|
一、臺中市政府建設局(以下簡稱本局)及所屬機關為確保電腦設備及資
訊機密之安全,並加強資訊作業管理,特訂定本要點。 |
|
二、各單位使用電腦設備暨維護資訊機密,除依照行政院及所屬各機關資
訊安全管理要點與相關法令規定外,悉依本要點辦理。 |
|
三、本要點所稱電腦設備,係指主機、週邊設備及相關設施;所稱資訊機
密,係指使用電腦設備製作、保存與國家安全、公務機密或個人權益
有關之資料,及處理該資料有關之系統、程式、消息或文件。 |
|
四、各單位維護電腦設備及資安之成效,政風室及本局機電資訊科應負督
考之責,各單位應全力配合執行。 |
|
五、政風室適時檢討本年度各單位維護電腦設備及資訊機密安全之成效,
並據以訂定下年度資安維護實施計畫(併入年度政風工作實施計畫)
,以利推動與執行。 |
|
六、本局機電資訊科應建立資訊稽核制度並得視需要設置稽核專責人員,
定期或不定期至各單位稽核電腦設備管理及資訊機密維護情形。 |
|
七、各單位新購或移撥電腦設備,其放置位置、線路架構及使用空間,應
由資訊管理員協助安排或調整,以確保電力、網路負荷之安全。 |
|
八、各單位使用之電腦設備,如有報廢或汰換時,不得擅自分解或搬離本
局辦公區,應先與秘書室財產管理人員及本局機電資訊科資訊管理人
員接洽,經由資訊管理員檢視確認不堪用後,再行辦理後續事宜。
前項可報廢之財產如屬有記憶裝置之財產,保管人應於報廢前先將該
財產內之儲存設備消磁或破壞,並經資訊管理人員抽檢後,始得辦理
報廢。 |
|
九、各單位電腦設備之保管(使用)人平時應熟諳設備保養與維護之基本
知識,並應加強天然災害及其他意外災害之防護。 |
|
十、員工異動或離職退休前須確實移(點)交所保管之相關電腦設備。 |
|
十一、員工對於配置使用之電腦,禁止擅(私)自安裝週邊設備,並禁止
拆卸零組件。 |
|
十二、各單位因業務需要須增置軟體者,應依既有之請購流程,會知本局
機電資訊科資訊管理人員,簽奉核准後購置之。 |
|
十三、員工應遵守法令使用合法軟體,不得任意自行安裝、散佈、複製及
傳輸未經合法授權之軟體。 |
|
十四、屬專業特殊之軟體,其安裝與移除,應交資訊管理人員或機關委託
之專業廠商執行,員工不得隨意安裝軟體。 |
|
十五、防治電腦病毒應依以下規定事項辦理:
(一)各單位電腦設施使用者應確保個人使用電腦上所安裝之防毒
軟體正常執行並維持最新之病毒碼,若有發現任何異常狀況
應立即通知資訊管理人員協助處理。
(二)各單位電腦設施使用者不得擅自移除原有指定安裝之防毒軟
體,並不得隨意更換防毒軟體。
(三)資訊管理人員應定期確認本局之個人電腦、筆記型電腦、各
伺服器均已安裝防毒軟體,且病毒碼保持最新狀態,並維持
正常啟動狀態。 |
|
十六、防火牆安全管理應依以下規定事項辦理:
(一)除特殊限制因素外,連接至網際網路(Internet)皆需透過
防火牆,任何來自於外部網路欲連接進機關網路之連線必須
經過申請,且防火牆應開啟相對稽核功能,詳細記錄連線狀
況。
(二)除非經申請,應拒絕來自任何網路對防火牆主機連線。除防
火牆管理員或經授權之維護人員,其它人員均不能連接防火
牆;另應最後設置拒絕全部服務的規則,以預防因規則的疏
漏,導致來自網際網路之入侵與非法連線,進而產生防火牆
於網路防護上之漏洞與風險。
(三)防火牆上重要的檔案,設定資訊管理人員除因業務代理制度
外,應限制防火牆帳號保管人數目,其相關帳號密碼至少六
個月變更一次。 |
|
十七、各單位執行有關資訊安全管理事項,除應依據行政院及所屬各機關
資訊安全管理要點辦理外,並輔以下列措施:
(一)有關資料之輸出入,均應建立識別碼或通行碼等管制制度,
並應視需要經常更新。
(二)連線作業管制使用終端機設備與其他機關主機連線作業者,
應報請權責單位核准後,給與編號列入管制,並於系統中限
制其可運用之範圍。
(三)資訊檔案應建立管理制度,除應分級管理外,具機密性質資
料,應依規定加註機密屬性,輸出之機密性報表,亦同。
(四)個人電腦管制機密資料以硬碟或磁碟片錄製檔案者,應加設
資料存取控制。
(五)儲存機密資料之硬碟應指定專人管理,詳實紀錄調借使用情
形,定期清點數量,並應利用防潮箱﹙櫃﹚存放,平日應上
鎖妥慎保管。
(六)硬體介面卡及軟體程式作業,經權責主管核可後由資訊人員
實施,非經資訊人員同意,不得擅自更動介面卡及修改程式
。 |
|
十八、資訊資料存取應依下列規定事項強化保密作為:
(一)各單位電腦設備使用者,對於業務內重要資料 (或資料庫)應
以適當方式或系統內建功能定期備份,備份之資料盡可能多
處存放,如本機、其他媒體、線上儲存設備或其他伺服器等
方式存放。
(二)重要或機密性資料建檔時,應加設資料存取控制機制,防範
資料洩漏或遭外界惡意侵入竊取、破壞、篡改。
(三)機密文件不應任意存放於公用資源分享區;機密性及敏感性
的資料,不應存放在對外開放的資訊系統(如全球資訊網)
中。
(四)使用電腦資訊設備處理各項涉及自然人資料時,對於民眾個
人資料之登錄處理應遵守個人資料保護法等相關規定,防止
資料遭到濫用,以維人民權益。
(五)儲存於電腦資訊設備內各項具機密性、敏感性或尚未裁決定
案之公務資料,在未經許可前不得對外受理查詢、交換、傳
輸業務資料或將資料攜出供他人參閱運用。
(六)退休、離職員工,應立即取消使用機關內各項資訊資源之所
有權限,並列入辦理離(休)職之必要手續。機關人員職務調
整及調動,應依系統存取授權規定,限期調整其權限。
(七)員工不得利用本局電腦資訊設備,私自架設網站或部落格從
事私人交易、買賣等經濟商業行為,亦不得私自下載各類軟
體程式,以防電腦病毒及被植入木馬程式,造成洩密或毀損
等情事發生。 |
|
十九、電腦設備委外維修應依下列規定事項防範竊密發生:
(一)各單位委外進行系統維護工作時,對其可接觸之系統與資料
範圍,應作適度規範,避免發生不當行為,並於完成作業後
,即時取消其可用資源及使用權。
(二)電腦設備如有委外進行檢修時,各單位應指派專人在旁監視
,並確實遵守各項安全規定。
(三)重要資料如需委外建檔時,均應妥採安全管理措施,避免資
料被竊、篡改、刪減、甚至植毒及盜拷備份等不法情事發生
。
(四)委外建檔或系統維護時,應於契約內明文加註保密責任,並
據以執行,以作為發生洩密等案件時,追究民、刑事、行政
責任之依據。 |
|
二十、建立操作電腦設備的逐級授權制度,非經授權不得越級操作電腦
設備。除業務必要情形外,非辦公時間如需使用相關電腦系統,
應將使用目的、時間及人員等報請權責主管核准。 |
|
二十一、相關電腦系統應設定使用者工作權分級制度,如僅供查詢所需
時,應限制不能進一步作修改建檔或系統維護等工作。 |
|
二十二、每位電腦使用者應有獨立之通行密碼,並定期更換新碼;退休、
離職、調職或更換工作時,其代碼應即註銷或更改授權範圍。 |
|
二十三、使用單位需變更電腦系統或應用軟體時,應提出維護需要,經核
准後才能變更之。 |
|
二十四、使用終端設備與其他機關主機連線作業者,應報請權責單位核准
後列管,並於系統內限制其可運作範圍。 |
|
二十五、對於電腦之程式及設計、測試、製作等不得擅自更改,如有變更
必要時,應報請權責長官核准。 |
|
二十六、電腦終端機使用者之識別碼及通行碼應依實際業務限制使用範圍
,並嚴禁告知他人。 |
|
二十七、存放機密性及敏感性資料之大型主機或伺服器主機,應規劃安全
等級較高之密碼辨識系統,以強化安全機制。 |
|
二十八、機關與外界網路連接的網點,應加裝防火牆,並由網路系統管理
人員執行控管設定,隨時檢討及調整防火牆系統設定,調整系統
存取權限,以反應最新的狀況。 |
|
二十九、資訊管理人員之進用,應作嚴格之品德篩選,並隨時督導考核,
表現不佳者立即汰換。 |
|
三十、進用資訊作業人員時,應由其填具保密切結書;離職時取消其識別
碼,並收繳其通行證(卡)及相關證件。 |
|
三十一、發生資訊洩密事件,政風室應依有關法令規定暨處理方式查處,
並應迅速協調相關業務主管單位,研採補救措施,並追究洩密責
任。 |
|
三十二、員工執行本要點成效卓著者,得予獎勵;違反本要點規定者,依
情節按有關規定予以適當處分。 |
|
三十三、政風室應定期或不定期實施資訊保密及安全防護教育訓練。 |