一、國軍退除役官兵輔導委員會為嚴密資訊管制作為,健全資訊防護機制
,藉由周密之電腦稽查與管理,提高員工保密警覺,防制刺探、蒐集
、破壞及非法定人員使用,以整飭資訊作業紀律,確保電腦資訊安全
,有效防範破壞、竄改、盜竊、洩密或不當使用等情事發生。
|
二、稽核適用範圍:
(一)本會及所屬各機構已設置或計畫設置資訊作業系統之單位。
(二)所購置裝備中一部分或全部利用電腦作輔助性功能者。
(三)凡涉及本會或所屬機構資訊作業系統運作之個人(含規劃、採購
、程式研發、操作、保養、維護、資料管理及報表領用等員工)
。
|
三、稽核權責與職掌:
(一)各機構首長對所屬電腦系統裝備與設施負資訊安全管理稽核成敗
之全責。
(二)本會資訊安全政策之指導、法令擬定、管制作為、安全稽核、資
訊違規案件查處等全般工作由統計資訊處統籌規劃辦理,並據以
督導各機構資訊部門執行。
(三)本會各機構政風部門應對危害資訊安全資料之整理,及資訊洩密
案件調查,並負資訊安全稽核作業秘書單位:惟應納編機構資訊
專業人員共同偵處,以維本會資訊安全稽核作業之推動。
(四)負責籌建電腦作業系統或處理是項業務之主管單位人員,應就專
業知識提供建議,並策劃各該系統之資訊安全稽核措施,輔導所
屬執行。
(五)直接操作控制及維護電腦作業系統裝備與設施之人員,應恪守保
密安全規定,並就稽核技術觀點提供改進建議; 並對違常使用訊
息,應隨即通知資訊安全業管人員查明處理。
(六)各資訊運用單位及系統管理部門均應律定所屬資訊作業安全責任
區,負責該等環境與作業之資訊安全稽核管制相關事宜。
(七)各機構資訊管理部門人員應遴派所需技術人員或其它因業務需要
人員,與該機構政風部門編成資訊安全管理稽核小組,處理機構
資訊安全管理稽核相關事宜。
(八)本會「資訊安全管理稽核小組」編組名冊如附件一。
|
四、稽核作業注意事項:
(一)策頒資訊安全規定:
1.統計資訊處參據「行政院及所屬各機關資訊安全管理要點」;
並結合本會特性,訂頒資訊安全相關管理作業要點程序訂定與
修審,俾利各單位據以執行。
2.統計資訊處訂頒之資訊安全管理作業要點,應涵蓋提供系統之
相關廠商,並要求共同遵行。
3.所訂頒之資訊安全規定,每年應定期評估執行成效,若有不合
時宜規定,應隨時修訂補充,俾結合政府法律規定及業務發展
所需。
(二)著重稽核作業實效:
1.請統計資訊處規劃建立並指定專責人員,就本會之資訊安全計
畫、資料及資訊系統安全需求、使用管理等賦予權責,以推展
業務。系統管理員應定期將資訊系統各項稽核記錄分析並彙整
後陳報權責覆核。
2.資訊系統之變更或開發過程中修改,均應於系統中留存稽核記
錄以為事後追蹤與分析之基礎。
3.「本會資訊安全管理稽核小組」,針對各單位資訊作業實況發
掘潛存危因,實施資訊安全管理稽查作業檢討,確實管制追蹤
與複查。
(三)加強管理教育訓練:
1.相關使用資訊人員在進用之前,應完成必要之考核,於交付工
作及任務時,應做適當之評估,伺服器以上之系統管理人員應
建立
代理備援機制,其業務主管對該等人員應具備稽核能力。
2.擔任資訊作業人員在派任工作前,應由單位保密員宣導資訊保
密安全等相關規定,俾使瞭解保密安全責任;資訊部門定期辦
理講習訓練時,並予著重資訊安全教育,熟悉有關安全要求與
方法,建立員工對資訊安全認知。
3.對本會相關之資訊管理、維護、設計、操作及使用人員,應有
適當分工,並能相互制衡,適時調整工作,採取隔離措施:並
由系統業管人員撤換其通行密碼及收繳具儲存功能之媒體,防
範不法或不當情事發生。
(四)完善系統安全管理:
1.本會各資訊系統應於規劃之初,即將資訊安全納入設計首要考
量因素,並完成風險評估報告,詳細律定安全作業程序以落實
安全防護措施及安全機制。
2.一般使用者與系統管理者之密碼選取應與區分限制,避免雷同
,密碼應律定更換時機;系統管理者如有異動時,應於異動前
一月調整該管理者之工作,並完成所有系統相關工作之移交,
不得再接觸任何前項工作,系統管理者密碼並即予更換。資訊
系統應加裝系統安全掃瞄程式,每日至少對系統進行乙次以上
之安全偵測,偵測項目納入系統使用文件安全作業規定內,並
予記錄備查。
3.本會所委外作業電腦腦系統,應在契約中明訂廠商之安全責任
、保密規定及相關罰則,並定期查核,防範不法。
4.電腦系統如需變更作業時,應有周延之控管制度,如申請程序
、核准權限、建立記錄及稽核等,以防系統遭不當變更。
(五)嚴密網路安全機制:
1.本會對提供外界使用之各類型服務網站,應確定其安全性,避
免發生機構或個人及機密資料外洩情事。
2.本會與外界網路連接之網點,應設有防火牆等安全設施,有效
控管外界與本會內部網路資料之傳輸與存取,防火牆等安全測
試,防範安全罐隙發生。
3.本會各機構上傳全球資訊網之網站資料,事前應責成專人對資
料之安全完成評估,並簽奉權責長官核准,對具機密性、敏感
性及個人隱私之資料或文件,不得上網公布。
4.統計資訊處應訂定維護本會各部門網站資料安全之規定,要求
各單位網站負責人,不得擅至對外公布未經核准資料,避免觸
犯法律。
5.統計資訊處策頒之電子郵件使用規定,應有效管理及規範員工
使用電子郵件,妥善管理帳號,傳送郵件不得涉及機密資料,
並完成切結等,以免觸法。
6.統計資訊處應配合政府推展資訊安全之要求,對員工需以電子
郵件傳遞較敏威之文件時,視需要賦予使用人相關之加密或電
子簽章等安全處理技術。
7.統計資訊處宜按「行政院及所屬各機關資訊安全管理要點」之
規定,在發展或採購加密技術時,應符合國家標準及安全無虞
之密碼模組。
(六)嚴謹系統存取控管:
1.統計資訊處協調相關單位,訂定本會各項電腦系統存取及授權
規定,以規範使用者之權限及責任。
2.各項電腦系統之存取,應以執行法定任務者為限,其使用者一
經調、離該職,應即取消所賦予之存取權限,並列入調離職必
要完成之手續。
3.對使用系統之員工,應由統計資訊處建立註冊管理制度,加強
使用者通行密碼之管理,並視作業系統及安全管理之需求,定
期更新之。
4.本會如及各機構委外建立之電腦系統,統計資訊處應在簽訂契
約中,明定適當之安全管制措施,防止資料被竊取、竄改、販
售或留存不當備份等情事。
(七)維護系統發展安全:
1.本會自行研發或委外開發之系統,應將資訊安全架構分析融入
系統分析與系統設計中,對該系統及其採用之作業與資料庫系
統符合安全規範,始得進入程式撰寫階段,並對系統之更新或
異動作業納入管制。
2.本會對委外建構系統之廠商,應規範及限制其可接觸之系統與
資料,對於核發之系統識別碼及通行密碼,應有一定期限,使
用完畢後應立即取消其權限。
3.資訊業務單位應建立各類資訊系統管理及維護之技術能力,以
防廠商於系統中預留後門。
4.資訊安全控管機制設計於存放資料之伺服端,不得設計於用戶
端執行,不得將任何帳號及密碼以明文或密文方式儲存於用戶
端系統中。
5.撥接伺服器之裝設,非經本會之核准,不得將自動電話透過人
工或自動總機系統轉接至連線電路。
6.網路上之資源分享應設權限管制,系統管理員應定期檢查網路
上伺服器及個人電腦資源分享狀況,以杜絕洩密情事。
(八)訂定安全應變措施:
1.為求本會業務永續經營,有關資訊作業能配合無虞,統計資訊
處應對各種人為或天然災害對資訊運作所可能造成之傷害,妥
作應變及復原作業等措施,並定期演練及檢討改進。
2.為防範資訊系統發生當機,而導致影響作業等意外事件發生,
統計資訊處應建立緊急事件處理機制及程序,俾迅速消弭當機
事故,恢復資訊正常運作。
3.對本會重要電腦資訊及各項軟硬體設備,除應有之備分外,應
對其安置處所加強門禁管制與查察,防範遭受破壞、失竊等情
事發生。
|
五、稽核方式:
(一)資訊安全總檢查:
結合年度公務機密維護檢查期問,每年實施乙次資訊安全使用管
理稽核,統計資訊處應結合階段性任務與特性,納入稽核編組實
施抽查。
(二)例行檢查:
由各單位保密員逐日實施,其結果納入「工作日誌」或「保密檢
查記錄簿」,每週簽陳權責長官核閱:若發現異常狀況,應予究
明原因,檢討改進。
(三)突擊檢查:
依狀況需要,不定期對單位內部及及本會所屬一級機構資訊安全
相關作業實施突擊式重點抽查,每半年至少實施乙次。
(四)相關檢查除著眼於發掘缺失、即時改正外,並應以「防堵罅隙、
遏阻不法」為重點:有關之計畫包含: 稽核目的、稽核時間、稽
核項目、受稽核單位與人員、稽核人員編組、稽核方法與進行程
序、稽核結果處理、行政支援事項等。對稽核所見優缺點,應於
稽核結束後,陳報主任秘書以上長官核閱,並予公布結果,缺失
列為下次複檢單位。
(五)稽核項目檢查表如附件二。
|
六、一般規定事項:
(一)本會資訊安全稽核工作由政風處負責秘書作業,統計資訊處等專
業單位密切協調配合,發掘缺失,消弭危安因素,提昇資訊使用
安全。
(二)實施稽核時,應就檢查表列事項,對本會訂有計畫之檢查,以求
完善周全,防杜資訊安全產生罅隙。
(三)實施稽核時,得調閱有關資料、實地測試或檢查資訊軟、硬體設
備使用情形,並請相關單位操作人員提供說明。
(四)如經稽核發現涉及違背「刑法」、「國家機密保護法」、「個人
資料保護法」等法律規定或違反本會資訊安全相關規定者,應依
法查處,違反情節重大者檢討議處。
|