壹、目的
|
一、南投縣政府(以下簡稱本府)為強化本府資訊安全管理,建立安全可
信賴之電子化政府,確保資料、系統、設備及網路安全,保障民眾權
益,特訂定本要點。
|
貳、通則
|
二、本要點所稱各單位,係指縣長辦公室、副縣長辦公室、秘書長辦公室
、參議及秘書辦公室、採購中心及依本府組織自治條例第五至八條設
置之處。
|
三、各單位應依有關法令,考量施政目標,進行資訊安全風險評估,確定
各項資訊作業安全需求水準,採行適當及充足之資訊安全措施,確保
各單位資訊蒐集、處理、傳送、儲存及流通之安全。
|
四、本要點所稱適當及充足之資訊安全措施,應綜合考量各項資訊資產之
重要性及價值,以及因人為疏失、蓄意或自然災害等風險,致單位資
訊資產遭不當使用、洩漏、竄改、破壞等情事,影響及危害單位業務
之程度,採行與資訊資產價值相稱及具成本效益之管理、作業及技術
等安全措施。
|
五、本要點所稱資訊安全政策,指單位為達成資訊安全目標訂定之資訊安
全管理作業規定、措施、標準、規範及行為準則等。
|
參、資訊安全政策擬訂
|
六、各單位應依實際業務需求,訂定單位資訊安全政策,並以書面、電子
或其他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠
商共同遵行。
|
七、各單位訂定之資訊安全政策,應適時評估,以反映政府法令、技術及
業務等最新發展現況,確保資訊安全實務作業之有效性。
|
肆、組織及權責
|
八、本府應設置資通安全處理小組,統籌本府資訊安全政策、計畫及資源
調度等事項之協調與研議。
|
九、本府資訊安全相關政策、計畫、措施及技術規範之研議與資訊安全技
術之研究、建置及評估相關事項,由本府計畫處負責辦理。
|
十、資料及資訊系統安全需求之研議、使用管理及保護等事項,由各業務
單位負責辦理。
|
十一、資訊機密維護及稽核使用管理事項由本府政風處主管,並進行定期
或不定期之資訊安全稽核。
|
十二、各單位應視資訊安全管理需要,指定適當人員負責辦理資訊安全相
關事宜。
|
十三、引進及啟用軟體、硬體、通信及管理措施等新資訊科技,應於事前
進行安全評估,瞭解新資訊科技之安全保護措施及水準,並依行政
程序經主權人員核准,始得引用,以免影響既有的資訊安全措施。
|
伍、人員管理及資訊安全教育訓練
|
十四、各單位對資訊相關職務及工作,應進行安全評估,並於人員進用、
工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
|
十五、各單位應針對管理、業務及資訊等不同工作類別之需求,定期或不
定期辦理或配合本府計畫處進行資訊安全教育訓練及宣導,建立員
工資訊安全認知,提升單位資訊安全水準。
|
十六、各單位應加強或配合本府計畫處進行資訊安全管理人力之培訓,提
升資訊安全管理能力。各單位資訊安全人力或經驗如有不足,得洽
請學者專家或專業單位(構)提供顧問諮詢服務。
|
十七、各單位負責重要資訊系統之管理、維護、設計及操作之人員,應妥
適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立
人力備援制度。
|
十八、各單位主管及各級業務主管人員,應負責督導所屬員工之資訊作業
安全,防範不法及不當行為。
|
陸、電腦系統安全管理
|
十九、各單位應依相關法規或契約規定,複製及使用軟體,並建立軟體使
用管理制度。
|
二十、各單位應採行必要的事前預防及保護措施,偵測及防制電腦病毒及
其他惡意軟體,確保系統正常運作。
|
柒、網路安全管理
|
二十一、各單位利用公眾網路傳送資訊或進行交易處理,應評估可能之安
全風險,確定資料傳輸具完整性、機密性、身分鑑別及不可否認
性等安全需求,研擬妥適的安全控管措施。
|
二十二、各單位開放外界連線作業之資訊系統,應視資料及系統之重要性
及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏
洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、
破壞、竄改、刪除及未經授權之存取。
|
二十三、各單位與外界網路連接之網點,應以防火牆及其他必要安全設施
,控管外界與單位內部網路之資料傳輸與資源存取。
|
二十四、各單位開放外界連線作業之資訊系統,必要時得以代理伺服器等
方式提供外界存取資料,避免外界直接進入資訊系統或資料庫存
取資料。
|
二十五、各單位利用網際網路及全球資訊網公布及流通資訊,應實施資料
安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資
料及文件,不得上網公布。
|
二十六、各單位自己建置或維護之網站如存有個人資料及檔案者,應加強
安全保護措施,防止個人隱私資料遭不當或不法之竊取使用。
|
二十七、各單位網路使用者應遵循南投縣政府網路使用規範,並確實瞭解
其應負之責任;如有違反網路安全情事,應依資訊安全規定,限
制或撤消其網路資源存取權利,並依紀律規定及相關法規處理。
|
二十八、電子郵件使用之安全管理,應依南投縣政府使用電子郵件作業規
定辦理;機密性資料及文件,不得以電子郵件或其他電子方式傳
送。
|
二十九、機密性資料以外之敏感性資料及文件,如有電子傳送之需要,各
單位應視需要以適當的加密或電子簽章等安全技術處理。
|
三十、各單位採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之
政府資訊安全規範,研提資訊安全需求,並列入採購規格。
|
捌、系統存取控制
|
三十一、各單位使用之資訊系統應訂定相關作業手冊,以確保員工正確及
安全地操作使用。
|
三十二、各單位應依資訊安全政策,賦予各級人員必要的系統存取權限;
單位員工之系統存取權限,應以執行法定任務所必要者為限。對
被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特
定人員,應經審慎之授權評估。
|
三十三、對離(休)職人員,應立即取消使用單位內各項資訊資源之所有
權限,並列入單位人員離(休)職之必要手續。單位人員職務調
整及調動,應依系統存取授權規定,限期調整其權限。
|
三十四、各單位如有其權責業務之資訊系統,應依各單位業務之特性,建
立系統使用者註冊管理制度,加強使用者通行密碼管理,並要求
使用者定期更新;使用者通行密碼之更新周期,由單位視作業系
統及安全管理需求決定,最長以不超過六個月為原則。
|
三十五、對單位內外擁有系統存取特別權限之人員,應建立使用人員名冊
,加強安全控管,並縮短密碼更新周期。
|
三十六、開放外界連線作業,應事前簽訂契約或協定,明定其應遵守之資
訊安全規定、標準、程序及應負之責任。
|
三十七、對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控
管,並建立人員名冊,課其相關安全保密責任。
|
三十八、重要資料委外建檔,不論在單位內外執行,均應採取適當及足夠
之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備
份等情形發生。
|
三十九、單位如有其權責業務之資訊系統,得依各單位業務之特性及視資
訊安全管理需要,建立資訊安全稽核制度,定期或不定期辦理或
配合有關單位進行資訊安全稽核作業;系統中之稽核紀錄檔案,
應禁止任意刪除及修改。
|
玖、系統發展及維護安全管理
|
四十、自行開發或委外發展系統,應在系統生命週期之初始階段,即將資
訊安全需求納入考量訂定相關之作業手冊,以確保人員正確之操作
及使用。
|
四十一、各單位辦理資訊業務委外作業,應於事前研提資訊安全需求,明
訂廠商之資訊安全責任及保密規定並列入契約,要求廠商遵守。
|
四十二、各單位資訊系統應將正式作業環境及測試環境獨立分開,建立完
整適當之變更控制程序,並嚴格執行,以降低可能的安全風險。
|
四十三、各單位對系統變更作業,應建立控管制度,並建立紀錄,以備查
考。
|
四十四、各類程式版本之更換,應訂定作業程序,據以辦理;核定使用之
程式,不得擅自變更,如有變更之必要時,應獲得權責主管人員
核准使得為之。
|
四十五、對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之
系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。
|
四十六、委託廠商建置及維護重要之軟硬體設施,應在單位相關人員監督
及陪同下始得為之。
|
壹拾、資訊資產之安全管理
|
四十七、資訊資產應包括以下項目:
(一)資訊紀錄:資料庫及資料檔案、系統文件、使用者手冊、訓
練教材、作業性及支援程序、業務永續運作計畫、預備作業
計畫、合約等。
(二)軟體資產:套裝軟體、應用軟體、系統軟體、發展工具及公
用程式等。
(三)實體資產:電腦、通訊及儲存設備、磁性媒體等。
(四)技術服務資產:不斷電系統、發電機、空調設備、門禁設備
、消防設施等。
|
四十八、資訊系統應建立資訊資產目錄,並建立各項目之管理人員名冊。
|
壹拾壹、實體及環境安全管理
|
四十九、資訊系統相關設備應置於適當地點並予以保護,以降低因環境不
安全引發之危險及避免未經授權之存取發生。
|
五十、重要資訊系統相關設備應建立維護制度,以確保設備之完整性及續
用性。資訊主機系統應安裝不斷電設備,並得設置預備電源。
|
五十一、個人電腦及終端機使用者離座或不再使用時,應予上鎖、離線、
設定密碼或其他控制措施。
|
五十二、資訊相關設備、資料或軟體,禁止帶離辦公室。但經單位主管許
可者,不在此限。
|
壹拾貳、業務永續運作之規劃
|
五十三、各單位如有其權責業務之資訊系統,應依各單位業務之特性,訂
定業務永續運作計畫,評估各種人為及天然災害對單位正常業務
運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,
並定期演練及調整更新計畫。
|
五十四、各單位於資訊系統發生重大資通安全事件或其他災害涉及資通安
全事件時,應立即依南投縣政府資通安全緊急應變計畫暨作業處
理程序辦理。
|
五十五、各單位應建立資訊安全事件緊急處理機制,在發生資訊安全事件
時,應依規定之處理程序先行處理。
|
五十六、各單位應依各單位業務之特性及相關法規,訂定及區分資料安全
等級,並依不同安全等級,採取適當及充足之資訊安全措施。
|
壹拾參、附則
|
五十七、本要點未盡事宜,依行政院及所屬各機關資訊安全管理要點及其
他相關法令規定辦理。
|