交通部公路總局公路人員訓練所南部訓練中心資訊安全管理作業規範
中華民國93年5月6日修訂
中華民國93年5月20日修訂
中華民國93年12月14日修訂
中華民國95年4月21日修訂
一、依據:行政院暨所屬各機關資訊安全管理規範暨本中心九十二年南訓政字第0920001156號函:九十二年度「資訊安全管理」稽核計畫辦理。
二、目的:為確保本中心業務電腦資訊資料、系統、設備及網路安全,避免因人為疏失、蓄意破壞、資通危機事件或自然災害等風險,遭致資訊資產不當使用、洩漏、竄改、破壞等情事,而影響電腦作業系統正常運轉,特訂頒本作業規範。
三、資訊安全小組
1.由本中心副所擔任資訊安全長,各課室主管擔任委員,政風室、資訊人員為執行秘書,共同組成資訊安全小組,負責規劃、推動、協調及稽核資訊安全管理事項、處理資通安全危機事件。
2.召開資訊安全會議
資訊安全會議由安全長主持,核定各項資訊安全事項、宣達新資訊安全政策、檢討矯正預防措施、資通安全危機事件應變及依本作業規範相關人員之獎懲事項。
3.資訊安全分工原則
(1)資訊安全相關政策、計畫、措施及技術規範之研議,以及安全技術之研究、建置及評估相關事項,由資訊安全小組負責辦理。
(2)資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務單位(使用單位)負責辦理。
(3)資訊機密維護及資訊安全管理稽核事項(如附件),由政風室會同資訊暨相關人員採不定期抽查方式辦理。
4.資通安全通報流程(如附件)。
5.資訊安全警示通知(如附件)
為有效遏止機關內部資訊安全事件發生,加強資安防護能力並防患於未然,有關資訊安全事件,將發出「資訊安全警示通知單」限期各電腦系統使用人員辦理改善。
四、電腦系統及實體環境安全管理
1、電腦設備安全管理
(1)電腦設備非因故障、更新等維護不得擅自變更、拆裝,亦不得擅自變更電腦作業系統。
(2)定期維護保養,確保設備的完整性及可以持續使用。
(3)相關電腦設備、資料或軟體,不得攜離辦公處所。
(4)未報經主管同意,不得將私人資訊設備(軟、硬體)任意攜入辦公場所,或擅自安裝使用。
(5)電腦由課室主管指定管理人員或由使用人負責管理,並負責設備週邊清潔工作。
(6)電腦非經課室主管或管理人員、使用人員同意,不得擅自使用。
(7)嚴禁於電腦作業區內飲用食物。
2、電源供應系統的管理
(1)相關電腦設備之電源使用應依據製造廠商提供規格設置、並須防止斷電或電力不正常導致的傷害。
(2)緊急供電系統暨不斷電系統應由專人負責管理,並定期維護保養及測試。
(3)謹慎使用電腦延長線,避免電力無法負荷導致火災等危害安全事情。
(4)電腦專用電源除電腦相關設備外,其他任何電器均不得使用。
3、電腦系統安全管理
(1)電腦及相關設備不使用時,應關閉結束作業或設定螢幕保護密碼等控制措施保護。
(2)嚴禁安裝或下載未經授權使用或來路不明之軟體。
(3)電腦系統之密碼,應定期予以更換,密碼需包含大小寫、符號及數字等。
(4)業務資料應定期執行備份,以確保資料的安全、回復。
(5)作業系統應隨時更新修正檔以修補系統漏洞;防毒軟體應隨時更新病毒碼或防毒元件。
4、其它安全管理
(1)應定期或不定期對員工進行資訊安全教育及訓練(含一般機密保護規定),促使員工瞭解資訊安全的重要性,各種可能的安全風
險,以提高員工資訊安全意識,促其遵守資訊安全規定。
(2)資訊管理人員應與外部的資訊安全專家或顧問加強協調聯繫,相互合作,分享經驗,以評估機關可能面臨的資訊安全威脅,據
以研擬及推動資訊安全實務措施。
(3)資訊管理人員應與相關的機關、執法機關、資訊服務提供者及通信機構等,建立及維持適當的互動管道,以便在發生資訊安全
事件時,能迅速獲得外部的資源協助,即時解決相關問題。
(4)電腦室(機房)實施門禁安全控管,並登載於電腦室(機房)進出登記表(如附件)。
(5)嚴禁上班或勤務時間使用公務網路,上網發表個人政治立場言論。
五、資料安全管理
(一)電腦媒體之安全管理
1、可攜帶及移動的電腦媒體(如磁帶、磁碟及電腦輸出報告等),嚴禁帶離辦公場所。
2、電腦媒體外部避免標示儲存的資料內容或用途,以免被輕易地辨識。
3、可重複使用的資料儲存媒體,不再繼續使用時,應將儲存的內容消除;不再使用之重要媒體,應予銷毀。
4、儲存媒體應依製造廠商提供的保存規格,存放在安全的環境。
5、重要儲存媒體實體應做異地存放。
6、資料之安全、使用管理及保護等事項,由業務單位(使用單位)負責辦理。
7、本中心各項業務系統,由各課室主管指定管理人員。準備適當及足夠的備援設施,定期執行必要的資料及軟體備份與備援作
業(如附件),以便發生災害或是儲存媒體失效時,可迅速回復正常作業。
(二)機密性及敏感性資料之安全管理
1、機密性及敏感性資料之處理,需依相關法規辦理。
2、機密性及敏感性資料,避免以電子方式傳輸。
3、機密性及敏感性資料,以電子方式儲存時,應存於安全性及穩定性較高之主機及週邊設備。
4、機密性及敏感性資料,逾保存年限,應由業務單位簽辦,並表列銷毀報表名稱、使用起迄時間,會同政風單位共同銷毀。
5、日常經辦機密性或敏感性之資料(含公文、空白證照、表報、影印資料、磁片、光碟片等)下班後應妥善收存。
6、棄之手寫或影印公文廢紙、表報等資料應隨即銷毀處理,不得任意棄置。
7、儲存機密性及敏感性資料的電腦媒體,當不再繼續使用時,應予以銷毀(鐃毀、碎紙處理、將資料從媒體中完全清除等)。
8、資料檔案的重要性及保存期限由業務單位(使用單位)負責辦理。
六、網路安全管理
1、專人管理網路系統,維持網路系統正常運作,並設置防火牆、資訊安全防護等設備,以防止非法入侵破壞網路。
2、網路系統管理人員應負責製發帳號,提供取得授權人員使用。
3、網路系統管理人員應負責監督網路資料使用情形,檢查有無違反資訊安全規定之事件發生。
4、員工不得將自己的登入身分識別與登入網路的密碼交付他人使用。
5、員工不得以任何方法竊取他人登入網路的身份識別與網路通行碼。
6、員工不得以任何手段蓄意干擾或妨害網路系統的正常運作或以任何儀器設備或軟體工具竊聽網路上的通訊。
7、員工利用網路使用任何電腦資源,均需恪遵被授權的權限,並應主動了解網路安全規定相關規定,並確實瞭解其應負的責任,以免
發生違反網路安全情事,遭致懲處。
8、員工不得在網路上散播色情文字、圖片、影像、聲音等不法或不當的資訊。
9、員工不得經由網際網路任意下載軟體或未經同意下載、轉載網頁資料以免侵犯智慧財產權或誤觸法律。
七、電子郵件之安全管理
1、非本中心員工不得申請政府網際服務網(GSN)電子郵件帳號。
2.郵件信箱密碼需不定期更換,密碼需包含大小寫、符號及數字等。
3、員工不得利用電子郵件騷擾他人、發送匿名信或偽造他人名義發送電子郵件。
4、敏感性資料經加密作業處理得以電子郵件傳送;密等以上公文及資料,不得以電子郵件傳送。
5、來路不明的電子郵件,不宜隨意打開,以免啟動惡意執行檔(病毒檔),使網路系統遭到破壞。
6、各業務單位之課室信箱應由專人負責每日定時收送電子郵件並適當處理。
八、資訊資產之安全管理
1、建立資訊系統有關資訊資產目錄(如附件),明列資訊資產的項目、管理(負責)人;遇有變更應詳細記載。
2.個人電腦之各項備配應記載於設備明細表(如附件),並應定期檢核各項設備是否正確。
3、軟體購置與使用依本中心軟體購置與使用規定辦法(如附件)。
4、資訊資產實體設備故障應通知資訊資產管理人,並由使用單位依規定提出請修申請。
4、資訊資產實體設備報廢,由財產管理人員依規定辦理。
九、委外作業之安全管理
1、資訊業務委外時,應於事前審慎評估可能的潛在安全風險,並與廠商簽定適當的資訊安全協定及相關的安全管理責任,並納入契約
條款。
2、委外作業承包之工作人員,如需進入相關系統作業,應協同該電腦管理人員與資訊人員。
3、系統委外開發,承包商應提供系統建置(含規格及軟體程式)之完整、詳細說明文件。
4、資訊支援或維護服務須由資訊人員或電腦管理員陪同或授權。
5、資訊安全人力、能力及經驗,如有不足之處,得委請外界的學者專家或民間專業組織及團體,提供資訊安全顧問諮詢服務。
6、對委請資訊安全顧問,或負責資訊安全之人員,各單位及人員應予必要的協助及支援。
7、委外建置電腦系統,沒有規定版權為本局所有者,應追究相關人員責任;委外開發系統應整考量,以符合全局相關單位使用,不宜
個別建置,以免浪費資源。
十、違反本規範,除由單位主管督促改善外,並列入年終考成之重要參據,如有行政疏失,移請考成會追究行政責任,另涉及違法情事則依各相關規定辦理。
十一、本規範如有未盡事宜,得隨時修正。
十二、本規範自奉准後實施。
資訊安全小組
資訊安全會議:
會議由安全長主持,核定各項資訊安全事項、宣達新資訊安全政策、檢討矯正預防措施、資通安全危機事件應變及依本作業規範相關人員之獎懲事項。
資訊安全分工原則:
(1)資訊安全相關政策、計畫、措施及技術規範之研議,以及安全技術之研究、建置及評估相關事項,由資訊安全小組負責辦理。
(2)資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務單位(使用單位)負責辦理。
(3)資訊機密維護及資訊安全管理稽核事項,由政風室會同資訊暨相關人員採不定期抽查方式辦理。
