您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態

臺中市政府主管法規共用系統

列印時間:113.11.24 14:39

法規內容

法規名稱: 臺中市政府建設局及所屬機關電腦設備安全及資訊機密維護作業要點
公發布日: 民國 101 年 06 月 04 日
修正日期: 民國 108 年 07 月 19 日
發文字號: 中市建政字第1080031517號 函
法規體系: 臺中市法規/建設類/行政規則
圖表附件:
法規功能按鈕區
一、臺中市政府建設局(以下簡稱本局)及所屬機關為確保電腦設備及資
    訊機密之安全,並加強資訊作業管理,特訂定本要點。
二、各單位使用電腦設備暨維護資訊機密,除依照行政院及所屬各機關資
    訊安全管理要點與相關法令規定外,悉依本要點辦理。
三、本要點所稱電腦設備,係指主機、週邊設備及相關設施;所稱資訊機
    密,係指使用電腦設備製作、保存與國家安全、公務機密或個人權益
    有關之資料,及處理該資料有關之系統、程式、消息或文件。
四、各單位維護電腦設備及資安之成效,政風室及本局機電資訊科應負督
    考之責,各單位應全力配合執行。
五、政風室適時檢討本年度各單位維護電腦設備及資訊機密安全之成效,
    並據以訂定下年度資安維護實施計畫(併入年度政風工作實施計畫)
    ,以利推動與執行。
六、本局機電資訊科應建立資訊稽核制度並得視需要設置稽核專責人員,
    定期或不定期至各單位稽核電腦設備管理及資訊機密維護情形。
七、各單位新購或移撥電腦設備,其放置位置、線路架構及使用空間,應
    由資訊管理員協助安排或調整,以確保電力、網路負荷之安全。
八、各單位使用之電腦設備,如有報廢或汰換時,不得擅自分解或搬離本
    局辦公區,應先與秘書室財產管理人員及本局機電資訊科資訊管理人
    員接洽,經由資訊管理員檢視確認不堪用後,再行辦理後續事宜。
    前項可報廢之財產如屬有記憶裝置之財產,保管人應於報廢前先將該
    財產內之儲存設備消磁或破壞,並經資訊管理人員抽檢後,始得辦理
    報廢。
九、各單位電腦設備之保管(使用)人平時應熟諳設備保養與維護之基本
    知識,並應加強天然災害及其他意外災害之防護。
十、員工異動或離職退休前須確實移(點)交所保管之相關電腦設備。
十一、員工對於配置使用之電腦,禁止擅(私)自安裝週邊設備,並禁止
      拆卸零組件。
十二、各單位因業務需要須增置軟體者,應依既有之請購流程,會知本局
      機電資訊科資訊管理人員,簽奉核准後購置之。
十三、員工應遵守法令使用合法軟體,不得任意自行安裝、散佈、複製及
      傳輸未經合法授權之軟體。
十四、屬專業特殊之軟體,其安裝與移除,應交資訊管理人員或機關委託
      之專業廠商執行,員工不得隨意安裝軟體。
十五、防治電腦病毒應依以下規定事項辦理:
     (一)各單位電腦設施使用者應確保個人使用電腦上所安裝之防毒
           軟體正常執行並維持最新之病毒碼,若有發現任何異常狀況
           應立即通知資訊管理人員協助處理。
     (二)各單位電腦設施使用者不得擅自移除原有指定安裝之防毒軟
           體,並不得隨意更換防毒軟體。
     (三)資訊管理人員應定期確認本局之個人電腦、筆記型電腦、各
           伺服器均已安裝防毒軟體,且病毒碼保持最新狀態,並維持
           正常啟動狀態。
十六、防火牆安全管理應依以下規定事項辦理:
     (一)除特殊限制因素外,連接至網際網路(Internet)皆需透過
           防火牆,任何來自於外部網路欲連接進機關網路之連線必須
           經過申請,且防火牆應開啟相對稽核功能,詳細記錄連線狀
           況。
     (二)除非經申請,應拒絕來自任何網路對防火牆主機連線。除防
           火牆管理員或經授權之維護人員,其它人員均不能連接防火
           牆;另應最後設置拒絕全部服務的規則,以預防因規則的疏
           漏,導致來自網際網路之入侵與非法連線,進而產生防火牆
           於網路防護上之漏洞與風險。
     (三)防火牆上重要的檔案,設定資訊管理人員除因業務代理制度
           外,應限制防火牆帳號保管人數目,其相關帳號密碼至少六
           個月變更一次。
十七、各單位執行有關資訊安全管理事項,除應依據行政院及所屬各機關
      資訊安全管理要點辦理外,並輔以下列措施: 
     (一)有關資料之輸出入,均應建立識別碼或通行碼等管制制度,
           並應視需要經常更新。 
     (二)連線作業管制使用終端機設備與其他機關主機連線作業者,
           應報請權責單位核准後,給與編號列入管制,並於系統中限
           制其可運用之範圍。
     (三)資訊檔案應建立管理制度,除應分級管理外,具機密性質資
           料,應依規定加註機密屬性,輸出之機密性報表,亦同。 
     (四)個人電腦管制機密資料以硬碟或磁碟片錄製檔案者,應加設
           資料存取控制。 
     (五)儲存機密資料之硬碟應指定專人管理,詳實紀錄調借使用情
           形,定期清點數量,並應利用防潮箱﹙櫃﹚存放,平日應上
           鎖妥慎保管。
     (六)硬體介面卡及軟體程式作業,經權責主管核可後由資訊人員
           實施,非經資訊人員同意,不得擅自更動介面卡及修改程式
           。
十八、資訊資料存取應依下列規定事項強化保密作為:
     (一)各單位電腦設備使用者,對於業務內重要資料 (或資料庫)應
           以適當方式或系統內建功能定期備份,備份之資料盡可能多
           處存放,如本機、其他媒體、線上儲存設備或其他伺服器等
           方式存放。
     (二)重要或機密性資料建檔時,應加設資料存取控制機制,防範
           資料洩漏或遭外界惡意侵入竊取、破壞、篡改。
     (三)機密文件不應任意存放於公用資源分享區;機密性及敏感性
           的資料,不應存放在對外開放的資訊系統(如全球資訊網)
           中。
     (四)使用電腦資訊設備處理各項涉及自然人資料時,對於民眾個
           人資料之登錄處理應遵守個人資料保護法等相關規定,防止
           資料遭到濫用,以維人民權益。
     (五)儲存於電腦資訊設備內各項具機密性、敏感性或尚未裁決定
           案之公務資料,在未經許可前不得對外受理查詢、交換、傳
           輸業務資料或將資料攜出供他人參閱運用。
     (六)退休、離職員工,應立即取消使用機關內各項資訊資源之所
           有權限,並列入辦理離(休)職之必要手續。機關人員職務調
           整及調動,應依系統存取授權規定,限期調整其權限。
     (七)員工不得利用本局電腦資訊設備,私自架設網站或部落格從
           事私人交易、買賣等經濟商業行為,亦不得私自下載各類軟
           體程式,以防電腦病毒及被植入木馬程式,造成洩密或毀損
           等情事發生。
十九、電腦設備委外維修應依下列規定事項防範竊密發生:
     (一)各單位委外進行系統維護工作時,對其可接觸之系統與資料
           範圍,應作適度規範,避免發生不當行為,並於完成作業後
           ,即時取消其可用資源及使用權。
     (二)電腦設備如有委外進行檢修時,各單位應指派專人在旁監視
           ,並確實遵守各項安全規定。
     (三)重要資料如需委外建檔時,均應妥採安全管理措施,避免資
           料被竊、篡改、刪減、甚至植毒及盜拷備份等不法情事發生
           。
     (四)委外建檔或系統維護時,應於契約內明文加註保密責任,並
           據以執行,以作為發生洩密等案件時,追究民、刑事、行政
           責任之依據。
二十、建立操作電腦設備的逐級授權制度,非經授權不得越級操作電腦
      設備。除業務必要情形外,非辦公時間如需使用相關電腦系統,
      應將使用目的、時間及人員等報請權責主管核准。
二十一、相關電腦系統應設定使用者工作權分級制度,如僅供查詢所需
        時,應限制不能進一步作修改建檔或系統維護等工作。
二十二、每位電腦使用者應有獨立之通行密碼,並定期更換新碼;退休、
        離職、調職或更換工作時,其代碼應即註銷或更改授權範圍。
二十三、使用單位需變更電腦系統或應用軟體時,應提出維護需要,經核
        准後才能變更之。
二十四、使用終端設備與其他機關主機連線作業者,應報請權責單位核准
        後列管,並於系統內限制其可運作範圍。
二十五、對於電腦之程式及設計、測試、製作等不得擅自更改,如有變更
        必要時,應報請權責長官核准。
二十六、電腦終端機使用者之識別碼及通行碼應依實際業務限制使用範圍
        ,並嚴禁告知他人。
二十七、存放機密性及敏感性資料之大型主機或伺服器主機,應規劃安全
        等級較高之密碼辨識系統,以強化安全機制。
二十八、機關與外界網路連接的網點,應加裝防火牆,並由網路系統管理
        人員執行控管設定,隨時檢討及調整防火牆系統設定,調整系統
        存取權限,以反應最新的狀況。
二十九、資訊管理人員之進用,應作嚴格之品德篩選,並隨時督導考核,
        表現不佳者立即汰換。
三十、進用資訊作業人員時,應由其填具保密切結書;離職時取消其識別
      碼,並收繳其通行證(卡)及相關證件。
三十一、發生資訊洩密事件,政風室應依有關法令規定暨處理方式查處,
        並應迅速協調相關業務主管單位,研採補救措施,並追究洩密責
        任。
三十二、員工執行本要點成效卓著者,得予獎勵;違反本要點規定者,依
        情節按有關規定予以適當處分。
三十三、政風室應定期或不定期實施資訊保密及安全防護教育訓練。
資料來源:臺中市政府主管法規共用系統