進用之安全評估,由人事處負責辦理。
資訊安全管理
壹、人員安全管理:
甄選及進用之人員,如其工作職責須使用處理敏感性、機密性資訊的
科技設施,或須處理機密性及敏感性資訊者,應經適當的安全評估程
序。
員工使用資訊科技設施,應依相關法令課予機密維護責任,並應儘可
能簽署書面約定,以明責任。
貳、資訊安全教育訓練:
一、應定期或不定期對員工進行資訊安全教育訓練及宣導,促使員工瞭解
資訊安全的重要性及各種可能的安全風險,以提高員工資訊安全意識
,促其遵守資訊安全規定,提昇本府資訊安全水準。
二、在同意及授權使用者存取系統前,應教導使用者登入系統的程序,以
及如何正確操作及使用軟體。
三、加強資訊安全管理人力之培訓,提升資訊安全管理能力,並得洽請學
者專家或專業機關(構)提供教育訓練或諮詢服務。
參、電腦作業系統之安全管理:
一、標準作業程序:
(一)電腦系統作業程序應載明執行每一項電腦作業的詳細規定,且須以
書面明文訂定:
1.系統開關機及資料庫啟動關閉作業之程序。
2.系統備份作業之程序。
3.系統批次作業及報表列印之程序。
4.資料庫轉檔作業之程序。
5.資料下載作業之程序。
(二)作業程序的更改必須經權責單位核准。
(三)應審慎處理電腦當機事件,其作業程序應該包括下列事項:
1.應在最短的時間內,確認已回復正常作業的系統及安全控制系統
,是否完整及正確。
2.應向管理階層報告緊急處理情形,並對資訊安全事件詳加檢討評
估,以找出原因及檢討改正。
3.緊急處理的各項執行作業,應予詳細記載,以備日後查考。
二、例行性作業巡查:
(一)應忠實記錄電腦系統、資料備份及網路通訊設施運行狀況、系統錯
誤及更正作業等事項,以供日後查考。
(二)運作巡查及操作執行處理紀錄,由主管定期檢視,以掌握本府電腦
系統作業概況。
(三)電腦機房作業環境如溫度、濕度及電源供應之品質等,應依據供應
廠商之建議調節管理,並隨時監測之,有異常狀態時則採取必要的
補救措施。
三、系統資源監測:
電腦系統之 CPU 效能、磁碟使用率、記憶體容量、檔案儲存、印表
機及其他輸出設備及通信系統之使用狀況等,由系統管理人員隨時注
意及觀察分析系統的作業容量,以避免容量不足而導致電腦當機。
四、電腦媒體安全管理:
應儘量避免使用有明顯用途標示的資料儲存系統;電腦媒體儲存的資
料內容,不應在媒體外部以明顯方式標示,以免被輕易地辨識。
可重複使用的資料儲存媒體,應在處理前詳加檢查,以確保任何機密
性、敏感性的資料及有版權的軟體已經被移除;不再繼續使用時,應
將儲存的內容消除。
五、資料備份作業:
(一)本府各項重要資料,均應做妥善之資料備份。
(二)資料備份作業原則如下:
1.正確及完整的備份資料,除存放在主要的作業場所外,應另外存
放在離主機房有一段距離的場所,以防止主要作業場所發生災害
時可能帶來的傷害。
2.重要資料的備份,以維持二代為原則。
3.備份資料應有適當的實體及環境保護,其安全標準應儘可能與主
要作業場所的安全標準相同;主要作業場所對電腦媒體的安控措
施,應儘可能適用到備援作業場所。
4.應定期測試備份資料,以確保備份資料之可用性。
5.資料的保存時間,以及檔案永久保存的需求,應由資料擁有者研
提。
六、資訊作業問題管理:
(一)系統故障排除處理程序
1.使用者對電腦系統及網路通訊設施作業錯誤的報告,應予以記錄
,以供日後查考。
2.系統管理人員,於接獲或發現電腦系統(含應用系統)錯誤發生
後,應即檢視錯誤,判斷處理方式並予以迅速復原,提高系統的
使用效能。
3.應檢查錯誤情形之紀錄,確保系統作業錯誤已經改正;檢查更正
作業是否妥適,確保更正作業未破壞系統原有的安控措施,並確
保更正作業係依正當的授權程序辦理。
4.完成故障問題處理後,應將處理情形及結果作成紀錄,以為後續
同質性問題處理及解決之參考。
(二)使用者端故障問題申報作業流程:
1.使用者端於電腦發生問題時透過申報服務專線(分機 393)提出
申報問題,並詳細說明使用者名稱、使用者單位、分機號碼、問
題類別及問題描述等申報資料。
2.服務人員於接獲申報問題後,應瞭解問題所在及判斷處理方式(
電話處理或現場處理),並予以迅速復原,提高使用者端的工作
效率。
3.完成故障問題處理後,應將處理情形及結果作成紀錄,並定期檢
討分析問題原因及處理程序,進而提昇同仁對於資訊作業的滿意
度。
七、稽核紀錄:
(一)應建立及製作例外事件及資訊安全事項的稽核軌跡,並保存一段時
間,以作為日後查考之用。
(二)系統稽核軌跡應包括下列事項:
1.使用者識別碼。
2.登入及登出系統之日期及時間。
3.儘可能記錄端末機的識別資料或其位址。
若作業平台本身所提供之系統記錄檔的資料不足以作為稽核之用,須
考量另行開發或購置進階之管理工具,以確實作好系統稽核作業。
八、委外管理:
資訊業務委外時,應於事前審慎評估可能的潛在安全風險(例如資料
或使用者通行碼被破解、系統被破壞或資料損失等風險),並與廠商
簽訂適當的資訊安全協定,以及課予相關的安全管理責任,並納入契
約條款。
肆、網路之安全管理:
一、網路安全規劃原則:
(一)基於網路安全之考量,本府之電腦網路規劃為內部網段、非軍事區
網段(DMZ) 、及外部網段,其間以防火牆區隔。
(二)本府內部網段完全與外界隔絕,由本府之外部網段、DMZ 及本府外
之任何外界均不得直接存取本府內部網段。
(三)由本府外部網段或本府外任何外界對本府非軍事區網段(DMZ) 之
連結,均需明確限定允許之通訊協定,並於本府非軍事區端限定連
結於單一特定點(單一特定 IP)。
(四)本府內部網段對 Internet 之連結存取,視業務需要作有限度之開
放與限制。
二、防火牆之管理:
(一)本府與外界網路連接的網點,應加裝防火牆,以控管外界與本府內
部網路之間的資料傳輸與資源存取。
(二)防火牆應具備網路服務的轉送伺服器(如代理伺服器(Proxy Serv
er)等)以提供 Telnet、FTP、WWW 等網路服務的轉送與控管。
(三)防火牆為本府整個網路之樞紐,對於防火牆主機及防火牆軟體,應
有一套備份,以因應一旦防火牆出問題之即時替代;若係經費問題
,無法購置第二套防火牆設備,亦應另製防火牆之開機磁碟,以防
原系統硬碟毀損之即時回復。
(四)本府防火牆系統平時應記錄整個網路之活動事件,記錄檔之資料至
少應包括事件之日期、時間、起訖 IP、通訊協定等項目,以便於
平時之管理及日後之稽核作業。
(五)本府防火牆主機只能由系統終端機及經授權之處內管理人員終端機
登入,不得以其他任何方式登入,以確保防火牆主機安全。
(六)本府防火牆之安全控管設定應經常檢討,並作必要之調整,以確保
發揮應有的安全控管目標。
(七)本府防火牆系統應定期作好資料備份,且只能做單機備份,不可採
用網路等其他方式備份資料。
三、電子郵件安全管理:
(一)本府員工及所屬機構得依標準程序申請本府電子郵件帳號,非本府
員工不得申請。
(二)用戶端的郵件軟體設定不可利用系統直接記憶密碼,而須採用每次
連接郵件伺服器時再登錄密碼方式為之。
(三)禁止轉信功能,防止有心人士利用本府郵件伺服器做非法信件的轉
寄,而增加追查作業的複雜度。
(四)機密文件需以國人自製的加密軟體(請研考會提供合格加密軟體廠
商名錄)加密後傳送,若無國人自製合格的加密軟體,則密等以上
之公文資料禁止以電子郵件傳送。
(五)郵件伺服器上需設定使用人員可使用的空間大小,以避免因有人收
到了郵包炸彈之類的信件而影響其他人信件的收送。
(六)禁止以遠程終端機模擬的形式來開啟電子郵件,以避免因開啟帶有
病毒的郵件而影響到系統的穩定。
(七)郵件信箱密碼需不定期更換,若密碼遺失則可申請重建密碼,並於
三日內重建後告知使用者啟用。
(八)確實做好離職人員管制,離職後需立即刪除其使用帳號。
四、網際網路使用規範:
(一)網際網路之使用者以本府現職人員為限。但非本府現職人員因軟硬
體維修或其他特殊需要者,不在此限。
(二)網際網路之使用者使用網際網路資源,應注意相關法令規範,避免
侵害他人權益。
(三)使用者不得利用網際網路散播不實消息、傳輸色情、猥褻或其他違
反公序良俗之言論或資訊。
(四)未經資訊管理單位同意,使用者不得利用本府網際網路之主機或個
人電腦架設網站。
(五)未經資訊管理單位同意,使用者不得使用本府設定以外之連線方式
,連通其他網路或電腦,以確實維護系統安全及公務機密。
(六)資訊管理單位應考量網際網路新技術的可能安全弱點,採取適當的
防護措施以確保內部網路安全。
五、網路資訊之管理:
(一)本府對外開放的資訊系統,所提供之資料內容由各業務單位決定其
適當性,並協調電腦系統管理人員作安全權限之設定。
(二)存放本府對外開放資訊系統的主機,應架設於本府非軍事區網段(
DMZ )或外部網段,並以防火牆與本府內部網路區隔,提高內部網
路的安全性。
(三)存放本府對外開放資訊系統,其電腦設備安全性由資訊單位負責稽
核,其開放資料之適當性由政風室負責稽核。
(四)存放本府對外開放資訊系統的主機,不得對外開放遠端登入的功能
。
(五)存放本府對外開放資訊系統的主機,應針對蓄意破壞者可能以發送
作業系統指令或傳送大量資料(如電子郵件、註冊或申請資料)導
致系統作業癱瘓等情事,預作有效的防範,以免影響本府的服務品
質。
(六)所有機密性及敏感性的資料或文件,不得存放在對外開放的資訊系
統中。
(七)本府對外開放的資訊系統,如存放民眾申請或註冊的私人資料檔案
,應研究以加密方式處理,並妥善保管,以防止被竊取或移作他途
之用,侵犯民眾隱私。
(八)存放本府對外開放資訊系統的主機,須妥善規劃資料備份作業並確
實執行。
六、網路入侵之處理:
(一)網路如發現有被入侵或有疑似被入侵情形,應依事前訂定之處理程
序,採取必要之行動。
(二)網路入侵的處理步驟如下:
1.關閉專線對外之路由器。
2.備份被入侵主機當時之系統,作為日後檢驗之用。
3.應記錄入侵之情形及評估影響之層面,決定回復之方式。
4.全面檢討網路安全措施及修正防火牆的設定,以防禦類似的入侵
與攻擊。
5.向權責主管人員報告入侵情形。
6.必要時,應向外部之電腦安全緊急處理小組反應(如台灣電腦網
路危機處理中心),以獲取必要之外部協助。
(三)對入侵者的追查,除利用稽核檔案提供的資料外,得使用系統指令
執行反向查詢,並連合相關單位(如網路服務公司、網路安全專業
公司等),追蹤入侵者。
(四)入侵者之行為若觸犯法律規定,構成犯罪事實,應立即告知檢警憲
調單位,請其處理入侵者之犯罪事實調查。
七、電腦病毒安全管理:
(一)本府員工使用軟體之範圍,應為資訊室所合法配發使用之「制式軟
體」,若需使用「制式軟體」以外之軟體,應遵守軟體授權規定,
並須先報備資訊單位認可後始得使用。
(二)為使本府電腦免於電腦病毒之侵襲,本府已佈建必要之防毒軟體,
該防毒軟體由伺服器自動更新至用戶端電腦,故原則上不需使用者
自行安裝。且將會定時更新相關病毒碼及掃毒引擎,使用者完全不
需介入。
(三)於網際網路伺服器上安裝防毒軟體,過濾含有病毒之文件及郵件,
以減少病毒之威脅。
(四)使用者如偵測到電腦病毒入侵或其他惡意軟體,應立即通知資訊單
位相關人員處理,避免電腦病毒持續擴散。
(五)資訊單位管理人員應隨時提供最新病毒資訊通報本府員工注意防範
。
(六)訂定電腦病毒基本預防方法:
1.使用合法軟體。不隨便使用來路不明的軟體, 亦不隨便拷貝他人
磁片中的軟體或程式。
2.使用合法防毒、偵毒、解毒程式,每月定期更新版本。
3.將資料極少更動之軟碟,設定成防寫。
4.不隨意讓別人使用自己的電腦,螢幕應設定保護密碼;電腦若須
借人使用時,請先檢查其磁片是否有毒。
5.不隨意借別人的電腦來使用。
6.有硬碟者,儘量勿以軟碟開機,但使用者必須自己保持一份乾淨
的開機磁片,以便萬一中毒時用來開機使用。
7.不任意打開來源不明的檔案,或沒有主旨、不知來信者的信件,
特別是利用網路傳送者,若要打開一定要先掃毒。
8.定期備份資料檔到磁片、光碟。如一些常用工具程式,或一些重
要的程式檔、資料檔都最好有備份磁片,以便在中毒時用來更新
使用。
9.所有信件的附加檔非必要絕不打開,若要打開一定要先掃毒。
10.連線網站時,若畫面出現要求下載軟體並安裝在您的電腦上時,
請先確認該網站為合法大站,否則不要輕易同意該動作的執行。
伍、存取控制管理:
一、帳號及密碼之管理:
(一)系統管理人員應負責製發帳號,提供取得授權的人員使用;除非有
特殊情況,不得製發匿名或多人共享的帳號。
(二)如果系統使用者已非合法授權的使用者時,系統管理人員應立即撤
銷其使用者帳號;離(休)職人員應依機關資訊安全規定及程序,
取銷其存取網路之權利。
(三)本府員工不得將自己的登入身份識別與登入網路的密碼交付他人使
用,並應儘量以簽訂書面約定之方式,要求使用者善盡保護個人通
行碼之責任。
(四)應避免將通行碼記錄在書面上,或張貼在個人電腦或終端機螢幕或
其他容易洩漏秘密之場所;定期更換通行碼,原則上以每三個月更
新一次為原則,應儘量避免重複或循環使用舊的通行碼。
(五)應定期檢查及取銷閒置不用的識別碼及帳號。
(六)閒置不用的識別碼不應重新配賦給其他的使用者。
二、內部網路使用者之管理:
(一)本府員工利用網路使用任何電腦資源,均需恪遵被授權的權限。
(二)本府員工應遵守本府網路安全相關規定,並確實瞭解其應負的責任
,以免發生違反網路安全情事,遭致懲處。
(三)本府員工不得將自己的登入身份識別與登入網路的密碼交付他人使
用。
(四)本府員工不得以任何方法竊取他人登入網路的身份識別與通行碼。
(五)本府員工不得以任何儀器設備或軟體工具竊聽網路上的通訊
(六)本府員工不得將色情檔案建置在機關網路,亦不得在網路上散播色
情文字、圖片、影像、聲音等不法或不當的資訊。
(七)本府員工不得發送電子郵件騷擾他人,導致其他使用者之不安與不
便;亦不得發送匿名信,或偽造他人名義發送電子郵件。
(八)本府員工不得以任何手段蓄意干擾或妨害網路系統的正常運作。
(九)非本府員工需經本府授權後才得使用本府網路及電腦資源,並須遵
守本府員工使用網路之一切規定。
三、網路服務之管理:
(一)系統的最高使用權限,應經權責主管人員審慎評估後,交付可信賴
的人員管理。
(二)網路系統管理人員執行網路管理工具之設定與操作,確保系統與資
料的安全性與完整性。
(三)網路系統管理人員除依相關法令或本府規定,不得閱覽使用者之私
人檔案;但如發現有可疑的網路安全情事,網路系統管理人員得依
授權規定,使用自動搜尋工具檢查檔案。
(四)網路系統管理人員未經使用者同意,不得增加、刪除及修改私人檔
案。如有特殊緊急狀況,須刪除私人檔案,應以電子郵件或其他方
式事先知會檔案擁有者。
(五)本府同仁如有發現任何網路安全事件,應立即向資訊單位反應,由
資訊單位相關網路系統管理人員進行處理,並向主管報告;如果事
情無法獨立處理,需迅速連絡相關廠商或其他電腦安全事件緊急處
理小組反應。
(六)網路系統管理人員只能由系統終端機或本府內部網段登入主機,並
須保留所有登入、登出紀錄。
(七)網路系統管理人員不得新增、刪除、修改稽核資料檔案,以避免違
反安全事件發生時,造成追蹤查詢的困擾。
陸、應用系統開發與維護之安全管理:
一、發展與實作分開:
(一)系統發展及測試作業可能會有軟體變更及電腦資源共享之情形,為
降低可能的風險,應將系統發展及系統實作的設施分開處理,以減
少作業軟體或資料遭意外竄改,或是遭未經授權的存取。
(二)系統發展及系統實作之分開處理,應考量下列安控措施:
1.系統發展及系統實作的軟體,應儘可能在不同的處理器上作業,
或是在不同的目錄或領域下作業。
2.系統發展及測試作業應儘可能分開。
3.實作及測試用的系統,應使用不同的登入程序,以減少風險。
二、應用軟體之控制:
在作業系統上執行應用軟體,應嚴格執行下列控制程序,減少可能危
害作業系統的風險:
(一)應用程式之更新作業,應限定只能由授權的管理人員才可執行,且
保留每次之更新紀錄,以便稽核。
(二)執行碼尚未測試成功,且未被使用者接受前,不應在應用系統執行
。
(三)應建立應用程式的更新稽核紀錄。
(四)軟體更新均應保留舊版,以作為緊急應變措施之用。
三、變更作業之控制程序:
(一)應用系統如有任何新增或修改,應依照正式的變更控制程序辦理。
(二)任何正式上線系統之變更,皆應獲得權責單位主管的核可並先與使
用者再度確認需求。
(三)應找出系統變更作業需要修正的電腦軟體、資料檔案、資料庫及硬
體項目。
(四)系統變更前,需先進行完整的資料備份並確實測試所有的系統,以
確保系統變更作業不致影響或破壞系統原有的安全控制措施。
(五)系統若有更新,須配合修正所有舊版的文件。
(六)每一系統應對使用者建立控制等級。
四、應用系統之存取:
(一)各機關之重要資料委外建檔,不論在機關內外執行,均應採取適當
及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不
當備份等情形發生。
(二)本府應用軟體開發時,應依資訊存取規定,配賦應用系統的使用者
(包括應用系統支援人員)與業務需求相稱的資料存取及應用系統
使用權限。必要時需詳列組織架構,工作職掌,作業負責單位及作
業負責人員之項目及其使用系統權限。
(三)有高風險的應用系統,應限制使用者的連線作業時間,如無特別延
長作業時間的需求,應限制只能在正常的上班時間內進行連線作業
。
(四)對處理機密及敏感性系統的端末機,應限定連線作業及網址連線時
間,以減少未經授權存取系統的機會。
五、實施上線評估:
(一)本府任何新系統被認可及納入正式作業的標準,應執行下列事項:
1.應評估系統作業效能及電腦容量是否滿足機關的需求。
2.應檢查發生錯誤後之回復作業及系統重新啟動程序的準備作業,
以及資訊安全事件之緊急應變作業完備與否。
3.應進行新系統正式納入例行作業程序之準備及測試。
4.應評估新系統的建置是否影響現有的系統作業,尤其是對系統尖
峰作業時段之影響。
5.應辦理新系統作業及使用者教育訓練。
(二)在發展重要的系統時,應確定系統的功能,以及確保系統的作業效
能,使其足以滿足需求;例如,在系統發展的每一階段,應充分諮
詢相關人員的意見。
(三)新系統上線作業前,應執行適當的測試作業,以驗證系統功能符合
既定的安全標準。
六、文件管理:
(一)本府自行開發之應用系統,應以書面、電子或其他方式載明電腦系
統作業程序,分別記載於系統文件或操作手冊上,以確保機關員工
正確、安全地操作及使用電腦,並以其作為系統修改、更新、維護
及測試作業的依據。
(二)各應用系統有關系統架構、作業流程與檔案結構等相關資料應建立
文件,有變動時應隨即更新,並利未來維護人員之移交。
柒、實體及環境之安全管理:
一、機房門禁控制:
(一)為確保本府重要電腦設施之安全,以設置使用身份識別卡之安全門
,作為安全控管必要的管理。
(二)機房管制區內應有適當的進出管制保護措施,以確保只有被授權或
同意的人員始得進出。
(三)進出管制應考量之事項如下:
1.來訪人員進入管制區應予適當的管制,並記錄進出時間;來訪人
員只有在特定的目的或是被獲準的情形下,才能進入管制區。
2.應隨時注意管制區內是否有身分不明或可疑的人員。
3.員工離職後,應立即撤銷進入管制區的權利。
(四)可隨時攜帶及移動的電腦媒體(如磁帶、磁碟及電腦輸出報告等媒
體),要帶離辦公場所的儲存媒體,需經授權始得為之,並建立使
用紀錄,以備日後稽核。
(五)電腦設備、資料或軟體,在沒有管理人員書面授權的情形下,不應
被帶離辦公場所。
二、機房環境設施:
(一)機房應設置足量之不斷電設備,供應所有電腦設備電源之用,以保
障電腦之正常作業。
(二)不斷電系統應定期進行測試及維護。
(三)應安裝適當的安全偵測及防制設備,例如熱度及煙霧偵測設備,火
災警報設備、滅火設備及火災逃生設備;各項安全設備應依廠商的
使用說明書定期檢查;員工亦應施予適當的安全設備使用訓練。
(四)設置空調設備,且應二十四小時運轉,必要時得設置備援設施。
三、辦公環境:
(一)本府人員之辦公桌面宜保持淨空,以減少文件及磁碟片等在辦公時
間之外遭未被授權的人員取用、遺失或是被破壞的機會。
(二)辦公桌面保持淨空之要點如次:
1.文件及磁碟片在不使用或是不上班時,應存放在櫃子內。
2.機密性及敏感性資訊,不使用或下班時應該上鎖,最好是放在防
火櫃之內。
3.個人電腦及電腦終端機不再使用時,應以上鎖、通行碼或是其他
控制措施保護。
4.本府一般郵件進出的地點,以及無人看管的傳真機,應有安全保
護之考量。
(三)本府電腦專用之電源插座,不得使用於電腦以外之設備,以免耗用
電腦不斷電電源,造成跳電當機,影響電腦正常作業。
(四)應謹慎使用電源延長線,以免電力無法負荷導致火災等危害安全情
事。
四、設備維護:
(一)本府個人用電腦,應由使用者負責妥善地維護,以確保設備的完整
性及安全性。
(二)本府共用之電腦設備(如伺服器、電腦網路等),由資訊單位接洽
合格之專業廠商,依法簽訂維護合約,定期實施保養,妥善地維護
設備,以確保設備的完整性及安全性。
(三)設備維護的原則如下:
1.應依據廠商建議的維修服務期限及說明,進行設備維護。
2.設備的維護只能由授權的維護人員執行。
3.應將所有的錯誤或是懷疑的錯誤,予以明確記載。
4.廠商執行電腦設備維護時,需有本府人員陪同在場。
5.本府與廠商所簽訂電腦作業相關維護合約,均應將保密條款列入
。
五、資訊資產之管理:
(一)應建立一份與資訊系統有關的資訊資產目錄,訂定本府資訊資產的
項目、擁有者等,並定期清查紀錄之正確性。
(二)資訊資產參考項目如下:
1.資訊資產:資料庫及資料檔案、系統文件、使用者手冊、訓練教
材、作業性及支援程序等。
2.軟體資產:應用軟體、系統軟體、發展工具及公用程式等。
3.實體資產:電腦及通訊設備、磁性媒體資料及其他技術設備。
4.技術服務資產:電腦及通信服務、其他技術性服務(電源及空調
)。
捌、資訊安全事件處理計畫:
一、成立「資訊安全事件通報中心」,明訂資訊安全通報程序、中心的任
務、組織成員及處理程序。
(一)如發現或懷疑有資訊安全事件時(包括系統有安全漏洞、受威脅、
系統弱點及功能不正常事件等),應迅速通報權責單位及人員處理
。
(二)通報中心接獲通報後,應研判、分析資訊安全事件。
(三)協助解決資訊安全相關問題。
二、針對各項資訊安全事項,訂定「資訊作業災害復原計畫」。
三、針對資訊作業災害復原計畫,應定期或不定期實施資訊作業災害復原
演練計畫,並適時檢討、更新。
玖、附則:
一、本作業要點應以書面、電子或其他方式告知所屬員工及提供資訊服務
之廠商共同遵行。
二、本作業要點應至少每年評估一次,以反映政府法令、技術及業務等最
新發展現況,確保資訊安全實務作業之有效性。
拾、其他:
一、本府各處(局)實際執行任務與資訊安全相關時,仍應確依行政院頒
之各項資訊安全相關規定、要點、規範及法令規章辦理。
二、本作業要點如有未盡事宜,資訊單位得會同相關單位隨時修正之。
三、本作業要點奉核定後實施,修正者亦同。