服務選單
資訊安全管理要點
友善列印 (在新視窗開啟) 友善列印轉寄 (在新視窗開啟) 轉寄
字級:

收藏到 Google 書籤 (在新視窗開啟)推文至 Facebook (在新視窗開啟)推文至 Twitter (在新視窗開啟)用Line傳送 (在新視窗開啟)

壹、 依據
「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」及「內政部營建署資訊安全政策」,並考量海洋國家公園管理處(以下簡稱本處)業務需求制定。

貳、目的
本處為強化資訊安全管理,確保資料、系統、設備及網路安全,特訂定本計畫。

參、通則
依有關法令,進行資訊安全風險評估,確定各項資訊作業安全需求水準,採行適當及充足之資訊安全措施,確保資訊蒐集、處理、傳送、儲存及流通之安全。

肆、資訊安全政策擬訂
一、為統籌本處資訊安全管理等事項之協調、規劃、稽核及推動,得成立跨單位之資訊業務推動小組(以下簡稱本小組),本小組之幕僚作業,由本處企劃經理課負責,小組成員由本處各單位派員組成。
二、本處依實施業務需求,訂定機關資訊安全政策,並以書面、電子或其他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠商共同遵守。

伍、組織及權責
依下列分工原則,配賦相關人員之權責:
一、資訊安全政策、計畫及技術規範之研議、建置及評估等事項由主管資訊業務單位負責辦理。
二、資料及資訊系統之安全需求研議、使用管理及保護等事項,由各業務單位負責辦理。
三、資訊機密維護及稽核使用管理事項,由本處兼辦政風人員會同相關單位負責辦理。

陸、實施範圍就下列事項除依本計畫規定實施外,本小組得視實際需要訂定相關管理規範或作業準則,並定期評估實施成效:
一、人員管理及資訊安全教育訓練。
二、電腦系統安全管理。
三、網路安全管理。
四、系統存取控制。
五、系統發展及維護安全管理。
六、資訊資產安全管理。
七、電腦病毒及惡意軟體之控制。
八、業務永續運作計畫之規劃與管理。

柒、人員管理及資訊安全教育訓練
一、本處對資訊相關職務與工作,應進行安全評估,並於工作及任務指派時,審慎評估人員之適任性,並進行必要之考核。對可存取機密性與敏感性資訊或系統之人員,及因工作需要須配賦系統存取特別權限之人員,應加強評估及考核。
二、加強並配合資訊安全管理人力之培訓,提升資訊安全管理能力,本處資訊安全人力或經驗如有不足,得洽請學者專家或專業機關(構)提供顧問諮詢服務。
三、資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。
四、本處處長及各級業務主管人員應負責督導所屬同仁之資訊作業安全,防範不法及不當行為。

捌、電腦系統安全管理
一、辦理資訊業務委外作業,應於事前研提資訊安全需求,明定廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
二、對系統變更作業,應建立控管制度,並建立紀錄,以備查考。
三、應依相關法規或契約規定,複製、使用軟體及軟體使用管理。
四、採行必要之事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。

玖、網路安全管理
一、利用公眾網路傳送資訊或進行交易處理,應評估可能之安全風險,確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求,並針對資料傳輸、撥接線路、網路線路與設備、接外連接介面及路由器等事項,研擬妥適安全控管措施。
二、開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
三、與外界網路連接之網點,應以防火牆及其他必要安全設施,控管外界與機關內部網路之資料傳輸及資源存取。
四、開放外界連線作業之資訊系統,必要時應以代理伺服器等方式提供外界存取資料,避免外界直接進入資訊系統或資料庫存取資料。
五、利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。機關網站存有個人資料及檔案者,應加強安全保護措施,防止個人隱私資料遭不當或不法之竊取使用。
六、採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府資訊安全規範,研提資訊安全需求,並列入採購規格。
七、依內政部營建署群組郵件使用規定,機密性資料及文件不得以電子郵件或其他電子方式傳送。
八、為避免網路使用者不慎違反本處相關網路安全規定,網路管理人員可考慮以相關網路技術以不干擾正常網路使用為原則下,主動管制違反本處相關網路規定之使用者。

壹拾、系統存取控制
一、訂定之相關系統存取政策及授權規定應以書面、電子或其他方式告知所屬同仁及使用者之相關權限及責任。
二、應依資訊安全政策,賦予人員必要之系統存取權限;所屬同仁系統存取權限,應以執行法定任務所必要者為限。
三、離(休)職人員,應立即取消使用機關內各項資訊資源之所有權限,並列入機關人員離(休)職之必要手續。本處人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
四、對本處內外擁有系統存取特別權限之人員,應建立使用人員名冊,加強安全控管,並縮短密碼更新週期。
五、對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,並負其相關安全保密責任。
六、本處之重要資料委外建檔者,不論在本處內外執行,均應採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
七、建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業。

壹拾壹、系統發展及維護安全管理
一、對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。
二、委託廠商建置及維護重要軟硬體設施時,應在本處相關人員監督及陪同下始得為之。
三、應建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依規定之處理程序,立即向首長告知,並立即採取反應措施。

壹拾貳、資訊資產安全管理
一、建立與資訊系統有關的資訊資產目錄,訂定資訊資產的項目、擁有者及安全等級分類等。
二、依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規,建立資訊安全等級之分類標準,以及相對應的保護措施。
三、若非本處資訊單位人員或指定維修人員,不得自行拆卸各項資訊硬體設備及更換內部零組件。

壹拾叁、電腦病毒及惡意軟體之控制
一、應採行必要的事前預防及保護措施,防制及偵測電腦病毒、特洛依木馬及邏輯炸彈等惡意軟體的侵入。
二、應依「事前預防重於事後補救」的原則,採行適當及必要的電腦病毒偵測及防範措施,促使同仁正確認知電腦病毒的威脅,進一步提升同仁的資訊安全警覺,健全系統之存取控制機制。
三、電腦病毒防範的重要原則如下:
(1)使用者應遵守軟體授權規定,禁止使用未取得授權的軟體。
(2)選用信譽良好、功能健全的電腦病毒防制軟體,並依下列原則使用:
      。電腦病毒防治軟體應定期更新,並在廠商的指導下使用。

。使用防毒軟體事前掃瞄電腦系統及資料儲存媒體,以偵測有無感染電腦病毒。
。視需要安裝可偵測軟體遭更改的工具軟體,並偵測執行碼是否遭變更。
。應謹慎使用可掃除電腦病毒及回復系統功能的解毒軟體;使用前應充分瞭解電腦病毒的特性,以及確定解毒軟體的功能。
。應定期檢查軟體及檢查重要的系統資料內容,如發現有偽造的檔案或是未經授權的修正事項,應立即調查,找出原因。
。對來路不明及內容不確定的磁片,應在使用前詳加檢查是否感染電腦病毒。
。應建立防制電腦病毒攻擊及回復作業的管理程序,並給予相關人員必要的責任。
。為使電腦病毒影響機關正常運作之程度降至最低,應建立妥適的業務永續運作計畫,將必要的資料及軟體備份,事前訂定回復作業計畫。

壹拾肆、業務永續運作計畫之規劃與管理
一、為因應各種人為及天然災害對業務運作之影響,資訊單位須於系統中安裝備份及救援回復軟體,並定期演練及調整更新。
二、建立資訊安全事件緊急處理機制,在發生資訊安全事件時,依規定之處理程序,立即向權責主管單位或人員通報,採取反應措施,並聯繫檢警調單位協助偵查。

壹拾伍、本要點奉處長核可後實施,修正時亦同。
返回