法規資訊

法規資訊
法規名稱: 新北市政府電腦設備安全及資訊機密維護管理要點
時間: 中華民國100年02月24日

所有條文

  壹、總則
一、新北市政府(以下簡稱本府)為確保電腦設備安全,加強資訊機密維
    護,特訂定本要點。

二、本府各機關應用電腦安全及資訊機密維護,除依國家機密保護辦法、
    電腦設備安全暨資訊機密維護準則、各級行政機關電腦處理個人資料
    保護要點及相關法令規定外,悉依本要點辦理。

三、本要點所稱電腦設備,係指本府資訊中心(以下簡稱資訊中心)主機
    房之主機、週邊設備、相關設施及連接至各機關之個人電腦等終端設
    備;所稱資訊機密,係指使用電腦設備製作、保存與國家安全、公務
    機密或個人權益有關之資料,及處理該資料有關之系統、程式、消息
    或文件。

四、由本府各機關自行規劃建購者,參照本要點制定之;由中央另有資訊
    系統規劃建置,訂有管理辦法者,從其規定,否則依本要點制定之。

五、本府電腦系統設備安全及資訊機密維護由政風處與相關機關共同辦理
    ,其有關主管或負責人,應於權責範圍內負監督之責。

六、各機關應建立資訊稽核制度,定期或不定期稽核電腦設備之使用及資
    訊檔案管理情形。

  貳、電腦機房及相關設備管理
七、電腦主機系統應設置專用機房,指定專人負責管理,並加強門禁管制
    及有關安全防護措施。

八、電腦機房(以下簡稱機房)應備置工作日誌(附件一),由機房值班
    人員輪班時填寫設備使用狀況、故障、異常情形、維護及交接事項等
    資料,每日陳報主管核閱,至少保存一年。

九、人員進出機房,除本府研究發展考核委員會正、副首長及資訊中心人
    員外,均應經機房值班人員確認確有需要並填寫機房進出人員登記表
    (附件二)方可進入,進入機房應換穿專用拖鞋。

十、機房設備除由值班人員及系統維護人員基於業務需執行啟動及操作外
    ,其他人員不得擅自操作,電腦公司及其他設施維護工程師須在值班
    人員監督下方可進行維護工作。

十一、機房應裝設空調、除塵、除濕、煙火感應、特殊防火、臨時照明等
      設備,各項設備並應定期檢視維修。

十二、機房空調設備應與一般大樓空調分開,空調設備專用之貯水槽、散
      熱水塔應納入管理,定期清潔及維修。

十三、機房值班人員應隨時注意機房溫、濕度,溫度保持攝氏二十度至二
      十六度之間,相對濕度保持五十度至七十度之間,有異常時,應即
      刻通知維護廠商儘速修復。

十四、機房供電應與一般用電分開並單獨設置配電盤,為確保供電品質,
      應加裝不斷電設備,並應定期檢視維修。

十五、機房內不得攜入或存放磁性、放射性、易燃性及易爆性物品,並應
      定期維護及清潔機房(含高架地板下),嚴禁嬉戲、吸菸、飲食,
      非經核准,不得攝影,各種處理用媒體(如磁帶、磁片等),應放
      置於指定位置。

十六、各機關如需於上班以外時間使用與主機連線之電腦設備,應於下班
      前將使用電腦加班申請單(附件三)送資訊中心以憑辦理。

十七、各項電腦及相關設備,應訂定維護合約,並依合約要求維修公司定
      期及臨時性維修保養。

十八、電腦設備及相關設施發生故障時,應立即要求維修公司人員修護,
      並將異常狀況、叫修情形做成紀錄,如遇重大故障可能延誤正常作
      業時,應立即陳報主管,以採取必要因應措施。

  參、機房值班人員管理
十九、資訊中心應指定專人擔任機房之管理並排定值班人員,值班人員任
      務如下:
    (一)機房電源、空源與主機之開關及機房門禁之管理。
    (二)檢視電腦設備運作,控制機房之各項設備及其清潔維護管理。
    (三)填寫機房工作日誌、電腦設備維修記錄表(附件四)、資料備
          份記錄表(附件五)及軟硬體設備管制記錄表(附件六)。
    (四)記錄各終端使用者所提出之問題(附件七)。
    (五)電腦設備或作業系統發生故障無法處理時與電腦公司聯繫處理
          。
    (六)電腦設備使用順位之督導管制。
    (七)資料備份。
    (八)操作系統或套裝軟體安裝或更新之督導,並禁止使用未經授權
          之套裝軟體。
    (九)電腦軟體之裝置、加裝、配線、配電工程之督導。
    (十)電腦網路之管理維護。

二十、值班人員應準時到班,除切實辦理交接外,並應對所有機器運轉是
      否正常及機房整潔予以檢查,並做適當之處理。

二十一、值班人員因故未能上班時,應由職務代理人代行各項工作。

二十二、值班人員於下班時,應檢查各類電器設備及門窗後始得離去。

  肆、系統安全管理
二十三、電腦使用之識別碼及資料使用權限控制由資訊中心負責,並視需
        要適時更新。

二十四、與主機連線之終端設備,應由資訊中心予以編號,列入管制並得
        限制其使用範圍。

二十五、使用終端機時應先輸入識別碼及通行碼,經電腦核對無誤後,方
        能進入系統作業,重要或具機密性資料,應依業務需求,授權不
        同使用範圍,並加設雙重識別碼及通行碼,通行碼應定期更換。

二十六、系統管理人員應熟知並利用系統軟體提供之安全控制功能,依應
        用系統設計,賦予各使用者不同使用權限之識別碼,以保護檔案
        資料之安全與機密。

二十七、本府各機關員工如欲使用電腦設備時,應向資訊中心索取使用者
        代號申請單(附件八),經該機關首長及資訊中心主管核章後,
        送交系統管理人員設定該員工之識別碼。

二十八、員工離職或調換工作時,應由人事處以書面通知資訊中心,俾調
        整或刪除其使用權限確保系統安全。

二十九、檔案資料損毀時,應即以備援檔案進行回復作業,機房或操作系
        統遭破壞時,得請求電腦公司維護人員協助辦理回復作業。

三十、回復過程應詳留紀錄以備查考,以備援設備執行作業時,有關資料
      媒體檔案之備援作業,仍依正常作業之規定辦理。

  伍、連線作業管制
三十一、與電腦機房主機連線之終端設備,其維護工作由資訊中心統一辦
        理。

三十二、終端設備之安裝位置,未經核准不得任意變更。

三十三、連接於不斷電設備之電腦專用插座,不得用於其他設備。

三十四、與電腦機房主機連線之終端設備,應由擺設位置所在之單位指定
        專人負責管理,管理內容如下:
      (一)設備之安全及清潔。
      (二)設備使用之管制。
      (三)操作及故障問題之聯繫。

三十五、終端機使用者代號新增、變更或刪除,由資訊中心依使用者代號
        申請單執行。

三十六、各機關設置專線連線作業時,除終端設備按本章規定辦理外,其
        通訊設備應依左列規定辦理:
      (一)加強通信硬體設備之維護,並作成記錄。
      (二)定期檢視傳輸日記檔,並統計印製報表,陳報主管核閱。

三十七、利用電信機構連線者,除依前條規定外,應依照電信法令規定辦
        理。

  陸、軟體程式安全管理
三十八、電腦設備所屬之操作系統不得任意修改或刪除,更換應用系統程
        式時,各機關應通知資訊中心核准後實施。

三十九、各項電腦作業之原始程式均應由資訊中心集中管理保存,非經授
        權不得擅自更動;其餘由各機關自行採購之應用程式及套裝軟體
        於安裝後,原版磁片(碟、帶)由各機關自行保管,並列入移交
        。

四十、系統規劃、程式設計時,應將作業安全因素列入考慮。對線上作業
      之程序應加識別碼及通行碼。

四十一、機房管理人員應定期檢視磁碟內所有應用程式之名稱及建立時間
        ,如發現異常情形,應即刻會同相關人員處理。

四十二、本府應建立備援制度,所有軟體之相關文書,包括系統說明文件
        、程式說明文件、程式操作說明文件,一律影印備份,分開保存
        ,對於應用程式或重要檔案應作備份,使用專用防火設備異地存
        放。

四十三、程式修改翻新時,舊有原始程式清單均應繼續保存三年,惟當使
        用之電腦主機設備汰換,檔案轉換完成後可將失效之程式刪除及
        銷毀。

四十四、電腦操作系統及有關系統程式應依時序保存最新之二版,並要求
        電腦廠商保存該設備曾使用之各操作版本,以為備援。

四十五、各項應用系統應指定專人維護,維護人員因離職或調派其他職務
        時,其所維護之應用程式應連同有關文件辦理移交,文件應包含
        系統分析文件、系統設計文件、程式測試文件、程式操作手冊、
        系統操作手冊、原始程式儲存媒體等。

四十六、程式開發完成之後,應與人工作業平行作業,俟業務單位確認該
        應用系統功能後才正式作業。

四十七、應用程式正式上線之後,本府各機關得經業務主管機關與資訊中
        心同意後,連線取得資訊。

四十八、應用系統修改程序如下:
      (一)程式上線後,如因法令修正或行政程序變更等原因致無法配
            合作業時,由業務單位填具程式修改需求申請表(附件九)
            ,經資訊中心維護人員分析後填寫程式修改建議單(附件十
            ),指定專人或委由原廠商依進度進行程式之修改。
      (二)程式修改完成後,應填寫程式修改完成報備單(附件十一)
            ,經測試完成後,資訊中心連繫有關作業人員開放使用時間
            ,程式或手冊有關說明文件應一併修正。

四十九、所有程式文件應編製程式文件目錄(附件十二),設專櫃分類存
        檔,並置專人管理,程式文件僅供資訊中心人員參考。

  柒、資訊輸出入作業管制
五十、各機關對於各項資料輸出入作業自原始資料至建檔,及其執行人姓
      名、職稱均應有詳細紀錄,並由專人管理。資料建檔後之異動、刪
      除、使用情形等,並應記錄。

五十一、各機關對於重要或具機密性資料應自行錄製建檔,但情形特殊無
        法自行處理者,需經核准後,始得委託其他機關或電腦廠商處理
        ,並應派員監督之。

五十二、各機關對於各項資料之輸出入,均應建立識別碼、通行碼之管理
        制度;重要或具機密性資料建檔時,應加設資料存取控制。

五十三、各機關對於電腦設備所輸出具機密性報表,應依有關規定區分機
        密等級;電腦設備所輸出之報表應妥為處理及保存,具有機密性
        者應依有關規定區分機密等級,廢棄報表應予銷毀。

  捌、資訊檔案管理
五十四、各機關電腦檔案資料有下列情形之一者,應保守秘密,非依法令
        規定,不得提供其他機關或個人查詢應用:
      (一)有關國家安全、外交上之機密或其他國家重大利益事項。
      (二)有關犯罪預防或刑事偵查事項。
      (三)有關犯罪矯治、更生保護或其他相關事項。
      (四)有關入出境審查事項。
      (五)有關稅捐稽徵事項。
      (六)有關人事、薪給或其他相關事項。
      (七)有關衛生、福利或其他相關事項。
      (八)其他依法令應予保密事項。

五十五、資訊檔案中之資料、其更新、更正或註銷,均應經業務單位主管
        核准,並將更新、更正、註銷內容、作業人員及時間等詳實記錄
        。

五十六、重要或機密性資料應自行錄製建檔。但情形特殊無法自行處理者
        ,須經業務單位主管核准後,始得委託其他機關或電腦廠商處理
        ,並應派員監督之。

五十七、各項資料之輸出入均應使用識別碼、通行碼,並由電腦系統自動
        登錄,以利追蹤查考。

五十八、正式作業產生之資料,如發現有錯誤或異常情形,應立即查明更
        正,由業務機關會同資訊中心追查原因,並簽報備查。

五十九、非必須經常使用之檔案(每年使用次數在四次以下者)處理完成
        後,應備援於磁性媒體上,以免佔用硬體空間。

六十、終端操作人員應於每月月底自行清理本身目錄內檔案。

六十一、硬碟中的所有檔案資訊中心應於每星期做一次完整之備份,以交
        替備援方式,保留最新兩版以上,且分開存放,並應每週做數次
        部份備份。各應用系統檔案,得由各業務機關視其更新週期申請
        備援。

六十二、機密性檔案及輸出報表之管理,與非機密檔案資料隔離,指定專
        人分級保管,保管人員離職時,應逐項點交接管理人員,並列冊
        報備。

六十三、工作檔案不宜保留過久,以使磁碟能充分利用。系統管理人員應
        每星期清理檔案。業務機關認有保留必要者,應申請備援。保管
        中的檔案應放於磁性媒體儲存櫃中。

六十四、磁片、磁帶應直立放置,不可置地上,且不得加壓於磁片或磁帶
        上。媒體存放處應注意溫、濕度控制,及磁場效應。

六十五、磁碟、磁帶檔案之拷貝或提供外機關使用之電腦資料,均應先行
        簽准市長核可,並經資訊中心查證後,方可攜出。

六十六、各作業系統應於安裝完成後,複製一套儲存備用,其中重要檔案
        於作業完成後,再行複製一套依限妥為保管。

六十七、備援媒體之儲存場所,應有專用之防火設備隔離儲存,平時注意
        內部安全,維持內部整潔及濕度控制外,並嚴禁吸煙及使用電熱
        器。

六十八、保存年限一年以上之備援磁性檔案,每半年至少應轉錄至另一媒
        體一次,以確保資料之可用性。

  玖、附則
六十九、各機關首長應告知業務有關之現有及新進人員,熟知本要點之各
        項規定,並確實執行。

七十、資訊中心人員及各機關資訊作業人員,離職時取消其識別碼,並收
      繳其通行證(卡)及相關證件。

七十一、違反本要點規定者應按情節輕重予以處分;如涉及刑責者,應依
        有關法令規定辦理。

七十二、本府應定期或不定期實施資訊保密及安全防護教育訓練。

七十三、本要點未規定事項悉依有關法令辦理。

七十四、實施電腦化之本府所屬各機關學校、區公所參照本要點辦理。