臺中市政府主管法規共用系統-法規內容-臺中縣政府各單位資訊安全管理要點（改制前）

法規內容

法規名稱：	廢/停臺中縣政府各單位資訊安全管理要點（改制前）
公發布日：	民國 90 年 05 月 28 日
廢止/停止適用日期：	民國 99 年 12 月 25 日
發文字號：	中華民國99年12月25日府授法規字第0990000099號
法規體系：	原臺中縣法規/資訊類

	一、臺中縣政府 (以下簡稱本府) 為推動各單位強化資訊安全管理，建立安全可信賴之電子化政府及建立「資訊安全，人人有責」之觀念，全方位做好資訊安全措施，確保資料、系統、設備及網路安全，保障民眾權益，特訂定本要點。
	二、本要點所稱各單位，係指縣長室、副縣長室、主任秘書室、參議室、民政局、財政局、建設局、教育局、工務局、農業局、社會局、勞工局、地政局、交通旅遊局、新聞局、行政室、計畫室、資訊室、人事室、主計室、政風室、法制室、消費者保護官、聯合服務中心。
	三、各單位應依有關法令，考量施政目標，進行資訊安全風險評估，確定各項資訊作業安全需求水準，採行適當及充足之資訊安全措施，確保各單位資訊蒐集、處理、傳送、儲存及流通之安全。
	四、本要點所稱適當及充足之資訊安全措施，應綜合考量各項資訊資產之重要性及價值，以及因人為疏失、蓄意或自然災害等風險，致單位資訊資產遭不當使用、洩漏、竄改、破壞等情事，影響及危害單位業務之程度，採行與資訊資產價值相稱及具成本效益之管理、作業及技術等安全措施。
	五、本要點所稱資訊安全政策，指單位為達成資訊安全目標訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等。
	六、各單位得依實際業務需求，訂定單位資訊安全政策，並以書面、電子或其他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠商共同遵行。
	七、各單位訂定之資訊安全政策，得適時評估，以反映政府法令、技術及業務等最新發展現況，確保資訊安全實務作業之有效性。
	八、各單位配合或進行定期或不定期的資訊安全評估，檢討人員是否遵守單位資訊安全政策、規範及有關安全規定。
	九、各單位應指定副主管或二級以上主管人員負責資訊安全管理事項之協調及推動。各單位得視需要，成立跨局室之資訊安全推行小組，統籌資訊安全政策、計畫、資源調度事項之協調研議。前項資訊安全小組之幕僚作業，由資訊室或由縣長指定之單位負責。
	十、各單位應視資訊安全管理需要，指定適當人員負責辦理資訊安全相關事宜。
	十一、引進及啟用軟體、硬體、通信及管理措施等新資訊科技，應於事前進行安全評估，瞭解新資訊科技之安全保護措施及水準，並依下列行政程序辦理，以免影響既有的資訊安全措施。 (一) 業務上的核准程序 l.屬於各單位權責業務之資訊系統及設備的裝置及使用，應經各單位主管或其授權人員的核准始得使用。 2.系統及設備如有遠地連線作業需求，亦應獲得負責維護當地資訊安全之權責主管單位或人員之同意。 (二) 技術上的核准程序：所有連上網路的設施，或是由資訊服務提供者維護的設施，各單位應先進行技術上的安全評估並簽會資訊室，循程序簽奉一層核准後，始得上線使用。
	十二、各單位對資訊相關職務及工作，應進行安全評估，並於人員進用、工作及任務指派時，審慎評估人員之適任性，並進行必要的考核。
	十三、各單位應針對管理、業務及資訊等不同工作類別之需求，定期或不定期辦理或配合資訊單位進行資訊安全教育訓練及宣導，建立員工資訊安全認知，提升單位資訊安全水準。
	十四、各單位應加強或配合資訊單位進行資訊安全管理人力之培訓，提升資訊安全管理能力。各單位資訊安全人力或經驗如有不足，得洽請學者專家或專業單位 (構) 提供顧問諮詢服務。
	十五、各單位負責重要資訊系統之管理、維護、設計及操作之人員，應妥適分工，分散權責，並視需要建立制衡機制，實施人員輪調，建立人力備援制度。
	十六、各單位主管及各級業務主管人員，應負責督導所屬員工之資訊作業安全，防範不法及不當行為。
	十七、各單位辦理資訊業務委外作業，應於事前審慎評估可能的潛在安全風險 (例如資料或使用者通行碼被破解、系統被破壞或資料損失等風險) ，並與廠商約定或簽訂適當的資訊安全協定，明定相關的安全管理責任，並納入契約條款。
	十八、各單位對系統變更作業，應建立控管制度，並建立紀錄，以備查考。
	十九、各單位應依相關法規或契約規定，複製及使用軟體，並建立軟體使用管理制度。
	二十、各單位應採行必要的事前預防及保護措施，偵測及防制電腦病毒及其他惡意軟體，確保系統正常運作。
	二十一、各單位利用公眾網路傳送資訊或進行交易處理，應評估可能之安全風險，確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求，並針對資料傳輸、撥接線路、網路線路與設備、接外連接介面及路由器等事項，研擬妥適的安全控管措施。
	二十二、各單位開放外界連線作業之資訊系統，應視資料及系統之重要性及價值，採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施，防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
	二十三、各單位與外界網路連接之網點，應以防火牆及其他必要安全設施，控管外界與單位內部網路之資料傳輸與資源存取。
	二十四、各單位開放外界連線作業之資訊系統，必要時得以代理伺服器等方式提供外界存取資料，避免外界直接進入資訊系統或資料庫存取資料。
	二十五、各單位利用網際網路及全球資訊網公布及流通資訊，應實施資料安全等級評估，機密性、敏感性及未經當事人同意之個人隱私資料及文件，不得上網公布。各單位自己建置或維護之網站如存有個人資料及檔案者，應加強安全保護措施，防止個人隱私資料遭不當或不法之竊取使用。
	二十六、各單位網路使用之安全管理，應依下列規定辦理： (一) 被授權的網路使用者 (以下簡稱網路使用者) 只能在授權範圍內存取網路資源。 (二) 網路使用者應遵守網路安全規定，並確實瞭解其應負的責任；如有違反網路安全倩事，應依資訊安全規定，限制或撤銷其網路資源存取權利。 (三) 網路使用者不得將自己的登入身分識別與登入網路的密碼交付他人使用。 (四) 禁止網路使用者以任何方法竊取他人的登入身分與登入網路密碼。 (五) 禁止網路使用者以任何儀器設備或軟體工具竊聽網路上的通訊。 (六) 禁止網路使用者在網路上取用未經授權的檔案、資訊轉售或轉載。 (七) 網路使用者不得將色情檔案建置在本府所屬設施，亦不得在網路上散播電腦病毒、色情文字、色情圖片、色情影像、色情聲音等不法或不當的資訊。 (八) 上班時間為保持有限之網路頻寬通訊品質，禁止下載來路不明軟體檔案 (如免費試用軟體、娛樂性軟體等) ，以免隱藏電腦病毒滲透；並請勿用以瀏覽與業務無關或無益於業務之網站；不用時請結束連網作業狀態。 (九) 網路使用者不得以任何手段蓄意干擾或妨害網路系統的正常運作。 (十) 與外部機關連線取得授權的電腦主機或網路設備，及與本府內部網路連線作業時，應確實遵守其網路安全規定及連線作業程序。
	二十七、各單位電子郵件使用之安全管理，應依下列規定辦理： (一) 對來路不明之郵件、附件或免費軟體等，應直接刪除，不得隨便開啟，以免中毒或使網路系統遭到破壞。 (二) 禁止將機密性文件或資料使用電子郵件傳送，以防止洩密。 (三) 禁止發送電子郵件騷擾他人。 (四) 禁止發送匿名郵件或偽造電子郵件。機密性資料以外之敏感性資料及文件，如有電子傳送之需要，各單位應視需要以適當的加密或電子簽章等安全技術處理。單位業務性質特殊，須利用電子郵件或其他電子方武傳送機密性資料及文件者，得採用權責主管機關認可之加密或電子簽章等安全技術處理。
	二十八、各單位採購資訊軟硬體設施，應依國家標準或權責主管機關訂定之政府資訊安全規範，研提資訊安全需求，並列入採購規格。各單位發展及應用加密技術，應採用權責主管機關認可之密碼模組產品。各單位採購外國產製之密碼模組產品，應請廠商提出輸出許可或相關授權文件，確保密碼模組之安全性，並避免採購金鑰代管或金鑰回復功能之產品。
	二十九、各單位應視資訊安全管理需要，依各單位業務系統之特性，訂定系統存取政策及授權規定，並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
	三十、各單位應依資訊安全政策，賦予各級人員必要的系統存取權限；單位員工之系統存取權限，應以執行法定任務所必要者為限。對被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員，應經審慎之授權評估。
	三十一、各單位離 (休) 職人員，應立即取消使用單位內各項資訊資源之所有權限，並列入單位人員離 (休) 職之必要手續。單位人員職務調整及調動，應依系統存取授權規定，限期調整其權限。
	三十二、各單位如有其權責業務之資訊系統，應依各單位業務之特性，建立系統使用者註冊管理制度，加強使用者通行密碼管理，並要求使用者定期更新；使用者通行密碼之更新周期，由單位視作業系統及安全管理需求決定，最長以不超過六個月為原則。對單位內外擁有系統存取特別權限之人員，應建立使用人員名冊，加強安全控管，並縮短密碼更新周期。
	三十三、各單位開放外界連線作業，應事前簽訂契約或協定，明定其應遵守之資訊安全規定、標準、程序及應負之責任。
	三十四、各單位對系統服務廠商以遠端登入方式進行系統維修者，應加強安全控管，並建立人員名冊，課其相關安全保密責任。
	三十五、各單位之重要資料委外建檔，不論在單位內外執行，均應採取適當及足夠之安全管制措施，防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
	三十六、各單位如有其權責業務之資訊系統，得依各單位業務之特性及視資訊安全管理需要，建立資訊安全稽核制度，定期或不定期辦理或配合有關單位進行資訊安全稽核作業: 系統中之稽核紀錄檔案，應禁止任意刪除及修改。
	三十七、各單位自行開發或委外發展系統，應在系統生命週期之初始階段，即將資訊安全需求納入考量；系統之維護、更新、上線執行及版本異動作業，應予安全管制，避免不當軟體、暗門及電腦病毒等危害系統安全。
	三十八、各單位對廠商之軟硬體系統建置及維護人員，應規範及限制其可接觸之系統與資料範圍，並嚴禁核發長期性之系統辨識碼及通行密碼。各單位基於實際作業需要，得核發短期性及臨時性之系統辨識及通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。
	三十九、各單位委託廠商建置及維護重要之軟硬體設施，應在單位相關人員監督及陪同下始得為之。
	四十、各單位如有其權責業務之資訊系統，應依各單位業務之特性，訂定業務永續運作計畫，評估各種人為及天然災害對單位正常業務運作之影響，訂定緊急應變及回復作業程序及相關人員之權責，並定期演練及調整更新計畫。
	四十一、各單位應建立資訊安全事件緊急處理機制，在發生資訊安全事件時，除應依下列規定之處理程序先行處理外，且應立即向單位主管或有關人員通報，並視需要通知資訊室，採取反應措施，必要時得聯繫政風室或檢警調單位協助偵查： (一) 立即停止使用電腦，並保留當時之電腦現況 (主機、螢幕、印表機等) ，不要關機。 (二) 記下日期、時間、地點、單位、螢幕出現之訊息等資料。
	四十二、各單位應依各單位業務之特性及相關法規，訂定及區分資料安全等級，並依不同安全等級，採取適當及充足之資訊安全措施。
	四十三、各單位應就單位內之資訊設備安置、周邊環境及人員進出管制等，訂定妥善之實體及環境安全管理措施。
	四十四、單位業務性質特殊者，得參照本要點另定有關規定，惟須經資訊室同意，並報請縣長核定。
	四十五、本要點未規定事項，準用行政院及所屬各機關資訊安全管理要點之規定。
	四十六、本要點經奉縣長核定後實施，修正時亦同。

	一、臺中縣政府 (以下簡稱本府) 為推動各單位強化資訊安全管理，建立安全可信賴之電子化政府及建立「資訊安全，人人有責」之觀念，全方位做好資訊安全措施，確保資料、系統、設備及網路安全，保障民眾權益，特訂定本要點。
	二、本要點所稱各單位，係指縣長室、副縣長室、主任秘書室、參議室、民政局、財政局、建設局、教育局、工務局、農業局、社會局、勞工局、地政局、交通旅遊局、新聞局、行政室、計畫室、資訊室、人事室、主計室、政風室、法制室、消費者保護官、聯合服務中心。
	三、各單位應依有關法令，考量施政目標，進行資訊安全風險評估，確定各項資訊作業安全需求水準，採行適當及充足之資訊安全措施，確保各單位資訊蒐集、處理、傳送、儲存及流通之安全。
	四、本要點所稱適當及充足之資訊安全措施，應綜合考量各項資訊資產之重要性及價值，以及因人為疏失、蓄意或自然災害等風險，致單位資訊資產遭不當使用、洩漏、竄改、破壞等情事，影響及危害單位業務之程度，採行與資訊資產價值相稱及具成本效益之管理、作業及技術等安全措施。
	五、本要點所稱資訊安全政策，指單位為達成資訊安全目標訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等。
	六、各單位得依實際業務需求，訂定單位資訊安全政策，並以書面、電子或其他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠商共同遵行。
	七、各單位訂定之資訊安全政策，得適時評估，以反映政府法令、技術及業務等最新發展現況，確保資訊安全實務作業之有效性。
	八、各單位配合或進行定期或不定期的資訊安全評估，檢討人員是否遵守單位資訊安全政策、規範及有關安全規定。
	九、各單位應指定副主管或二級以上主管人員負責資訊安全管理事項之協調及推動。各單位得視需要，成立跨局室之資訊安全推行小組，統籌資訊安全政策、計畫、資源調度事項之協調研議。前項資訊安全小組之幕僚作業，由資訊室或由縣長指定之單位負責。
	十、各單位應視資訊安全管理需要，指定適當人員負責辦理資訊安全相關事宜。
	十一、引進及啟用軟體、硬體、通信及管理措施等新資訊科技，應於事前進行安全評估，瞭解新資訊科技之安全保護措施及水準，並依下列行政程序辦理，以免影響既有的資訊安全措施。 (一) 業務上的核准程序 l.屬於各單位權責業務之資訊系統及設備的裝置及使用，應經各單位主管或其授權人員的核准始得使用。 2.系統及設備如有遠地連線作業需求，亦應獲得負責維護當地資訊安全之權責主管單位或人員之同意。 (二) 技術上的核准程序：所有連上網路的設施，或是由資訊服務提供者維護的設施，各單位應先進行技術上的安全評估並簽會資訊室，循程序簽奉一層核准後，始得上線使用。
	十二、各單位對資訊相關職務及工作，應進行安全評估，並於人員進用、工作及任務指派時，審慎評估人員之適任性，並進行必要的考核。
	十三、各單位應針對管理、業務及資訊等不同工作類別之需求，定期或不定期辦理或配合資訊單位進行資訊安全教育訓練及宣導，建立員工資訊安全認知，提升單位資訊安全水準。
	十四、各單位應加強或配合資訊單位進行資訊安全管理人力之培訓，提升資訊安全管理能力。各單位資訊安全人力或經驗如有不足，得洽請學者專家或專業單位 (構) 提供顧問諮詢服務。
	十五、各單位負責重要資訊系統之管理、維護、設計及操作之人員，應妥適分工，分散權責，並視需要建立制衡機制，實施人員輪調，建立人力備援制度。
	十六、各單位主管及各級業務主管人員，應負責督導所屬員工之資訊作業安全，防範不法及不當行為。
	十七、各單位辦理資訊業務委外作業，應於事前審慎評估可能的潛在安全風險 (例如資料或使用者通行碼被破解、系統被破壞或資料損失等風險) ，並與廠商約定或簽訂適當的資訊安全協定，明定相關的安全管理責任，並納入契約條款。
	十八、各單位對系統變更作業，應建立控管制度，並建立紀錄，以備查考。
	十九、各單位應依相關法規或契約規定，複製及使用軟體，並建立軟體使用管理制度。
	二十、各單位應採行必要的事前預防及保護措施，偵測及防制電腦病毒及其他惡意軟體，確保系統正常運作。
	二十一、各單位利用公眾網路傳送資訊或進行交易處理，應評估可能之安全風險，確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求，並針對資料傳輸、撥接線路、網路線路與設備、接外連接介面及路由器等事項，研擬妥適的安全控管措施。
	二十二、各單位開放外界連線作業之資訊系統，應視資料及系統之重要性及價值，採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施，防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
	二十三、各單位與外界網路連接之網點，應以防火牆及其他必要安全設施，控管外界與單位內部網路之資料傳輸與資源存取。
	二十四、各單位開放外界連線作業之資訊系統，必要時得以代理伺服器等方式提供外界存取資料，避免外界直接進入資訊系統或資料庫存取資料。
	二十五、各單位利用網際網路及全球資訊網公布及流通資訊，應實施資料安全等級評估，機密性、敏感性及未經當事人同意之個人隱私資料及文件，不得上網公布。各單位自己建置或維護之網站如存有個人資料及檔案者，應加強安全保護措施，防止個人隱私資料遭不當或不法之竊取使用。
	二十六、各單位網路使用之安全管理，應依下列規定辦理： (一) 被授權的網路使用者 (以下簡稱網路使用者) 只能在授權範圍內存取網路資源。 (二) 網路使用者應遵守網路安全規定，並確實瞭解其應負的責任；如有違反網路安全倩事，應依資訊安全規定，限制或撤銷其網路資源存取權利。 (三) 網路使用者不得將自己的登入身分識別與登入網路的密碼交付他人使用。 (四) 禁止網路使用者以任何方法竊取他人的登入身分與登入網路密碼。 (五) 禁止網路使用者以任何儀器設備或軟體工具竊聽網路上的通訊。 (六) 禁止網路使用者在網路上取用未經授權的檔案、資訊轉售或轉載。 (七) 網路使用者不得將色情檔案建置在本府所屬設施，亦不得在網路上散播電腦病毒、色情文字、色情圖片、色情影像、色情聲音等不法或不當的資訊。 (八) 上班時間為保持有限之網路頻寬通訊品質，禁止下載來路不明軟體檔案 (如免費試用軟體、娛樂性軟體等) ，以免隱藏電腦病毒滲透；並請勿用以瀏覽與業務無關或無益於業務之網站；不用時請結束連網作業狀態。 (九) 網路使用者不得以任何手段蓄意干擾或妨害網路系統的正常運作。 (十) 與外部機關連線取得授權的電腦主機或網路設備，及與本府內部網路連線作業時，應確實遵守其網路安全規定及連線作業程序。
	二十七、各單位電子郵件使用之安全管理，應依下列規定辦理： (一) 對來路不明之郵件、附件或免費軟體等，應直接刪除，不得隨便開啟，以免中毒或使網路系統遭到破壞。 (二) 禁止將機密性文件或資料使用電子郵件傳送，以防止洩密。 (三) 禁止發送電子郵件騷擾他人。 (四) 禁止發送匿名郵件或偽造電子郵件。機密性資料以外之敏感性資料及文件，如有電子傳送之需要，各單位應視需要以適當的加密或電子簽章等安全技術處理。單位業務性質特殊，須利用電子郵件或其他電子方武傳送機密性資料及文件者，得採用權責主管機關認可之加密或電子簽章等安全技術處理。
	二十八、各單位採購資訊軟硬體設施，應依國家標準或權責主管機關訂定之政府資訊安全規範，研提資訊安全需求，並列入採購規格。各單位發展及應用加密技術，應採用權責主管機關認可之密碼模組產品。各單位採購外國產製之密碼模組產品，應請廠商提出輸出許可或相關授權文件，確保密碼模組之安全性，並避免採購金鑰代管或金鑰回復功能之產品。
	二十九、各單位應視資訊安全管理需要，依各單位業務系統之特性，訂定系統存取政策及授權規定，並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
	三十、各單位應依資訊安全政策，賦予各級人員必要的系統存取權限；單位員工之系統存取權限，應以執行法定任務所必要者為限。對被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員，應經審慎之授權評估。
	三十一、各單位離 (休) 職人員，應立即取消使用單位內各項資訊資源之所有權限，並列入單位人員離 (休) 職之必要手續。單位人員職務調整及調動，應依系統存取授權規定，限期調整其權限。
	三十二、各單位如有其權責業務之資訊系統，應依各單位業務之特性，建立系統使用者註冊管理制度，加強使用者通行密碼管理，並要求使用者定期更新；使用者通行密碼之更新周期，由單位視作業系統及安全管理需求決定，最長以不超過六個月為原則。對單位內外擁有系統存取特別權限之人員，應建立使用人員名冊，加強安全控管，並縮短密碼更新周期。
	三十三、各單位開放外界連線作業，應事前簽訂契約或協定，明定其應遵守之資訊安全規定、標準、程序及應負之責任。
	三十四、各單位對系統服務廠商以遠端登入方式進行系統維修者，應加強安全控管，並建立人員名冊，課其相關安全保密責任。
	三十五、各單位之重要資料委外建檔，不論在單位內外執行，均應採取適當及足夠之安全管制措施，防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
	三十六、各單位如有其權責業務之資訊系統，得依各單位業務之特性及視資訊安全管理需要，建立資訊安全稽核制度，定期或不定期辦理或配合有關單位進行資訊安全稽核作業: 系統中之稽核紀錄檔案，應禁止任意刪除及修改。
	三十七、各單位自行開發或委外發展系統，應在系統生命週期之初始階段，即將資訊安全需求納入考量；系統之維護、更新、上線執行及版本異動作業，應予安全管制，避免不當軟體、暗門及電腦病毒等危害系統安全。
	三十八、各單位對廠商之軟硬體系統建置及維護人員，應規範及限制其可接觸之系統與資料範圍，並嚴禁核發長期性之系統辨識碼及通行密碼。各單位基於實際作業需要，得核發短期性及臨時性之系統辨識及通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。
	三十九、各單位委託廠商建置及維護重要之軟硬體設施，應在單位相關人員監督及陪同下始得為之。
	四十、各單位如有其權責業務之資訊系統，應依各單位業務之特性，訂定業務永續運作計畫，評估各種人為及天然災害對單位正常業務運作之影響，訂定緊急應變及回復作業程序及相關人員之權責，並定期演練及調整更新計畫。
	四十一、各單位應建立資訊安全事件緊急處理機制，在發生資訊安全事件時，除應依下列規定之處理程序先行處理外，且應立即向單位主管或有關人員通報，並視需要通知資訊室，採取反應措施，必要時得聯繫政風室或檢警調單位協助偵查： (一) 立即停止使用電腦，並保留當時之電腦現況 (主機、螢幕、印表機等) ，不要關機。 (二) 記下日期、時間、地點、單位、螢幕出現之訊息等資料。
	四十二、各單位應依各單位業務之特性及相關法規，訂定及區分資料安全等級，並依不同安全等級，採取適當及充足之資訊安全措施。
	四十三、各單位應就單位內之資訊設備安置、周邊環境及人員進出管制等，訂定妥善之實體及環境安全管理措施。
	四十四、單位業務性質特殊者，得參照本要點另定有關規定，惟須經資訊室同意，並報請縣長核定。
	四十五、本要點未規定事項，準用行政院及所屬各機關資訊安全管理要點之規定。
	四十六、本要點經奉縣長核定後實施，修正時亦同。