一、臺中市政府都市發展局（以下簡稱都發局）為強化資訊安全管理，確
    保資料、系統、設備及網路安全，落實資訊機密安全，保障民眾權益
    ，特訂定本要點。

二、為確保都發局資訊蒐集、處理、傳遞、儲存及流通之安全，各單位應
    考量業務資訊之重要性，衡量人為疏失、蓄意破壞或自然災害等風險
    ，致機關資訊資產遭不當使用、洩漏、竄改、破壞等情事，影響及危
    害機關業務之程度，採取符合成本效益之管理、作業及技術等安全措
    施。

三、資訊安全政策
（一）資訊安全管理之範圍如下：
      1、資訊安全組織及權責。
      2、資產分類與控管。
      3、人員管理及教育訓練。
      4、電腦系統實體及環境安全管理。
      5、網路安全管理。
      6、系統存取控制。
      7、系統開發與維護管理。
      8、永續經營管理。
（二）本要點應定期評估，以順應技術、業務等相關環境之趨勢，確保實
      務作業之有效性。
（三）本要點應以書面或其它方式告知同仁連線作業及提供資訊服務之廠
      商共同遵行。
（四）事件通報處理流程依臺中市政府資通安全事件通報流程圖辦理（如
      附件）。

四、資訊安全組織及權責
 （一）資訊安全政策、計畫及技術規範之研議、建置及評估等事項，由秘
       書室(資訊人員)或資訊單位統籌與協助。
 （二）資料及資訊系統之安全需求研議、使用管理及保護等事項，由業務
       承辦單位負責辦理。
 （三）資訊安全內部稽核使用管理事項，每年依需要得舉辦一或二次都發
       局資訊安全內部管控稽核作業，其相關內稽（含稽核內容、稽核結
       果、稽核人員等）由秘書室（資訊人員）或資訊單位、政風室等單
       位訂定之，並經奉機關首長核可後辦理稽核作業。
 （四）委外與第三方（協力廠商）依據契約內容配合，負責委外或協力部
       份之資訊安全運作。

五、資產分類與控管
  (一) 各單位對於重要資產（含資訊、軟體、實體）應指定專人負責，並
       建置資產清冊且隨時更新。  
  (二) 為確保員工均使用合法軟體，該保管資產設備之儲存體不得安裝非
       法軟體。

六、人員管理及教育訓練
（一）各單位對於資訊相關職務及工作，應進行安全評估，並於人員進用、
      工作及任務指派時，審慎評估人員之適任性，必要時得進行考核。
（二）各單位對可存取機密性與敏感性質資訊或系統之人員，及因工作需
      要須配賦系統存取特別權限之人員，應加強評估及考核。
（三）都發局秘書室或資訊單位應針對管理、業務及資訊等不同工作類別
      之需求，定期辦理資訊安全教育訓練及宣導，建立員工資訊安全認
      知，提供資訊安全水準。
（四）各單位負責重要系統之管理、維護、設計及操作之人員，應妥適分
      權負責。
（五）各單位主管應負責督導所屬員工之資訊安全作業，防範不法及不當
      行為。

七、電腦系統實體及環境安全管理
 （一）各單位辦理資訊業務委外作業，應於事前研提資訊安全需求，明
       訂廠商之資訊安全責任及保密規定，並列入契約，要求廠商遵守
       並定期考核。
 （二）各單位應依相關規定或契約規定，複製及使用軟體；嚴禁使用非
       法軟體。
 （三）各單位應採行必要之事前預防及保護措施，偵測及防制電腦病毒
       及其它惡意軟體。
 （四）各單位應建立系統備援設施，定期執行必要的資料、軟體備份，
       以便發生災害或儲存媒體失效時，可迅速回復正常作業。
 （五）各單位採購資訊軟硬體設施，應依國家標準或權責主管機關訂定
       之政府資訊安全規範需求，併入採購規格。
 （六）電腦系統作業變更時，應詳實建立紀錄。
 （七）系統伺服主機或設備安置於主機房，應由使用單位管理者或資訊
       人員專責管理，配合相關人員進出，必要時需填寫進出管制表，
       並建立紀錄。
 （八）各單位委外開發之應用系統建置，如需採用臺中市政府資訊中心
       共用虛擬主機（VM）設備環境運轉，應配合檢送該系統資訊安全
       漏洞檢測報告及修補後報告。
  (九) 各單位保管伺服器主機應定期檢核該設備儲存體容量是否達到安
       全容量。

八、網路安全管理
 （一）各單位利用網路公布及流通資訊時，應評估資料安全等級，機密
       、敏感性或未經當事人同意之個人隱私資料及文件，不得上網公
       布。
 （二）機密性質之文件，不得以電子郵件或其它電子方式傳送，機密性
       資料以外之敏感性資料及文件，如有電子傳送之需要，應視需要
       以適當的加密或電子簽章等安全技術處理。
 （三）為保持公務網路頻寬通訊品質，禁止下載來歷不明之軟體檔案，
       以免妨害網路系統正常運作。
 （四）各單位與外界網路連接之網點，必要時得以防火牆或其它安全設
       施，控管外界與單位內部網路之資料傳輸及資源存取。

九、系統存取控制
 （一）離（休）職人員，應立即取消使用機關內各項資訊資源之所有權
       限，並列入人員離（休）職之必要手續，人員職務調整及調動，
       應依系統存取授權規定，限期調整其權限。
 （二）各電腦系統應建立系統使用者註冊管理制度，建立使用人員名冊
       或採用單一入口網站進行數位流程審核控管。
 （三）各單位若開放外界連線作業，應事前簽訂契約或協定，明定其應
       遵守之資訊安全規定。
 （四）各單位之重要資料委外建檔，應採取適當及足夠之安全管制措施
       ，防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
 （五）各單位應盡量避免允許系統服務廠商以遠端登入方式進行系統維
       護或其它有關之運作。但經都發局核准者，不在此限。前項遠端
       登入作業，各單位應審慎評估，並加強安全控管，並建立人員名
       冊，課其相關安全保密責任。
 （六）各單位人員保管資訊資產設備（如：電腦、筆記型、隨身碟、行
       動硬碟、平板電腦、事務機等）如逾使用年限不堪使用或故障損
       壞等需辦理報廢或移轉者，應先行刪除或採行其它方式破壞公務
       資料，避免外洩。
 （七）使用者應負責保管及定期更換個人密碼，維持密碼機密性，其更
       新週期最長以不超過六個月為原則。

十、系統開發及維護管理
 （一）各單位自行開發或配合專案進行委外架設之系統，應在系統之初
       始階段將資訊安全需求納入考量；系統之維護、更新、上線執行
       及版本異動等作業，應予安全管制，避免不當軟體及電腦病毒危
       害系統安全。
 （二）各單位委託廠商建置及維護重要軟硬體設施時，應建立控管，並
       建立紀錄。
 （三）各單位於系統開發與維護階段使用軟體之權利及義務，依著作權
       法及有關議定之契約辦理。
 （四）進行系統維護，需填寫應用系統維護紀錄單並經使用單位確認後
       方可正式上線運轉。
 （五）各單位進行網站（或系統）資料更新應由權責單位指定專人負責
       ，上傳資料時應先執行掃毒，避免造成病毒之擴散。
 （六）各單位完成應用系統開發、版本更新及維護之各項文件、程式原
       始碼光碟、契約書等，該系統管理人員應妥善保管並列入業務移
       交項目。
  (七）各單位於資訊系統委外建置或維護案驗收時，得請秘書室或資訊
      單位之資訊人員協驗。
  (八) 為落實資訊系統之安全，配合臺中市政府資訊中心規定每年檢測
       修補作業規定辦理，請各單位提供完成相關修補報告（含電子檔）
       檢送至秘書室（資訊人員）或資訊單位列管，並請各單位將該需
       求列入契約要項。
 （九）各單位委託廠商建置及維護重要之軟硬體設施，應在單位相關人
       員監督及陪同下始得為之。
  (十) 為掌握各單位資訊作業環境，各單位辦理有關系統開發（或系統
       維護）或資訊設備採購時，需經秘書室（資訊人員）或資訊單位
       先進行審核，必要時依需求提供相關文件供參考與列管。

十一、永續經營管理
 （一）各單位發生資訊安全事件時，立即向單位主管、秘書室（資訊人
       員）、政風室及資訊單位（含臺中市政府資訊中心）、機關首長
       等通報，採取反應措施，並紀錄發生日期、時間、地點、螢幕出
       現之訊息等資料，必要時得聯繫政風室或檢警調單位協助調查。
 （二）各單位應依相關法規及資料安全等級，採取適當之資訊安全防護
       措施。
 （三）為落實都發局應用系統或網站（含資料庫）運轉之安全無慮，各
       單位依該系統漏洞檢測結果需求配合納入相關修補經費，以確保
       永續經營。