您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態

臺中市政府主管法規共用系統

列印時間:113.11.24 08:41

法規內容

法規名稱: 臺中市政府環境保護局資訊安全管理要點
公發布日: 民國 100 年 03 月 01 日
發文字號: 中市環綜字第1000012062號 函
法規體系: 臺中市法規/環境保護類/行政規則
圖表附件:
法規功能按鈕區
一、臺中市政府環境保護局〈以下簡稱本局〉為強化資訊安全管理,確保
    資料、系統、設備及網路安全,加強資訊機密維護,保障民眾權益,
    特訂定本要點。
二、本要點適用於本局及所屬各單位。
三、本要點所稱適當及充足之資訊安全措施,應綜合考量各項資訊資產之
    重要性及價值,以及因人為疏失、蓄意或自然災害等風險,致單位資
    訊資產遭不當使用、洩漏、竄改、破壞等情事,影響及危害單位業務
    之程度,採行與資訊資產價值相稱及具成本效益之管理、作業及技術
    等安全措施。
四、本要點所稱資訊安全政策,指各單位為達成資訊安全目標訂定之資訊
    安全管理作業規定、措施、標準、規範及行為準則等。
五、引進及啟用軟體、硬體、通信及管理措施等新資訊科技,應於事前進
    行安全評估,瞭解新資訊科技之安全保護措施及水準,並依下列行政
    程序辦理,以免影響既有的資訊安全措施:
 (一) 業務上核准程序:
      1.屬於各單位權責業務之資訊系統及設備裝置及使用,應經各單位
        主管或其授權人員核准始得使用。
      2.系統及設備如有遠地連線作業需求,亦應獲得負責維護當地資訊
        安全之權責主管單位或人員之同意。
 (二) 技術上核准程序:所有連上網路設施,或由資訊服務提供者維護設
      施,各單位應先進行技術上安全評估並簽會綜合計畫科,循程序簽
      奉一層核准後,始得上線使用。
六、各單位主管及各級業務主管人員,應負責督導所屬員工之資訊作業安
    全,防範不法及不當行為。
七、各單位辦理資訊業務委外作業,應於事前審慎評估可能的潛在安全風
    險( 如資料或使用者通行碼被破解、系統被破壞或資料損失等風險 )
    ,並與廠商約定或簽訂適當資訊安全協定,訂定相關安全管理責任,
    並納入契約條款。
八、各單位應採行必要的事前預防及保護措施,偵測及防制電腦病毒及其
    他惡意軟體,確保系統正常運作。
九、各單位開放外界連線作業之資訊系統,應視資料及系統之重要性及價
    值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等
    不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、
    刪除及未經授權之存取。
十、各單位與外界網路連接之網點,應以防火牆及其他必要安全設施,控
    管外界與單位內部網路之資料傳輸與資源存取。
十一、各單位利用網際網路及全球資訊網公布及流通資訊,應實施資料安
      全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及
      文件,不得上網公布。
      各單位建置或維護之網站如存有個人資料及檔案者,應加強安全保
      護措施,防止個人隱私資料遭不當或不法之竊取使用。
十二、各單位網路使用之安全管理,應依下列規定辦理:
 (一) 被授權網路使用者( 以下簡稱網路使用者 )授權範圍內存取網路資
      源。
 (二) 網路使用者應遵守網路安全規定,並確實瞭解其應負責任;如有違
      反網路安全情事,應依資訊安全規定,限制或撤銷其網路資源存取
      權利。
 (三) 網路使用者不得將自己的登入身分識別與登入網路密碼交付他人使
      用。
 (四) 禁止網路使用者以任何方法竊取他人的登入身分與登入網路密碼。
 (五) 禁止網路使用者以任何儀器設備或軟體工具竊聽網路上通訊。
 (六) 禁止網路使用者在網路上取用未經授權檔案、資訊轉售或轉載。
 (七) 網路使用者不得將色情檔案建置在本府所屬設施,亦不得在網路上
      散播電腦病毒、色情文字、色情圖片、色情影像、色情聲音等不法
      或不當的資訊。
 (八) 上班時間為保持有限之網路頻寬通訊品質,禁止下載來路不明軟體
      檔案( 如免費試用軟體、娛樂性軟體等 ),以免隱藏電腦病毒滲透
      ;並不得瀏覽與業務無關或無益於業務之網站;停止使用時,應結
      束連網作業狀態。
 (九) 網路使用者不得以任何手段蓄意干擾或妨害網路系統的正常運作。
 (十) 網路使用者除因公務需要且經簽請局長核可會同政風室外,不得使
      用點對點(Peer-to-Peer, P2P )分享軟體,本局綜合計畫科得不
      定期派員檢視稽核。
十三、各單位電子郵件使用之安全管理,應依下列規定辦理:
 (一) 對來路不明之郵件、附件或免費軟體等,應直接刪除,不得隨便開
      啟,以免中毒或使網路系統遭破壞。
 (二) 禁止將機密性文件或資料使用電子郵件傳送,以防止洩密。
 (三) 禁止發送電子郵件騷擾他人。
 (四) 禁止發送匿名郵件或偽造電子郵件。機密性資料以外之敏感性資料
      及文件,如有電子傳送之需要,各單位應視需要以適當加密或電子
      簽章等安全技術處理。單位業務性質特殊,須利用電子郵件或其他
      電子方式傳送機密性資料及文件者,得採用權責主管單位認可之加
      密或電子簽章等安全技術處理。
十四、各單位採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之
      政府資訊安全規範,研提資訊安全需求,並列入採購規格;發展及
      應用加密技術,應採用權責主管機關認可之密碼模組產品;採購外
      國產製之密碼模組產品,應請廠商提出輸出許可或相關授權文件,
      確保密碼模組之安全性,並避免採購金鑰代管或金鑰回復功能之產
      品。
十五、各單位離( 休 )職人員,應立即取消使用單位內各項資訊資源之所
      有權限,並列入單位人員離( 休 )職之必要手續。單位人員職務調
      整及調動,應依系統存取授權規定,限期調整其權限。
十六、各單位之重要資料委外建檔,不論在單位內外執行,均應採取適當
      及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不
      當備份等情形發生。
十七、各單位自行開發或委外發展系統,應於系統生命週期之初始階段,
      即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本
      異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害
      系統安全。
十八、各單位委託廠商建置及維護重要之軟硬體設施,應在相關人員監督
      及陪同下始得為之。
十九、各單位應建立資訊安全事件緊急處理機制,發生資訊安全事件時,
      除應依下列規定之處理程序先行處理外,並應立即向單位主管或有
      關人員通報,並視需要通知綜合計畫科,採取反應措施,必要時,
      得聯繫政風室或檢警調單位協助偵查:
 (一) 立即停止使用電腦,並保留當時之電腦現況( 主機、螢幕、印表機
      等 ),不要關機。
 (二) 記錄日期、時間、地點、單位、螢幕出現之訊息等資料。
二十、單位業務性質特殊者,得參照本要點另定有關規定,並報請局長核
      定。
二十一、本要點未規定事項,準用臺中市政府及所屬各機關資訊安全管理
        要點之規定。
資料來源:臺中市政府主管法規共用系統