壹、依據:
一、行政院所屬機關電腦設備安全暨資訊機密維護準則
二、財政部暨所屬機關資訊作業安全維護實施要點
三、本處電腦設備安全暨資訊機密維護實際需要
|
貳、目的:
為維護本處及各分處稅務業務資訊作業機密暨電腦與週邊設施安全,
特訂定本要點。
|
參、適用範圍:
本處電子作業科暨各分處電腦室、各使用電腦之業務單位、人員。
|
肆、實施要點:
一、人員管理:
(一)電子作業科應置工作日記簿,由管理人員逐日記載電腦運作紀錄
、設備故障、異常及保養維修等情形及其他必須登錄事項,並定
期陳閱。
(二)電子作業科(室)之主機房及操作室應嚴禁吸菸、餐飲或貯放其
他雜物、私人物品及易燃易爆物品。
(三)電子作業科(室)工作人員不得私自引導非工作人員參觀、逗留
或夜間留宿。
(四)電子作業科應定期或不定期辦理進修訓練,除電腦專業課程外,
並應增加資訊保密及安全維護等相關常識。
二、機房管理:
(一)電子作業科(室)電腦機房及各電腦設備應由指定專責人員管理
,並實施門禁管制與加強安全維護措施。
(二)電子作業科(室)機房內各項電腦設備應建立標準操作手冊,操
作人員確依手冊相關規定作業,其他人員未經許可不得擅自操作
。
(三)非主機房管理操作人員不得進入主機房,其因公必須進入時,應
由管理操作人員陪同,並嚴守主機房之各項安全管制規定。
三、門禁管制與設施安全防護:
(一)電子作業科(室)應設置人員進出登記簿,責由專人登記、管制
以備查考,並定期陳請主管科長核閱。
(二)除下列人員外,非經主管科長核可,不得進入電子作業操作室:
1.處長、副處長、主任秘書及上級機關視察或輔導人員。
2.電子作業科工作人員,各端末機操作及收發傳遞資料人員、行
政管理檔案人員。
3.政風室安全防護人員。
4.各科、室、分處主管或經主管派遣洽商公務人員。
5.經特約報准之電腦、水電、空調保養修護人員。
6.臺電、電信機構之檢修人員。
7.其他與本處電子作業科業務有關機構人員。
前項各款人員出入時間,均須記載於登記簿;第5.至7.款,須
經查證其確實身份及事由後,方准進入操作室及機房。
(三)處電子作業操作室以拒絕參觀會客為原則,但因特殊情況必須受
理時,應依下列規定辦理:
1.機關團體須提出正式公文,由主辦單位簽會電子作業科、政風
室,陳報處長核准,參觀人員不得進入主機房。
2.參觀、會客、洽公人員,如由處長或副處長親自告知並指派之
人員陪同,得不辦理申請手續,惟應列入登記簿。
3.上級機關或與本處事務相關之機關長官貴賓,因業務需要,至
電子作業科巡視洽公時,電子作業科主管經確認其身份後,得
先行引導進入,同時迅速報知處長。
(四)值日人員於午間休息或下班時間,對電腦機房所在地,應不定時
巡察,以防不法份子潛入破壞竊取資料,若發現行跡可疑者,由
即通知政風室會同處理。
(五)電腦及週邊設備遇有保養維修業務人員工作時,管理人員或其代
理人應在場協助督察,確實遵守各項設備安全規定,並預防機密
資料被拷貝而洩漏。
(六)電腦及週邊設備所在位置,應針對空間特性採必要之防護措施;
對滲水、漏水、颱風、地震等天然災害適採防範對策;對破壞、
竊盜、縱火等人為損害,加強硬體阻隔設施與門禁管制。
(七)電子作業室內應於明顯地點設置滅火器、自動檢煙器、警報系統
及其他消防裝備,並做好各項防護措施。
四、輸出入作業與資訊檔案管制:
(一)各項資料輸出入作業自原始資料室建檔,及其執行人姓名、職稱
應有詳細紀錄,並由專人管理。資料建檔後之異動、刪除、使用
情形等,並應紀錄。
(二)資訊檔案中之資料,其變更、註銷或查詢均應將更正、註銷內容
、查詢鍵項、作業人員代碼及時間詳實紀錄。
(三)對建檔資料於異常時段查詢、多量重複查詢、非主辦業務查詢等
情形,應有特別之紀錄,主管人員應視實際情況採取適當稽核。
(四)重要或具機密性資料應由專責人員自行錄製建檔,但情形特殊無
法自行處理者,需要核准後,始得委託其他機關或資訊服務廠商
處理,並應責由被委託單位保密具結並派員從旁輔助與監督之。
(五)各項資料之輸出入,均應建立識別證、通行碼之管理制度;重要
或具機密性資料建檔時,應加設資料存取控制。前項通行碼應視
需要經常更新。
五、系統與程式管制:
(一)應用系統規劃應由電子作業科及業務單位共同參與,資訊作業稽
核人員負責監督並提供有關應納入設計之管制事項。
(二)應用系統正式執行作業前,應完成系統文書及操作文書之編製,
經有關主管人員審核,交系統管理人員嚴密管制,以辦理程式進
館。
(三)應用程式之製作,應建立審核程序,於程式設計完成時,由非原
程式設計人審核。核定使用之程式不得擅自變更,其變更必要時
,應依程序報經核准,並作成紀錄備查:本項程式設計完成後,
參與人員應簽名列冊,妥為保管。
(四)應用程式彙集之程式館,應指派程式館管理人員負責程式之進館
、出館、存放等管制作業,並將管制情形作成紀錄留存備查。
(五)系統維護人員應與程式館管理人員相互配合,定期或不定期檢視
程式館內維護之程式名稱及建立時間等,如有異常情形,應即查
明原因,報請主管人員處理。
六、連線作業端末機管理:
(一)使用終端機與其他機關主機連線作業者,應報請權責單位核准後
,給予相關編號列入管制,並於系統中限制其可運作之範圍。
(二)本機關作業系統中各終端機使用者之識別碼及通行碼應依實際業
務限制使用範圍,並嚴禁告知他人;其有變更密碼之需者應立即
變更,凡因密碼被知悉冒用,卻消極未主動加以防制,致造成不
良後果者,應追究其相關責任。
(三)終端機或電腦設備遇有故障異常情形,應先以電話連繫簽約電腦
維修廠商進行檢修,並將異常、維修情形填載於「電腦設備故障
維修紀錄表」乙式二聯,乙聯自行存查。另乙聯於每月一日前送
交電子作業科備查。
(四)各電腦終端機使用人,應善盡日常保養、管理責任;操作中因事
離機時,應確實完全退出作業系統,以落實資訊保密與避免被盜
用。
七、備援作業與管理:
(一)資訊檔案需長期保存或屬重要檔案,均應實施備援作業並確保其
原有品質,且定期運轉試讀或抄錄。
(二)輸入電腦處理之原始資料,其移送單位應留存相同之拷貝資料乙
份,以供備援之用;資料經登錄後,亦應拷貝二套,乙套供作業
使用,乙套則留為備援之用。
(三)原始或目的程式均應定期複製乙套,存放專室(專櫃)並異地儲
存;各資訊檔案備援媒體與原產出之檔案亦應異地儲存。
(四)各項電子作業人員,應確實建立代理人登記制度,詳列名冊,以
提供緊急支援調派之依據。
八、災變處理與作業回復:
(一)各單位資訊作業遇有災變事故時,應即指派人員處理搶救事宜,
並將受災損失情形及擬議成立之應變作業執行小組名單,簽報處
長核定。
(二)應變作業執行小組經核派後,應盡速訂定應變回復計畫與回復進
度表切實執行,以最短期限回復正常作業為目標。
(三)應變作業完成後,應變作業執行小組應會同政風室深入檢討災變
原因、災變搶救、應變作業處理情形等研擬具體改善建議簽報處
長,另對災變處理、回復作業有功人員亦應簽請獎勵。
(四)為確保具有應付災變能力,電子作業科每年應模擬災變回復作業
,並列入工作計畫列管實施,作成記錄備查。
九、保密作業管理:
(一)電子作業科(室)工作人員,不得對外直接受理查詢資料業務。
(二)電腦密碼代號保密,依下列規定辦理:
1.電腦全部識別碼代號,必須由電子作業科安全管制人員每半年
產出一式三份,一份逕陳處長;一份存政風室備查;一份由電
子作業科安全管制人員密存。
2.各單位人員因業務需要申請使用電腦線上作業,於領受通行密
碼時,由電子作業科安全管制人員個別以密件發函交付,作業
人員接獲後,應立即變更通行碼。
3.電子作業人員領受作業系統後,應立即自動設定密碼,作業人
員就職到任應出具保密切結書一式兩份,一份由電子作業科主
管保存,一份送交政風室備查。
(三)電腦檔案有關納稅義務人之個人、財產與納稅資料或其他具機密
性報表,應依有關規定區分機密等級,並採保密措施。
十、督導考核:
(一)資訊作業內部稽核小組各稽核人員,應依稽核計畫按月查核,並
將稽核情形及建議改進事項詳載於稽核工作底稿,簽會電子作業
科研擬改善措施。
(二)由電子作業科、政風室派員負責辦理電腦資訊防護稽核制度,不
定期實施抽檢登錄資料及機房維護,並將辦理抽檢結果陳處長核
閱。
(三)本處各分處主任及相關單位主管,對電腦設備之使用與本要點之
實施,應就其權責範圍負監督之責。
十一、本要點提經本處處務會議討論通過後實施。修正時亦同。
|