法規內容:
一、臺中市政府建設局(以下簡稱本局)為確保電腦設備及資訊機密之安
全,並加強資訊作業管理,特訂定本要點。
二、本局各單位使用電腦設備暨維護資訊機密,除依照行政院及所屬各機
關資訊安全管理要點與相關法令規定外,悉依本要點辦理。
三、本要點所稱電腦設備,係指主機、週邊設施及相關設施;所稱資訊機
密,係指使用電腦設備製作、保存與國家安全、公務機密或個人權益
有關之資料,及處理該資料有關之系統、程式、消息或文件。
四、各單位維護電腦設備及資安之成效,政風室及企劃科應負督考之責,
各單位應全力配合執行。
五、本局政風室每年底應檢討本年度各單位維護電腦設備及資訊機密安全
之成效,並據以訂定下年度資安維護實施計畫(併入年度政風工作實
施計畫),以利推動與執行。
六、本局企劃科應建立資訊稽核制度並得視需要設置稽核專責人員,定期
或不定期至各單位稽核電腦設備管理及資訊機密維護情形。
七、本局各單位新購或移撥電腦設備,其放置位置、線路架構及使用空間
,應由資訊管理員協助安排或調整,以確保電力、網路負荷之安全。
八、本局各單位使用之電腦設備,如有報廢或汰換時,不得擅自分解或搬
離本局辦公區,應先與秘書室財產管理人員及企劃科資訊管理人員接
洽,經由資訊管理員檢視確認不堪用後,再行辦理後續事宜。
前項可報廢之財產如屬有記憶裝置之財產,保管人應於報廢前先將該
財產內之儲存設備消磁或破壞,並經資訊管理人員抽檢後,始得辦理
報廢。
九、各單位電腦設備之保管(使用)人平時應熟諳設備保養與維護之基本
知識,並應加強天然災害及其他意外災害之防護。
十、人員異動或離職退休前須確實移(點)交所保管之相關電腦設備。
十一、本局員工對於配置使用之電腦,禁止擅(私)自安裝週邊設備,並
禁止拆卸零組件。
十二、本局各單位因業務需要須增置軟體者,應依本局既有之請購流程,
會知企劃科資訊管理人員,簽奉核准後購置之。
十三、本局各單位同仁應遵守法令使用合法軟體,不得任意自行安裝、散
佈、複製及傳輸未經合法授權之軟體。
十四、屬專業特殊之軟體,其安裝與移除,應交由本局資訊管理人員或本
局委託之專業廠商執行,本局同仁不得隨意安裝軟體。
十五、防治電腦病毒應依以下規定事項辦理:
(一)本局各單位電腦設施使用者應確保個人使用電腦上所安裝之
防毒軟體正常執行並維持最新之病毒碼,若有發現任何異常
狀況應立即通知資訊管理人員協助處理
(二)本局各單位電腦設施使用者不得擅自移除原有指定安裝之防
毒軟體,並不得隨意更換防毒軟體。
(三)本局研考單位(企劃科)資訊管理人員應定期確認本局之個
人電腦、筆記型電腦、各伺服器均已安裝防毒軟體,且病毒
碼保持最新狀態,並維持正常啟動狀態。
十六、防火牆安全管理應依以下規定事項辦理:
(一)除特殊限制因素外,連接至網際網路(Internet)皆需透過防火牆
,任何來自於外部網路欲連接進本局網路之連線必須經過申請,且
防火牆應開啟相對稽核功能,詳細記錄連線狀況。
(二)除非經申請,應拒絕來自任何網路對防火牆主機連線。除防火牆管
理員或經授權之維護人員,其它人員均不能連接防火牆;另應最後
設置拒絕全部服務的規則,以預防因規則的疏漏,導致來自網際網
路之入侵與非法連線,進而產生防火牆於網路防護上之漏洞與風險
。
(三)防火牆上重要的檔案,設定資訊管理人員除因業務代理制度外,應
限制防火牆帳號保管人數目,其相關帳號密碼至少六個月變更一次
。
十七、本局各單位執行有關資訊安全管理事項,除應依據行政院及所屬各
機關
資訊安全管理要點辦理外,並輔以下列措施:
(一)有關資料之輸出入,均應建立識別碼或通行碼等管制制度,並應視
需要經常更新。
(二)連線作業管制使用終端機設備與其他機關主機連線作業者,應報請
權責單位核准後,給與編號列入管制,並於系統中限制其可運用之
範圍。
(三)資訊檔案應建立管理制度,除應分級管理外,具機密性質資料,應
依規定加註機密屬性,輸出之機密性報表,亦同。
(四)個人電腦管制機密資料以硬碟或磁碟片錄製檔案者,應加設資料存
取控制。
(五)儲存機密資料之磁碟片應指定專人管理,每日詳實紀錄調借使用情
形,定期清點數量,並應利用防潮箱﹙櫃﹚存放,平日應上鎖妥慎
保管。
(六)硬體介面卡及軟體程式作業,經權責主管核可後由資訊人員實施,
非經資訊人員同意,不得擅自更動介面卡及修改程式。
十八、資訊資料存取應依下列規定事項強化保密作為:
(一)本局各單位電腦設備使用者,對於業務內重要資料 (或資料庫)應
以適當方式或系統內建功能定期備份,備份之資料盡可能多處存放
,如本機、其他媒體、線上儲存設備或其他伺服器等方式存放。
(二)重要或機密性資料建檔時,應加設資料存取控制機制,防範資料洩
漏或遭外界惡意侵入竊取、破壞、篡改。
(三)機密文件不應任意存放於公用資源分享區;機密性及敏感性的資料
,不應存放在對外開放的資訊系統(如全球資訊網)中。
(四)使用電腦資訊設備處理各項涉及自然人資料時,對於民眾個人資料
之登錄處理應遵守個人資料保護法等相關規定,防止資料遭到濫用
,以維人民權益。
(五)儲存於電腦資訊設備內各項具機密性、敏感性或尚未裁決定案之公
務資料,在未經許可前不得對外受理查詢、交換、傳輸業務資料或
將資料攜出供他人參閱運用。
(六)本局退休、離職人員,應立即取消使用機關內各項資訊資源之所有
權限,並列入辦理離 (休)職之必要手續。機關人員職務調整及調
動,應依系統存取授權規定,限期調整其權限。
(七)本局員工不得利用本局電腦資訊設備,私自架設網站或部落格從事
私人交易、買賣等經濟商業行為, 亦不得私自下載各類軟體程式,
以防電腦病毒及被植入木馬程式,造成洩密或毀損等情事發生。
十九、電腦設備委外維修應依下列規定事項防範竊密發生:
(一)各單位委外進行系統維護工作時,對其可接觸之系統與資料範圍,
應作適度規範,避免發生不當行為,並於完成作業後,即時取消其
可用資源及使用權。
(二)電腦設備如有委外進行檢修時,各單位應指派專人在旁監視
,並確 實遵守各項安全規定。
(三)本局重要資料如需委外建檔時,均應妥採安全管理措施,避
免資料被竊、篡改、刪減、甚至植毒及盜拷備份等不法情事
發生。
(四)本局委外建檔或系統維護時,應於契約內明文加註保密責任
,並據以執行,以作為發生洩密等案件時,追究民、刑事、
行政責任之依據。
二十、建立操作電腦設備的逐級授權制度,非經授權不得越級操作電腦
設備。 除業務必要情形外,非辦公時間如需使用相關電腦系統,
應將使用目的、時間及人員等報請權責主管核准。
二十一、相關電腦系統應設定使用者工作權分級制度,如僅供查詢所需
時,應限制不能進一步作修改建檔或系統維護等工作。
二十二、每位電腦使用者應有獨立之通行密碼,並定期更換新碼;退休
、離職、調職或更換工作時,其代碼應即註銷或更改授權範圍
。
二十三、使用單位需變更電腦系統或應用軟體時,應提出維護需要,經
核准後才能變更之。
二十四、使用終端設備與其他機關主機連線作業者,應報請權責單位核
准後列管,並於系統內限制其可運作範圍。
二十五、對於電腦之程式及設計、測試、製作等不得擅自更改,如有變
更必要時,應報請權責長官核准。
二十六、電腦終端機使用者之識別碼及通行碼應依實際業務限制使用範
圍,並嚴禁告知他人。
二十七、存放機密性及敏感性資料之大型主機或伺服器主機,應規劃安
全等級較高之密碼辨識系統,以強化安全機制。
二十八、機關與外界網路連接的網點,應加裝防火牆,並由網路系統管
理人員執行控管設定,隨時檢討及調整防火牆系統設定,調整
系統存取權限,以反應最新的狀況。
二十九、資訊管理人員之進用,應作嚴格之品德篩選,並隨時督導考核
,表現不佳者立即汰換。
三十、進用資訊作業人員時,應由其填具保密切結書;離職時取消其識
別碼,並收繳其通行證(卡)及相關證件。
三十一、本局發生資訊洩密事件,政風室應依有關法令規定暨處理方式
查處,並應迅速協調相關業務主管單位,研採補救措施,並追
究洩密責任。
三十二、本局員工執行本要點成效卓著者,得予獎勵;違反本要點規定
者,依情節按有關規定予以適當處分。
三十三、政風室應定期或不定期實施資訊保密及安全防護教育訓練。