為確保電腦設備安全，維護資訊機密，加強作業管制，防範災變為害，
  以期整體資訊業務順利進行，特依據七十六年四月二十日行政院令頒「
  行政院所屬機關電腦設備安全暨資訊機密維護準則」及七十七年元月五
  日本部令頒之「財政部暨所屬機關資訊作業安全維護實施要點」規定，
  並兼顧本局實際作業環境，訂定本要點。

  本要點適用對象為本局暨所屬各地區辦事處。

  本要點適用範圍如左：
  一、電腦設備管理與安全維護
  二、作業管制與資訊機密維護
  三、備援作業與管理
  四、災變處理與作業回復
  五、資訊作業安全稽核

  本要點所稱電腦設備，係指主機、週邊設施及相關設施；所稱資訊機密
  ，係指使用電腦設備製作，保存與國家安全或公務機密有關之資料，及
  處理該資料有關之系統、程式、消息或文件；所稱災變，係指天然及其
  他意外災害（如颱風、地震）或人為破壞等引起電腦設備資源之損毀。

  辦理機房環境之安全維護應注意左列事項：
  一、電腦機房應避免設置於鄰近危險或易遭水患之地區。
  二、外圍應有防範外人侵入之隔離設施，建築結構應具避震、避雷等設
      計，且採用防火材料隔間為宜。
  三、應設置獨立電源系統，配置專用空調設備及緊急照明設備，並定期
      檢視維護。
  四、溫、濕度之控制，以硬體供應廠商所提供之標準為依據。
  五、電腦設備各項線路應定期檢視維修，高架地板下亦經常保持清潔，
      噴灑防滅鼠蟲之藥物，以維護各線路安全。
  六、嚴禁煙火，禁用電熱器及有磁性靜電之用品，並避免易燃物之儲存
      。
  七、應加強環境清潔及排水系統之順暢。
  八、電腦機房內應妥置消防設備，並定期檢視，惟應避免選用對電腦設
      備造成損壞之滅火器材；各操作人員應熟悉消防設備之操作。

  裝置電腦設備時應即以各項設備為保險標的，辦理保險，其電腦週邊及
  相關設備之安全維護應注意左列事項：
  一、電腦設備之保養維護，均應要求訂約維護廠商定期實施，並汰換屆
      齡之電路模板或耗損之零件。
  二、電腦設備故障時，應即洽訂約維護廠商派員檢修，其異常狀況及檢
      修情形應作成紀錄備查，如屬重大故障致有延誤正常作業顧慮時，
      應比照本要點第七十六條及第七十七條等有關規定辦理，另以電話
      通報本局備案。
  三、定期協調電力公司提供停電計畫，預作因應措施。
  四、電腦主機未具有備用電源者，應加裝足符備援所需之必要設備，以
      達回復功能。
  五、電壓不穩地區應裝置穩壓設備。
  六、裝置於業務單位之各終端機及數據傳輸等設備，均應考慮安全性，
      並定期保養維護。
  七、電腦機房應備置操作日誌（格式如附表一），由操作人員逐日於輪
      班時填記有關機時使用狀況、設備故障異常情況、維護及交接事項
      等，定期呈報按月裝冊，並妥適保存二年。

  各單位終端設備均應指定專人負責該終端設備之開關、清潔及連繫故障
  維修相關事宜。

  各辦事處預定開發設計之應用系統應報請本局核備，凡屬統籌整體規劃
  者，其有關程式非經本局授權，不得擅自更改。

  應用系統之規劃及維護應由資訊單位會同各有關單位辦理，必要時得成
  立推動小組辦理之。

  應用系統於規劃設計時，對於有關登錄、存取、通訊、輸出入、處理、
  備援及復原等安全、品質之管制，均應設立必要之檢核；各程式於完成
  設計、製作後，並應由有關主管人員審核其文書。

  應用系統正式執行作業前，應完成系統（程式）文書及操作文書等之編
  製，經有關主管人員審核，交系統文書管理人員集中嚴密管制，方得辦
  理程式進館。前項系統（程式）文書，包括可行性研究、系統流程與說
  明、程式規範說明、工作控制語言、程式流程圖、程式清單、輸出入管
  制作業、檔案備援規範、操作說明、測試報告、程式變更文書及申請單
  等。

  各應用系統實施正式作業時，除緊急交辦工作於完成測試未及進館，經
  核准得以原始程式作業外，均應以目的程式處理。前項經核准得以原始
  程式作業者，應保留原始程式清單備查。

  正式作業程式之變更須簽請局長核准，並應妥為管制，包括審核測試結
  果、更新有關文書、備援舊程式、消除程式館之舊程式等，紀錄留存備
  查。

  應用程式彙集之程式館，應指派系統管理人員負責程式之進館、改館、
  存放等管制作業，並將管制情形作成紀錄留存備查。

  應用系統程式及檔案之維護，應由資訊單位對每一應用系統指定維護人
  員一至二人，並由該應用系統之原規劃人員擔任之；必要時並得指定業
  務單位人員參與。

  應用系統維護人員應配合系統管理人員，定期或不定期檢視程式館內維
  護之程式名稱及建立時間等，如有異常情形，應即查明原因，報請資訊
  單位主管人員處理。

  凡資訊處理使用手冊、規範等之分發，均應建立使用者名冊，以備列管
  移交，其內容更新時，應即通報使用者抽換。

  系統程式之變更，系統管理人員應將下列事項通知應用系統維護人員：
  一、系統程式名稱及其功能。
  二、開始啟用日期。
  三、使用方法及應注意事項。
  四、使用者參考書籍、文件。

  應用系統（程式）凡係委託資訊服務廠商規劃設計者，其作業管制之要
  求，應依本要點第十條、第十一條、第十二條及其他有關規定辦理。

  由資訊服務硬體廠商提供之系統程式（如操作系統、編譯程式等）於安
  裝與維護前應報經本局核准，至於正式作業之應用系統或程式，則由負
  責開發單位，依規定完成檢核程序，方得交由系統使用單位主機操作人
  員負責安裝與維護。

  資訊單位應責成專人管制各項移出入資料、報表等之數據，簽章是否無
  誤或缺漏，並應對各項作業進度實施管制。業務單位移送登錄之各項原
  始資料，則均應先行整理、裝冊合計有數據，俟資料登錄後，應即與電
  腦處理產出之數據，相互核對。
  前項原始資料移送登錄前，均應由承辦人員及業務主管簽章，以明責任
  ，經登錄之原始資料由登錄人員簽註後，移由業務單位集中保管。

  各原始資料完成登錄作業後，依有關規定得銷燬者，應即會同人事室監
  督銷燬。

  資訊單位對登錄之各類原始資料，應就處理完成之結果隨時抽核，每位
  作業人員按月均應抽核乙次以上，並紀錄留存備查。

  輸入資訊檔案之資料，應依處理時序建立其紀錄檔，記錄作業人員通行
  碼、輸入時間及內容等，並依其系統文書規範列管保存。但各應用系統
  另有規定者，從其規定。

  由業務單位產出之報表由其自行簽核，由資訊單位產出之報表，經整理
  後應即移送業務單位簽收；凡經核對係屬資訊單位處理錯誤之報表資料
  ，業務單位應即依有關處理手冊或規定辦理更正。

  資訊單位對識別碼、通行碼之賦予或變更時，均應將有關資料以密件送
  交人事室備查。
  前項通行碼應視業務需要，每半年至少更新乙次，凡使用者離職或調換
  工作，原通行碼亦應即管制廢除或變更。

  終端使用者之識別碼及通行碼，應限制使用範圍，並嚴禁轉知他人，若
  已為他人知悉者，使用者應即報請資訊單位適時更新；若因被冒用致造
  成不良影響者，應負洩密之責。

  系統管理人員應會同應用系統維護人員負責有關軟體安全之運作，並依
  實務所需賦予使用者，不同層次授權之識別碼與通行碼，以控制各資訊
  檔案之存取。

  各單位報廢之電腦報表紙或系統文書、文件等應於彙集後，由事務及人
  事室採無安全顧慮方式處理或予銷燬。

  資訊檔案或報表資料具機密性者，應依規定區分機密等級，並應依「國
  家機密保護辦法」第三十一條及第三十二條規定與非機密性資料隔離，
  分級保管於箱櫃中；保管人員離職時，亦應逐項點交接管人員，並列冊
  備查。

  系統程式檔案之維護由系統管理人員為之；應用程式檔案之維護由該應
  用系統維護人員為之，惟涉及系統管理事項者應會同系統管理人員辦理
  。

  凡正式作業產出之資訊檔案，如發現資料異常係屬程式、操作或登錄錯
  誤者，均應由資訊單位負責更檔，並作成紀錄（格式如附表二），但依
  系統文書規定得由業務單位辦理更正或註銷者，從其規定。

  資訊媒體檔案之遞送，應由專人管制填具遞送單，且應加裝防震、防水
  之包裝；機密檔案之傳遞則適用「國家機密保護辦法」第三十條規定辦
  理。

  各單位資訊檔案建檔等作業，如因資料量龐大或其他特殊因素，無法自
  行處理而須商請其他政府機關、資訊服務廠商支援作業者，應先行報經
  本局核准。

  主機操作人員應隨時檢查系統執行情形，若磁碟機容量超過百分之八十
  時，應即通知系統管理人員會同各應用系統維護人員予以轉錄或清理。

  資訊檔案媒體儲存環境之溫、濕度應予適當控制，且置放地區磁場強度
  不得超過標準磁界。

  資訊檔案之外借，應由系統管理人員填具電腦媒體外借申請書（格式如
  附表三），簽請局（處）長核准後，始得為之。

  本局及辦事處電腦主機相互之間，或其主機與分處、專員室終端設備之
  間，或其主機與他機關主機、終端設備之間辦理連線作業前，應先擬訂
  連線作業計畫，報請核准。其連線作業之識別碼、通行碼、相關編號、
  終端設備之使用管制及資訊檔案傳輸等，由系統管理人員會同相關人員
  辦理。

  各單位連線作業系統中，對資訊檔案之存取，應限制各使用者可運作之
  範圍。前項資訊檔案存取之使用者、單位、時間及檔案名稱等均應紀錄
  存查。

  各單位間連線作業應配合規劃資訊傳輸網路軟、硬體，並遵從各項必要
  之管制措施，以確保訊息傳送之安全可靠。

  各單位設置連線作業時，應依左列規定辦理：
  一、加強通訊、硬體設備之維護，並作成紀錄。
  二、定期檢視傳輸日記檔，並統計印製報表，簽報資訊單位主管核閱。
  三、具備偵錯能力及作業回復措施。
  四、建立通信線路備援管制。

  各單位凡運用電信機構連線，應依照電信法令有關規定辦理。

  系統規劃、程式設計、系統執行維護、資料登錄、機器操作及作業管制
  等各項資訊作業人員之進用及調派，應依有關規定辦理人事查核，並隨
  時督導考核。
  前項系統規劃、程式設計及資訊作業各級主管人員均應編製名冊，於每
  年一月底函報本部財稅資料中心備查。

  資訊作業人員及各單位終端使用者於進用時，均應填具資訊作業人員保
  密切結書（格式如附表四），約定在職期間或離職後，均不得洩漏其所
  知悉之資訊機密，或私自蒐集藏匿機密資料，否則依規定負應有刑責。

  資訊作業人員及各單位終端使用者於第一次使用電腦前，應填具電腦新
  使用者申請書（格式如附表五）經單位主管核准後，會請系統管理人員
  建立其使用電腦之識別碼及通行碼，並由應用系統維護人員建立使用權
  限。
  前項人員離職時，承辦離職單位應會請系統管理人員取消其識別碼及通
  行碼，並由應用系統維護人員取消其應用系統之使用權限。
  資訊作業人員離職時，應辦妥業務交代，並收繳其相關證件，對情緒欠
  穩定者，尤應特別注意，以避免蓄意破壞。

  各級主管對屬員之品德、操守、工作情形及保密素養等，應確實負責督
  導、糾正及考核，並隨時注意其日常生活及工作態度。

  電腦主機房除主機操作人員、系統管理人員外，其他人員應經資訊單位
  主管核准，並由主機操作人員陪同始得進入。
  主機房應設置機房進出管制簿（格式如附表六），由主機操作人員隨時
  紀錄進出者姓名、時間及事由。必要時得於機房門口設置檢核或監錄等
  設備。

  終端使用者因業務需要加班使用電腦時，應填寫電腦作業加班申請書（
  格式如附表七），經簽准後於加班前四小時送達主機操作人員。但因特
  殊緊急事件無法於上開時限內提出申請核准者，得由資訊單位主管會同
  相關業務單位主管協調加班。辦理前項加班時，主機操作人員應會同辦
  理；軟、硬體維護人員進行維護時亦同。

  主機操作人員應依排定時間輪值，不得擅自離開崗位，因故無法按時值
  勤者，應事先覓妥職務代理人，並徵得資訊單位主管同意後辦理。

  媒體檔案庫房，除左列人員外，不得擅自進入：
  一、機關首長、資訊單位各級主管及媒體檔案管理人員。
  二、上級機關視察人員及經核准之水電維護（修）人員。

  機關值勤人員於下班時間對電腦機房所在地，應不定期巡邏，以防不良
  份子潛入破壞，若查覺行跡可疑者，應即通知人事室處理。

  電腦機房內各項設備，應由系統管理人員或主機操作人員依據操作手冊
  或有關文書之規定作業，其他人員不得擅自操作。

  資訊作業環境之其他安全管制，悉依有關規定辦理，惟為考量緊急事故
  之通告，電腦機房內應置直撥電話。

  本局及各地區辦事處之電腦設備以相互備援為原則，互為備援之有關事
  宜另訂之。

  租購電腦設備時，應於合約內約定電腦廠商於電腦設備發生災變後三個
  月內，提供同系列可替換之設備，以確保作業之持續與正常。

  凡應用系統或程式之各項作業文書，於正式作業前或修撰後均應備援三
  套，與原始文書分開異地保存，並責成專人妥善併行維護。

  輸入電腦處理之各項原始資料，其移送單位應留存相同或影本資料乙份
  ，以供備援之用。
  前項原始資料經登錄後，應複錄二套，乙套供作業使用，另套則供備援
  之用。

  各單位資料縮影媒體軟片，經沖洗後應複製二套，乙套供作業使用，另
  套則供備援之用。

  原始程式及目的程式，應每年重新複製二套，分開存於安全處所，以供
  備援之用。

  應用系統程式，如因電腦設備汰換或系統程式更新，致須重新編譯進館
  時，應依電腦廠商提供之技術處理，其有關之資訊備援檔案，得酌予配
  合轉換。

  各單位與提供電腦設備之廠商簽訂合約時，應要求廠商保存該設備開始
  啟用後各系統程式之版本以為備援。各單位對於前項系統程式亦應依時
  序保存最近三版，並複製乙套備援。

  為防範應用系統執行時，作業檔案之損毀，應於規劃設計時考量系統內
  需備援之各階段性重要檔案產出方式、程式、時間及儲存媒體、保留期
  限等，規定於系統文書內，以為執行備援與回復作業之依據。

  各單位資訊檔案凡經應用系統文書規定需長期保留（乙年以上）或屬重
  要者，應於系統完成作業週期或階段性處理時，切實依其檔案備援規範
  實施備援作業，其作業情形應紀錄存查。

  備援資訊檔案之保留期限，以保留最新三代為原則，其檔案之保存與銷
  毀，除應確實依照有關文書之規定處理外，若因業務之特殊要求或需要
  者，得從其規定。

  線上作業登錄或更新之資料，應每日複製乙套備援檔案；但各應用系統
  相關手冊另有規定者從其規定。前項備援之資料，以保留最新三代為原
  則；但因業務特殊需要者，從其規定。

  各資訊檔案媒體及備援媒體之儲存場所，以具防火功能之庫房為原則，
  其溫、濕度控制，應保持與主機房相同之標準，且備援媒體應與原產出
  之檔案異地儲存。

  備援之資訊檔案凡屬長期保留者，為確保其品質，應每年定期運轉試讀
  或抄錄乙次為原則，並紀錄備查。

  備援檔案使用之媒體，以磁帶為原則，若因檔案資料量過大，致使用磁
  帶備援耗時過鉅或其他特殊需求時，得以磁帶磁碟交互使用。

  備援之媒體應於媒體外部黏貼標籤，標示媒體名稱、備援時間及紀錄之
  資料名稱，並置簿詳實紀錄備援時間、資料名稱、檔案內容、檔案用途
  及使用該檔案應注意事項等，以利於檔案管理。

  應用系統之規劃、維護、操作管制及媒體檔案管理人員等均應指派主、
  協辦人員參與作業，由協辦人員為備援。

  機器操作業務以當日操作輪休或曾擔任操作者為備援。

  登錄作業以曾擔任登錄或具打字能力之人員為備援。

  資訊作業各項人力之備援及其他與業務有關之人力備援，均應確實建立
  備援或代理人名冊，以供緊急指派調用之依據。

  各單位對電腦設備加強天然及其他意外災害之防護，資訊作業如遇緊急
  災變，應依其業務性質，以最短期限回復正常作業為目標。

  電腦機房應設置下列防災、防盜設備：
  一、滅火器及停電照明設備。
  二、自動防火及防盜警報系統設備。
  三、電源保護及不斷電設備。

  各單位應成立應變作業執行小組負責辦理左列事宜：
  一、研擬並執行防範災變措施。
  二、災變發生時，搶救相關資料及設備。
  三、研擬並執行作業回復計畫。
  四、其他有關事宜。
  前項應變作業執行小組成員由機關首長指派。
  第一項第三款之作業回復計畫應包括：
  一、查明檔案受損情形及研擬補救措施。
  二、查明電腦設備受損情形及研擬維修措施。
  三、其他如人力、經費、期限等應配合措施。

  電腦設備因災變無法正常運作時，應即通知簽約廠商辦理修護。

  應變作業執行小組應確實依回復計畫執行回復作業，並應將處理情形紀
  錄備查。

  凡以備援設備執行回復作業時，有關程式館及資訊檔案之備援，應比照
  正常作業之規定辦理。

  災變發生後人事室應會同應變作業執行小組，就災變原因深入了解，並
  提具改善建議，簽報機關首長核可後據以改善。

  災變回復作業於實施完成後，應變作業執行小組應會同有關單位檢討災
  變搶救及回復作業處理情形，簽報機關首長，凡作業有功人員亦應予獎
  勵。

  為確保具有應付災變之能力，各單位每年九月應辦理模擬災變回復作業
  ，並列入工作計畫列管實施。

  模擬災變回復作業實施後一個月內，由應變作業執行小組撰寫書面報告
  呈核；本局各地區辦事處並應報局核備。

  本局對所屬各地區辦事處之資訊作業，應定期或不定期實施稽核。
  前項資訊作業稽核由本局資訊小組辦理，必要時得組稽核小組為之。

  本局資訊小組應於每年五月底前研擬次年度資訊作業內部稽核計畫，簽
  報局長核定，並報財政部財稅資料中心核備。

  稽核步驟如左：
  一、準備資料：受檢單位應將稽核項目有關資料及具體成果分類整理，
      以備稽核。
  二、實地抽查：稽核人員得就稽核項目所需資料調卷實地抽查核對。
  三、填寫紀錄：稽核人員應將稽核結果平實記載於稽核紀錄表。
  四、舉行座談：
    （一）參加人員：由受檢單位及稽核人員共同參加。
    （二）主持人：由資訊小組主任或稽核小組組長及受檢單位首長（或
          主管）共同主持。
    （三）座談時間：以不超過二小時為原則。
    （四）座談內容：稽核時所發現之優缺點及改進意見。
    （五）座談紀錄：由受檢單位派員擔任，紀錄內容須簡明扼要，並於
          稽核後五日內送本局資訊小組或稽核小組彙辦。

  稽核人員於實施稽核前，應充分瞭解各項有關管制程序與內容，稽核期
  間並應徵詢作業人員之意見，以瞭解潛在問題。

  稽核業務實施前，稽核人員得調閱受檢單位資訊作業有關資料，受檢單
  位並應配合提供業務說明；惟稽核人員因職務關係獲悉之機密資料，亦
  應負保密之責。

  稽核人員對應用系統之稽核，以左列二種方式實施：
  一、事前稽核：即指應用系統、程式於資料平行作業前之稽核，著重系
      統規劃、文書編撰及資料輸入等之管制。
  二、事後稽核：即指應用系統、程式於資料平行及正式作業後之稽核，
      著重系統、程式之修改、異常及資料輸出之複核與系統作業績效之
      查核。

  執行資訊作業內部稽核時，如涉及之業務，非稽核人員可獨立鑑定者，
  應由業務單位負責填具書面報告，送資訊作業稽核單位彙辦。

  為確保資訊作業績效、品質管制、安全維護及應變能力等，應加強左列
  事項之評核：
  一、組織控制與人員管理
  二、標準作業程序
  三、系統規劃與文件編製
  四、電腦設備管制
  五、系統軟體與安全管制
  六、資料登錄管制
  七、資訊檔案轉換管制
  八、資料輸入作業管制
  九、備援作業管制
  十、作業回復措施前項各管制作業其有關文件（書）、紀錄等，均為查
      核業務之重要稽核軌跡稽核人員應審慎運用；所稱之稽核軌跡，係
      指各項處理作業過程中，所有必要保留之資料，俾供日後查核作業
      時參考之依據。

  資訊小組或稽核小組於全部稽核完畢後十日內，應撰寫稽核檢討報告，
  簽請局長核閱，並依左列方式處理：
  一、稽核檢討報告內應注意或改進事項，應請受檢單位切實注意改進，
      並將改進情形報局。
  二、座談會或稽核檢討報告所提問題及建議，無法當場解決者，應由本
      局資訊小組研究處理。
  前項有關紀錄與檢討報告等，均應由資訊單位妥為保管，以備查考。

  為貫徹資訊業務各項要求，應配合業務環境，衡酌整體業務之需要，定
  期或不定期實施作業人員之資訊安全維護、作業管制等教育訓練。

  機關首長及各級單位主管，應對本要點之實施，就其權責範圍負監督之
  責。

  各單位或其有關人員執行本要點，經本部財稅資料中心評核績效卓著者
  ，得予以獎勵；違反本要點規定者，亦得依情節輕重予以適當處分，如
  涉及刑責者，應移送該管檢查機關偵辦，其機關首長亦負監督不適之責
  。

  本要點經局長核定並報奉財政部核備後實施，修正時亦同。