一、臺中市政府(以下簡稱本府)為促使所屬各機關(以下簡稱各機關)確保電腦設備安全,加強資訊機密維護,特訂定本要點。
二、各機關應用電腦設備安全及資訊機密維護,除依照行政院頒行政院及所屬各機關資訊安全管理規範及相關法令規定外,悉依本要點辦理。
三、本府電腦系統設備安全及資訊機密維護,由政風處及研究發展考核委員會共同辦理。但中央另有資訊系統規劃建置者,不在此限。
四、本要點所稱電腦設備,指主機、週邊設施及相關設施;所稱資訊機密,指使用電腦設備製作、保存與國家安全、公務機密或個人權益有關之資料,及處理該資料有關之系統、程式、消息或文件。
五、各機關對於電腦設備及資訊機密應採取安全與維護措施,其有關主管或負責人,應於權責範圍內負監督之責。
七、機房安全與操作管理
(一)各機關對電腦機房應指定專人負責管理,並加強門禁管制及有關安全防護措施。
(二)電腦機房應備置工作日誌,由管理人員逐日記載電腦記錄、設備故障、異常及維護等情形,並定期陳報。
(三)電腦機房設備除由輪值操作人員及系統維護人員基於業務需要執行啟動及操作外,其他人員不得擅自操作。
機房輪值操作人員應切實執行機房安全,不應任意讓其他人員進入機房操作機器設備。
(四)電腦機房環境維護
1、機房內不得攜入或存放易燃性及易爆性物品,並嚴禁嬉戲、吸菸、飲食,非經核准不得攝影。
2、機房內各種處理用媒體(如磁帶、光碟片等),應由操作人員負責整齊放置於指定位置。
3、機房內各項設備除正常作業外,非經核准,不得任意變動,以免影響正常運作。
4、機房環境應維持整潔。
5、機房內冷氣系統、電力系統及不斷電設備,應派人定期測試、保養、維護,確保正常運作。
6、機房應配置消防設施,並派專人經常檢查維護,以維持緊急備用狀態。
(五)輪值操作人員應隨時注意機房溫濕度:溫度保持攝氏二十度至二十九度之間,相對濕度保持三十五至六十五之間。如有異常時,即刻通知維護人員採取必要措施。
(六)輪值人員依據操作手冊,開啟、關閉機房內各項設備。
(七)操作人員應熟悉消防設備之操作方法,遇火警應立即設法撲滅,同時通知消防單位派員協助,並迅速報告相關部門。
(八)電腦系統作業故障排除
1、各機關電腦系統遇有故障時,操作人員應立即通知系統維護人員研判故障類型,系統維護人員如無法自行解決時,應就故障類型通知維護廠商或有關人員儘速派人前來修復。
2、如故障情形嚴重影響正常作業時,應向有關主管報告,以採取必要因應措施。
八、軟體程式安全管理
(一)本府電腦作業應用軟體程式所有權屬本府所有,非經同意,不得為任何形式之轉載、抄錄、複製。
(二)程式之設計
1.各機關委託外包之系統及其程式之規格,廠商應依據使用單位需求擬定系統及其程式之規格,經由使用單位確認後,依據規格設計程式,非經核可,不得自行變更。
2.各機關自行設計開發之系統及程式,應由使用單位會同資訊單位共同擬定規定,依據規格設計程式,非經核可,不得自行變更。
3.程式設計時,應同時備齊下列各項程式文件:
(1)程式規格說明
(2)程式流程圖
(3)輸出入資料格式
(4)作業處理操作說明
(5)程式清單
(6)其他必要文件
4.已正式應用之程式,除系統結構重大變更者視同應用程式開發外,其他修改、增刪之手續,依「程式之變更」規定辦理。
(三)程式之變更
1.程式之變更包括修改程式或刪除程式或增加程式,得因下列原因,並具備相關文件核准後辦理:
(1)法令規章變更之公文影本。
(2)應使用單位之要求,由其出具要求變更文件。
(3)為改進修正原制度或程式設計,經有關人員提出之書面建議。
(4)其他配合電腦系統之變更等。
2.一般程式修改,由程式維護人員填寫相關表單會簽有關人員,報請核准後辦理。
九、各機關對電腦設備,應加強天然災害及其他意外災害之防護。
十、各機關應建立備援制度,對於需於長期保留或重要檔案之備分媒體,應異地存放。
十一、各機關對個人資料之利用,應於執行法定執務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用:
(一)法律明文規定。
(二)為維護國家安全或增進公共利益。
(三)為免除當事人之生命、身體、自由或財產上之急迫危險者。
(四)為防止他人權益之重大危害。
(五)公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過處理後或依其揭露方式無從識別特定當事人。
(一) 有利於當事人權益。
(二) 經當事人書面同意。
十二、各機關之連線作業,應於系統中依其權限限制其可運作之範圍。
十三、各機關資訊設備應依下列規定管理:
(一) 資訊設備之安裝或異動,由使用單位填寫相關表單,經核准後,送交資訊單位執行。
(二) 資訊設備配置網路系統由資訊單位負責管理。
(三) 資訊設備之硬體、軟體或網路故障,由使用單位通知資訊單位負責排除。
十四、利用電信機構連線者,應依照電信法令規定辦理。
十五、資訊管理
(一) 資訊檔案中之資料,其更新、更正或註銷,均應報經核准,並將更新、更正、註銷內容、作業人員及時間等詳實記錄。
(二) 各項資料之輸出入均應使用識別碼、通行碼,並由電腦系統自動登錄,以利追蹤查考。
(三) 電腦設備所輸出之報表應妥為處理及保存,具有機密性者應依有關規定區分機密等級,廢棄報表應予銷毀。
十六、檔案管理
(一) 資料檔案中之資料具機密者,應依有關規定區分其機密等級。
(二) 所有檔案(含系統程式檔案、應用程式檔案及資料檔案)均應定期複製備份妥慎保管並視需要予以列冊登錄,備份檔案應隔離儲存。
十七、機關業務性質特殊者,得參照本要點另定有關規定。
十八、本府所屬機關(單位)未訂定資訊安全管理規定者,得準用本要點。
十九、各機關及人員執行本要點成效卓著者,得予獎勵;違反本要點規定者,依情節按有關規定予以適當處分;其涉及刑責者,移送檢察機關偵辦。
二十、各機關應定期或不定期實施資訊安全教育訓練。
二十一、本要點內所列各項書表格式,由本府資訊中心訂定之。
二十二、本要點經市長核准後施行,修正時亦同。