一、新北市政府消防局(以下簡稱本局)依據電腦處理個人資料保護法、
國家機密保護法暨行政院及所屬各機關資訊安全管理要點,並衡酌本
局業務特性與需求,訂定「本局資訊安全管理作業要點」(以下簡稱
本要點),俾落實本局資訊安全管理,強化並提昇本局資訊作業之安
全水準。
|
二、資訊安全係採行與資訊資產價值相稱及具成本效益之管理、作業及技
術等安全防護手段、措施或機制,以確實掌握本局各項資訊資產免遭
不當使用、洩漏、竄改、竊取、破壞等情事,倘不幸遭受惡意攻擊、
破壞或不當使用等緊急事故發生時,亦能迅速作必要之應變處置,並
在最短時間內回復正常運作,以降低事故可能影響及危害本局業務運
作之損害程度。
|
三、資訊安全目標係建立安全及可信賴之電腦化作業環境,確保本局電腦
資料、系統、設備及網路安全,以保障民眾權益及本局業務永續運作
。
|
四、資訊安全範疇包括本局人員安全管理及教育訓練、電腦主機安全管理
、資料安全管理、系統開發維護安全管理、網路安全管理、網路存取
之安全控制、系統與網路入侵之處理、設備安全管理、實體環境安全
管理、業務永續運作計畫管理等十大工作項目。
|
五、資訊安全管理作業規定:
(一)人員安全管理及教育訓練
1.人員晉用及教育訓練
(1)甄選或新進用人員,倘其工作職掌須使用或處理機密性及敏
感性資訊的資訊科技設施或涉及機密性及敏感性資訊者,應
經適當的安全評估程序。
(2)員工使用資訊設備應依相關規定課予機密維護責任,並進行
資訊安全教育及訓練。
2.使用者管理
(1)在系統使用者尚未完成正式授權程序前,資訊服務提供者不
得對其提供系統存取服務。
(2)應以書面、電子或其他方式賦予使用者系統存取權限。
(3)應要求使用者確實瞭解系統存取的各項條件及要求,並只能
在授權範圍內存取系統資源。
(4)使用者不得將個人登入識別碼與密碼交付他人使用,亦不得
以任何方法竊取他人的登入識別碼與密碼。
(5)應建立及維持系統使用者之註冊資料紀錄,以備日後查考。
(6)使用者調整職務及離(休)職時,應儘速取消其系統存取權
限。
(7)應定期檢查及註銷閒置不用的識別碼及帳號。
3.使用者密碼之管理
(1)使用者應負責保管及定期更換個人密碼,維持密碼的機密性
。
(2)使用者第一次登入系統時,系統應要求更改臨時性密碼。
(3)當有跡象足以顯示使用者密碼可能遭破解時,應立即更改密
碼。
(二)電腦主機安全管理
1.電腦主機及伺服器操作程序,應以書面或電子方式載明,以確
保員工正確及安全的操作使用電腦。
2.各項電腦主機及伺服器設備均應指定專人管理,非經核准不得
任意使用、拆卸及更動零組件。
3.各類電腦主機、伺服器及重要之個人電腦皆應設定密碼。
4.電腦主機之作業環境如溫度、溼度及電源供應之品質等,應隨
時監測,並採取必要的防護補救措施。
5.嚴禁使用未經授權及來路不明之軟硬體。
6.存放機密性及敏感性資料之電腦主機或伺服器,除作業系統既
有的安全設定外,應強化辨識之安全機制,防止非法使用者透
過遠端撥接或網際網路傳送資料時,偷窺或截取登入密碼,及
防制假冒合法使用者身分登入主機進行偷竊或破壞等情事。
7.應防範電腦病毒及惡意軟體之攻擊。
(1)禁止使用未經授權之軟體,並遵守智慧財產權相關規定。
(2)嚴禁使用或開啟來路不明及內容不確定之軟體、磁性媒體或
電子郵件。
(3)使用磁性媒體時,應在使用前詳加檢查是否感染電腦病毒。
(4)應建置防火牆及防毒軟體以區隔內部網路與網際網路間之非
法連結,阻絕電腦病毒及惡意攻擊性軟體之非法入侵或非法
存取資料。
(5)電腦病毒碼及防制軟體應定期更新。
(6)定期修補系統漏洞程式。
8.應訂定電腦主機不正常停機之立即回復作業程序,尤其是對高
使用率的系統應有妥適的回復措施。
(三)資料安全管理
1.應保護重要的資料檔案,以防止遺失、毀壞、被偽造或竄改。
2.應落實定期備份作業及電腦媒體異地備援之規定,以便發生災
害或是儲存媒體失效時,可迅速回復正常作業。
3.重要資料須區分機密等級並依權限使用。
4.應依使用者所負責業務性質及職掌,賦予不同資料存取權限,
並保存重要檔案或敏感性資料之存取紀錄以備查考,避免重要
資料遭洩漏或遭不經意之更動。
5.應加強電腦媒體與資料文件之安全管理。
(1)儲存媒體應依媒體保存規格,存放在安全的環境。
(2)電腦媒體檔案名稱應採代碼或簡碼標示,以防有心人士輕易
辨識或猜透資料內容。
(3)系統文件應由專人保管,並鎖在安全的儲物櫃或其他安全場
所。
6.可重複使用的資料儲存媒體,不再繼續使用時,應將儲存的內
容消除。
7.須搬離辦公場所的設備或儲存媒體,應建立書面的授權規定及
相關紀錄。
8.委外處理的電腦文件、軟體設計、媒體蒐集及委外處理資料,
應慎選有足夠安全管理能力及經驗的機構作為委辦對象。
9.與他單位進行電子資料交換,應採行保護措施,以防止資料受
損及遭未經授權的存取與竄改;重要資料交換須有加密及電子
簽章的機制。
10.個人資料之保護
(1)應依據電腦處理個人資料保護法等相關規定,審慎處理個人
資料。
(2)應建立個人資料控管機制,促使相關人員瞭解各部門應負的
個人資料保護責任,以及應遵守之作業程序。
(3)應依規定定期備份重要檔案及離座即關閉應用系統,以確保
個人資料安全。
(四)系統開發維護安全管理
1.新發展的資訊系統,或是現有系統功能之強化,應將安全需求
納入系統功能。
2.系統發展測試作業及系統正式作業之軟體,應分別在不同處理
器或不同的目錄下作業,使系統測試與正式作業分開處理,以
避免作業軟體或資料遭意外竄改,或不當使用。
3.新開發或修正更新之系統,須經查驗系統運作正確或測試結果
無誤後,再予轉置正式環境執行。
4.應用系統使用者須設定通行密碼,並限制使用權限。
5.系統的最高使用權限,應經權責主管人員審慎評估後,交付系
統管理人員管理。
6.進出重要系統與網路,應記錄下列事項:
(1)使用者識別碼。
(2)登入及登出系統之日期及時間。
(3)記錄端末機的識別資料或其網路位址。
7.重要系統須有事件紀錄管理,系統發生作業錯誤時應記錄相關
資訊以備查考,同時報告權責主管人員,採取必要的更正行動
。
8.各階段發展之系統文件及程式說明,應妥善保存及維護。
9.資訊業務委外時,應於事前審慎評估可能的潛在安全風險(例
如資料或使用者通行碼被破解、系統被破壞或資料損壞等風險
),與廠商簽訂適當的資訊安全協定,將相關的安全管理責任
納入契約條款。
10.對委外廠商或系統維護人員基於實際作業需要,資訊單位得核
發短期性及臨時性之系統辨識及通行密碼供廠商使用。但使用
完畢後應立即取消其使用權限。
(五)網路安全管理
1.網路設備須有專人管理,隨時監測網路的狀況。
2.連外網路須安裝安全防護措施,注意可能的漏洞。
3.網路主機應關閉非必要的服務程式,並隨時更新程式版本。
4.提供給內部人員使用的網路服務,與開放業務有關人員從遠端
登入內部網路系統的網路服務,應執行嚴謹的身分辨識作業,
或使用防火牆代理伺服器(Proxy Server)進行安全控管。
5.應禁止及防範網路使用者以任何儀器設備或軟體工具竊取網路
上的通訊。
6.網路系統管理人員未經權責主管人員許可,不得閱覽使用者之
私人檔案;但如發現有可疑的網路安全情事,網路系統管理人
員得依授權檢查其檔案。
7.網路系統中各主要主機伺服器應有備援主機,以備主要作業主
機無法正常運作時之用。
8.網路硬體設備應加裝不斷電系統,以預防不正常的斷電狀況。
(六)網路存取之安全控制
1.網路連線作業之控制:
(1)為確保系統安全,跨機關的網路系統應限制使用者之連線作
業能力。例如,以網路閘門技術依事前訂定之系統存取規定
,過濾網路之傳輸作業。
(2)網路連線使用者應遵守相關安全規定,如有違反,依相關法
規處理,並取消其網路資源存取權限。
2.網路路由控制:
(1)分享式的網路系統,應建立網路路由的控制,以確保電腦連
線作業及資訊流動不會影響應用系統的存取政策。
(2)網路路由的控制,應建立實際來源及終點位址之檢查機制,
並應事先評估瞭解不同方式的安全控制能力。
(七)系統與網路入侵之處理
1.應隨時檢討網路安全措施及修正防火牆的設定,以防禦網路的
入侵與攻擊。
2.當防護網被突破時,系統應立即拒絕入侵者任何存取動作,防
止災害繼續擴大;或入侵者已被嚴密監控,在不危害內部網路
安全的前提下,得適度允許入侵者存取動作,以利追查入侵者
。
3.當防護網被突破時,系統應切斷入侵者的連接;或為達到追查
入侵者的目的,可考慮讓入侵者做有條件的連接,一旦入侵者
危害到內部網路安全,則必須立即切斷入侵者的連接。
4.對入侵者的追查,除利用稽核檔案提供的資料外,得使用系統
指令執行反向查詢,並聯合相關單位追蹤入侵者。
5.入侵者之行為若觸犯法律規定,構成犯罪事實,應立即通知檢
警單位,請其處理入侵者之犯罪事實調查。
(八)設備安全管理
1.設備安置地點之防護:
(1)重要資訊設備應安置在適當的地點並予保護,以減少環境不
安全引發的危險及未經授權存取系統的機會。
(2)應定期檢查及評估電力供應、火災、水災、地震、灰塵、煙
、化學效應、電磁幅射等可能的風險。
(3)電腦作業區應禁止抽煙及飲用食物。
2.電源供應:
(1)資訊設備之設置,應防止斷電或其他電力不正常導致的傷害
;電源供應依據製造廠商提供的規格設置,並定期進行檢測
。
(2)重要資訊設備應考量安置預備電源,及使用不斷電系統。
(3)應謹慎使用電源延長線,以免電力無法負荷,導致火災等危
害安全情事。
3.設備維護:
(1)資訊設備應妥善維護,以確保設備的完整性及可以持續使用
。
(2)資訊設備維護作業僅能由經授權的維護人員執行,並應將維
護情形予以記錄。
4.設備報廢處理之安全措施:
含有儲存媒體的設備(例如硬碟),應在報廢處理前詳加檢查
,以確保任何機密性、敏感性的資料及有著作權的軟體已經被
移除。
5.資訊設備誤用之防止:
(1)資訊設備如有業務目的以外的使用,或是超出授權目的以外
的使用需求,應經權責主管人員的核准。
(2)如發現資訊設備有不當使用情形,應作適當的紀律處理。
(九)實體環境安全管理
1.一般辦公環境之安全保護:
(1)實體環境的安全保護,應以事前劃定的各項資訊設施為基礎
,並設置必要的障礙(例如:使用身分識別卡之安全門),
達成安全控管的目的。
(2)每項資訊設備的實體保護程度,以及實體障礙設置的位置,
應依資訊資產及服務系統的價值及安全的風險決定。
(3)電腦設備、資料或軟體,在沒有管理人員書面授權的情形下
,不應被帶離辦公室。
2.電腦機房之安全管理:
(1)電腦機房應考量火災、水災、地震等災害的實體安全防護措
施,並考量鄰近空間的可能安全威脅。
(2)危險性及易燃性的物品,應存放在遠離電腦機房的安全地點
。非有必要,電腦相關文具設備不應存放在電腦機房內。
(3)備援作業用的設備及備援媒體,應存放在安全距離以外的地
點,以免資訊電腦機房受到損害時也一併受到毀損。
(4)人員進入電腦機房應予適當的管制,並記錄進出時間;人員
只有在特定的目的或是被授權情形下,才能進入電腦機房。
(5)應安裝適當的安全偵測及防制設備,例如熱度及煙霧偵測設
備,火災警報設備、滅火設備及火災逃生設備;各項安全設
備應依廠商的使用說明書定期檢查。
(6)應建置機房火警、空調、溫溼度、電源供應等警示自動通報
系統,全天候掌控機房運作情況,以確保機房設施安全。
3.辦公桌面之安全管理:
(1)個人電腦及電腦終端機不再使用時,應關機、上鎖或以其他
控制措施保護。
(2)個人電腦嚴禁使用未經授權及來路不明之軟硬體。
(3)列印之文件及磁性媒體在不使用或非上班時段,應存放在櫃
子內,機密性及敏感性資訊並應上鎖保護。
(十)業務永續運作計畫管理
1.為因應各種人為及天然災害造成業務運作受影響,須確實做好
各項備份工作。
2.各單位應依業務性質研擬緊急應變計畫,使各項業務得以永續
運作。
3.緊急應變計畫,應考量下列事項:
(1)應建立緊急時段、過渡時期及回復時期之作業程序,使業務
得以順利銜接不致中斷。
(2)應就緊急應變程序及作業流程,進行相關員工教育及訓練。
(3)應定期測試及更新緊急應變計畫,以確保計畫持續有效。
4.各項業務緊急應變計畫,應指定適當的單位或人員負責。
5.資訊安全事件之通報及處理程序
(1)本局同仁遇有任何資訊安全之可疑情形,應即向救災救護指
揮中心資訊人員(分機六九七三)反映。
(2)資訊人員於接獲資訊安全之反映後,應即派員至現場查看,
若可當場處理即予解決,否則應即判斷問題之嚴重程度,向
主管反映,並同時協調相關之人員、廠商等,解決問題。
6.發現資訊安全事件時之處理
(1)立即停止使用電腦,並保留當時之電腦現況(主機、螢幕、
印表機等),不要關機。
(2)記下日期、時間、地點、單位、螢幕之訊息等,通報資訊人
員。
|
六、組織職掌及分工
以常態任務編組方式設「資訊安全處理小組」,置召集人、執行秘書
各一人,執行委員二人,工作小組若干人,辦理本局資訊安全預防及
危機處理相關事項。
(一)由本局副局長或主任秘書擔任「資訊安全處理小組」召集人,負
責推動、協調及督導下列資訊安全管理事項:
1.資訊安全政策之核定、核轉及督導。
2.資訊安全責任之分配及協調。
3.資訊資產保護事項之監督。
4.資訊安全事件之檢討及監督。
5.其他資訊安全事項之核定。
(二)由本局救災救護指揮中心主任擔任「資訊安全處理小組」執行秘
書,負責規劃本局危機處理程序、查明危機事件原因、確定影響
範圍並作損失評估、執行緊急應變措施、辦理危機通報、執行解
決辦法等有關資訊安全政策、計畫及技術規範之研議、建置及評
估事項暨資訊安全相關會議之幕僚作業事項。
(三)由本局政風室主任擔任「資訊安全處理小組」執行委員,負責督
導資訊機密維護,稽核使用管理及資訊作業資料銷毀等保密安全
事宜,並依本局「公務機密維護檢查計畫」實施。
(四)由本局人事室主任擔任「資訊安全處理小組」執行委員,負責督
導有關人員進用之安全評估等事項。
(五)由本局各單位負責追蹤管制電腦資料處理過程、安全需求研議、
使用管理及防止資料外洩等資訊安全事項,同時指派熟悉資訊作
業流程同仁一人或財產管理人員擔任資訊安全聯絡人,辦理各自
單位資訊安全稽核聯絡事項。
|
七、資訊安全事故緊急處理機制
(一)資訊安全事故區分為下列四級:
1.「四級」:符合下列任一情形者,屬四級事件:
(1)國家機密資料遭洩漏。
(2)國家重要資訊基礎建設系統或資料遭竄改。
(3)國家重要資訊基礎建設運作遭影響或系統停頓,無法於可容
忍中斷時間內回復正常運作。
2.「三級」:符合下列任一情形者,屬三級事件:
(1)密級或敏感公務資料遭洩漏。
(2)核心業務系統或資料遭嚴重竄改。
(3)核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內
回復正常運作。
3.「二級」:符合下列任一情形者,屬二級事件:
(1)非屬密級或敏感之核心業務資料遭洩漏。
(2)核心業務系統或資料遭輕微竄改。
(3)核心業務運作遭影響或系統效率降低,於可容忍中斷時間內
回復正常運作。
4.「一級」:符合下列任一情形者,屬一級事件:
(1)非核心業務資料遭洩漏。
(2)非核心業務系統或資料遭竄改。
(3)非核心業務運作遭影響或短暫停頓。
(二)本局所有同仁均負資訊安全事故通報之責任,狀況發生時先通知
救災救護指揮中心資訊人員,經判斷確為資訊安全事故,可即時
因應或處理者則先予處置;倘無法解決時,則判定事故等級,同
時至國家資通安全通報應變網站(https://www.ncert.nat.gov.
tw)通報登錄。茲就各項安全等級說明處理程序如下:
1.資訊安全事故屬「四級」者:須於一小時內,至國家資通安全
通報應變網站(https://www.ncert.nat.gov.tw)通報登錄資
安事件細節、影響等級及支援申請等資訊並於三十六小時內復
原或完成損害管制。
2.資訊安全事故屬「三級」者:須於一小時內,至國家資通安全
通報應變網站(https://www.ncert.nat.gov.tw)通報登錄資
安事件細節、影響等級及支援申請等資訊並於三十六小時內復
原或完成損害管制。
3.資訊安全事故屬「二級」者:須於一小時內,至國家資通安全
通報應變網站(https://www.ncert.nat.gov.tw)通報登錄資
安事件細節、影響等級及支援申請等資訊並於七十二小時內復
原或完成損害管制。
4.資訊安全事故屬「一級」者:須於一小時內,至國家資通安全
通報應變網站(https://www.ncert.nat.gov.tw)通報登錄資
安事件細節、影響等級及支援申請等資訊並於七十二小時內復
原或完成損害管制。
|
八、評估與修正
本要點如有未盡事宜得由「資訊安全處理小組」隨時召開資訊安全會
議,辦理本局資訊作業安全事項重行評估與修正事宜,以反映相關法
令、資訊技術及本局業務發展現況,俾使本要點切實符合安全需求。
|
九、訓練與宣導
本要點公布於本局內部網路供同仁上網下載查閱,另每年度利用全局
同仁資訊教育訓練時,辦理擴大宣導說明本局資訊安全政策。
|
十、附則
其他未盡事項依「行政院及所屬各機關資訊安全管理要點」、「行政
院及所屬各機關資訊安全管理規範」及相關規定辦理。
|