|
一、臺中市政府(以下簡稱本府)為強化資訊安全管理,確保資料、系統、設備及網路安全,加強資訊機密維護,保障民眾權益,特訂定本要點。 |
|
二、本要點適用於本府及所屬各機關(以下簡稱各機關)。 |
|
三、各機關應依有關法令,考量施政目標,進行資訊安全風險評估,確定各項資訊作業安全需求水準,採行適當及充足之資訊安全措施,確保各單位資訊蒐集、處理、傳送、儲存及流通之安全。 |
|
四、本要點所稱適當及充足之資訊安全措施,應綜合考量各項資訊資產之重要性及價值,以及因人為疏失、蓄意或自然災害等風險,致機關資訊資產遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務之程度,採行與資訊資產價值相稱及具成本效益之管理、作業及技術等安全措施。 |
|
五、本要點所稱資訊安全政策,指各機關為達成資訊安全目標訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等。 |
|
六、各機關得依實際業務需求,訂定單位資訊安全政策,並以書面、電子或其他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠商共同遵行。 |
|
七、各機關訂定之資訊安全政策,得適時評估,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。 |
|
八、各機關配合或進行定期或不定期的資訊安全評估,檢討人員是否遵守單位資訊安全政策、規範及有關安全規定。 |
|
九、各機關應指定副主管以上主管人員負責資訊安全管理事項之協調及推動。 各機關得視需要,成立跨處之資訊安全推行小組,統籌資訊安全政策、計畫、資源調度事項之協調研議。 前項資訊安全小組之幕僚作業,由資訊中心或市長指定之機關負責。
|
|
十、各機關應視資訊安全管理需要,指定適當人員負責辦理資訊安全相關事宜。 |
|
十一、引進及啟用軟體、硬體、通信及管理措施等新資訊科技,應於事前進行安全評估,瞭解新資訊科技之安全保護措施及水準,並依下列行政程序辦理,以免影響既有的資訊安全措施: (一)業務上核准程序: 1、屬於各機關權責業務之資訊系統及設備裝置及使用,應經各機關主管或其授權人員核准始得使用。 2、系統及設備如有遠地連線作業需求,亦應獲得負責維護當地資訊安全之權責主管機關或人員之同意。 (二)技術上核准程序:所有連上網路設施,或由資訊服務提供者維護設施,各機關應先進行技術上安全評估並簽會資訊中心,循程序簽奉一層核准後,始得上線使用。 |
|
十二、各機關對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。 |
|
十三、各機關應針對管理、業務及資訊等不同工作類別之需求,定期或不定期辦理,或配合資訊單位進行資訊安全教育訓練及宣導,建立員工資訊安全認知,提升資訊安全水準。 |
|
十四、各機關應加強或配合資訊單位進行資訊安全管理人力之培訓,提升資訊安全管理能力。 各機關資訊安全人力或經驗如有不足,得洽請學者專家或專業機關(構)提供顧問諮詢服務。
|
|
十五、各機關負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。 |
|
十六、各機關主管及各級業務主管人員,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。 |
|
十七、各機關辦理資訊業務委外作業,應於事前審慎評估可能的潛在安全風險(如資料或使用者通行碼被破解、系統被破壞或資料損失等風險),並與廠商約定或簽訂適當資訊安全協定,訂定相關安全管理責任,並納入契約條款。 |
|
十八、各機關對系統變更作業,應建立控管制度,並建立紀錄,以備查考。 |
|
十九、各機關應依相關法規或契約規定,複製及使用軟體,並建立軟體使用管理制度。 |
|
二十、各機關應採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。 |
|
二十一、各機關利用公眾網路傳送資訊或進行交易處理,應評估可能之安全風險,確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求,並針對資料傳輸、撥接線路、網路線路與設備、接外連接介面及路由器等事項,研擬妥適的安全控管措施。 |
|
二十二、各機關開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。 |
|
二十三、各機關與外界網路連接之網點,應以防火牆及其他必要安全設施,控管外界與機關內部網路之資料傳輸與資源存取。 |
|
二十四、各機關開放外界連線作業之資訊系統,必要時得以代理伺服器等方式提供外界存取資料,避免外界直接進入資訊系統或資料庫存取資料。 |
|
二十五、各機關利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。 各機關建置或維護之網站如存有個人資料及檔案者,應加強安全保護措施,防止個人隱私資料遭不當或不法之竊取使用。
|
|
二十六、各機關網路使用之安全管理,應依下列規定辦理: (一)被授權網路使用者(以下簡稱網路使用者)授權範圍內存取網路資源。 (二)網路使用者應遵守網路安全規定,並確實瞭解其應負責任;如有違反網路安全情事,應依資訊安全規定,限制或撤銷其網路資源存取權利。 (三)網路使用者不得將自己的登入身分識別與登入網路密碼交付他人使用。 (四)禁止網路使用者以任何方法竊取他人的登入身分與登入網路密碼。 (五)禁止網路使用者以任何儀器設備或軟體工具竊聽網路上通訊。 (六)禁止網路使用者在網路上取用未經授權檔案、資訊轉售或轉載。 (七)網路使用者不得將色情檔案建置在本府所屬設施,亦不得在網路上散播電腦病毒、色情文字、色情圖片、色情影像、色情聲音等不法或不當的資訊。 (八)上班時間為保持有限之網路頻寬通訊品質,禁止下載來路不明軟體檔案(如免費試用軟體、娛樂性軟體等),以免隱藏電腦病毒滲透;並不得瀏覽與業務無關或無益於業務之網站;停止使用時,應結束連網作業狀態。 (九)網路使用者不得以任何手段蓄意干擾或妨害網路系統的正常運作。 (十)與外部機關連線取得授權電腦主機或網路設備,及與本府內部網路連線作業時,應確實遵守其網路安全規定及連線作業程序。 (十一)網路使用者除因公務需要且經簽請市長核可外,不得使用點對點(Peer-to-Peer, P2P)分享軟體,本府資訊中心得不定期派員檢視稽核。 |
|
二十七、各機關電子郵件使用之安全管理,應依下列規定辦理: (一)對來路不明之郵件、附件或免費軟體等,應直接刪除,不得隨便開啟,以免中毒或使網路系統遭破壞。 (二)禁止將機密性文件或資料使用電子郵件傳送,以防止洩密。 (三)禁止發送電子郵件騷擾他人。 (四)禁止發送匿名郵件或偽造電子郵件。機密性資料以外之敏感性資料及文件,如有電子傳送之需要,各單位應視需要以適當加密或電子簽章等安全技術處理。機關業務性質特殊,須利用電子郵件或其他電子方式傳送機密性資料及文件者,得採用權責主管機關認可之加密或電子簽章等安全技術處理。 |
|
二十八、各機關採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府資訊安全規範,研提資訊安全需求,並列入採購規格;發展及應用加密技術,應採用權責主管機關認可之密碼模組產品;採購外國產製之密碼模組產品,應請廠商提出輸出許可或相關授權文件,確保密碼模組之安全性,並避免採購金鑰代管或金鑰回復功能之產品。 |
|
二十九、各機關應視資訊安全管理需要,依其業務系統之特性,訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。 |
|
三十、各機關應依資訊安全政策,賦予各級人員必要的系統存取權限;機關員工之系統存取權限,應以執行法定任務所必要者為限。對被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員,應經審慎之授權評估。 |
|
三十一、各機關離(休)職人員,應立即取消使用機關內各項資訊資源之所有權限,並列入機關人員離(休)職之必要手續。機關人員職務調整及調動,應依系統存取授權規定,限期調整其權限。 |
|
三十二、各機關如有權責業務之資訊系統,應依各其業務之特性,建立系統使用者註冊管理制度,加強使用者通行密碼管理,並要求使用者定期更新;使用者通行密碼之更新周期,由機關視作業系統及安全管理需求決定,最長以不超過六個月為原則。對機關內外擁有系統存取特別權限之人員,應建立使用人員名冊,加強安全控管,並縮短密碼更新周期。 |
|
三十三、各機關開放外界連線作業,應事前簽訂契約或協定,明定其應遵守之資訊安全規定、標準、程序及應負之責任。 |
|
三十四、各機關對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。 |
|
三十五、各機關之重要資料委外建檔,不論在單位內外執行,均應採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。 |
|
三十六、各機關如有其權責業務之資訊系統,得依各機關業務之特性及視資訊安全管理需要,建立資訊安全稽核制度,定期或不定期辦理或配合有關機關進行資訊安全稽核作業:系統中之稽核紀錄檔案,應禁止任意刪除及修改。 |
|
三十七、各機關自行開發或委外發展系統,應於系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。 |
|
三十八、各機關對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。各機關基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。 |
|
三十九、各機關委託廠商建置及維護重要之軟硬體設施,應在相關人員監督及陪同下始得為之。 |
|
四十、各機關如有其權責業務之資訊系統,應依各機關位業務之特性,訂定業務永續運作計畫,評估各種人為及天然災害對機關正常業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。 |
|
四十一、各機關應建立資訊安全事件緊急處理機制,發生資訊安全事件時,除應依下列規定之處理程序先行處理外,並應立即向機關主管或有關人員通報,並視需要通知資訊中心,採取反應措施,必要時,得聯繫政風處或檢警調單位協助偵查: (一)立即停止使用電腦,並保留當時之電腦現況(主機、螢幕、印表機等),不要關機。 (二)記錄日期、時間、地點、單位、螢幕出現之訊息等資料。 |
|
四十二、各機關應依其業務之特性及相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資訊安全措施。 |
|
四十三、各機關應就其資訊設備安置、周邊環境及人員進出管制等,訂定妥善之實體及環境安全管理措施。 |
|
四十四、機關業務性質特殊者,得參照本要點另定有關規定,並報請市長核定。 |
|
四十五、本要點未規定事項,準用行政院及所屬各機關資訊安全管理要點之規定。 |