您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

法規內容

法規名稱: 原住民族委員會資訊安全管理作業要點
公發布日: 民國 94 年 04 月 13 日
修正日期: 民國 106 年 07 月 14 日
發文字號: 原民綜字第1060043767號 函
法規體系: 綜合規劃處
法規功能按鈕區

一、為建立安全及可信賴之電腦化作業環境,確保本會電腦
    資料、系統、設備及網路安全,以維持本會業務之正常
    運作,依據行政院及所屬各機關資訊安全管理要點及個
    人資料保護法,並衡酌原住民族委員會(以下簡稱本
    會)業務特性與需求,特訂定本要點。
二、適用範圍如下:
  (一)人員:包含本會編制內人員、約聘僱人員、臨時人
        員及使用本會資訊資源之委外廠商人員。
  (二)系統:包含本會現行及未來建置之各項資訊相關系
        統。
  (三)內容:
    1.資訊安全組織及權責分工。
    2.人員管理及資訊安全教育訓練。
    3.電腦系統安全管理。
    4.網路安全管理。
    5.系統存取控制管理。
    6.系統發展及維護安全管理。
    7.資訊資產安全管理。
    8.實體及環境安全管理。
    9.業務永續運作計畫管理。
    10.其他資訊安全管理事項。
三、資訊安全組織及權責分工如下:
  (一)資訊安全組織:依據國家資通安全通報應變作業綱
        要成立本會資通安全處理小組,設置規劃組、管控
        組及督察組等三個分組,用以辦理資訊安全之相關
        工作事宜。
  (二)權責分工:本會資訊安全工作之權責分工如下:
    1.規劃組:由資訊業務單位規劃危機處理程序、蒐集資
      通安全資訊、建置資通安全措施、執行資通安全監
      控、查明安全事件原因、執行緊急應變措施、辦理安
      全事件通報、協助研判資安事件。
    2.管控組:由資訊業務單位確定影響範圍並作損失評
      估、執行解決辦法、訂定系統安全等級、簽辦及訂定
      資通安全攻防演練計畫、培訓資通安全技術。
    3.督察組:由政風室會同資訊業務單位訂定相關之稽核
      計畫執行內部及外部稽核作業。
四、人員管理及資訊安全教育訓練規定如下:
  (一)人員安全管理:
    1.本會對於新進用及調派之人員,倘其工作職掌須使用
      或處理敏感性資訊的資訊科技設施或涉及機密性及敏
      感性資訊者,應經適當的安全評估程序。
    2.本會各級主管應負責督導所屬人員之資訊作業安全,
      防範不法及不當行為;對可存取機密性、敏感性資訊
      或系統者及配賦系統存取特別權限之人員,應妥適分
      工,分散權責。
    3.本會資訊安全政策應以書面、電子或其他方式告知員
      工,員工應遵守本要點及其他相關資訊安全規定。員
      工若違反資訊安全相關規定,得依情節輕重予以處
      分。
    4.本會員工應遵守維護公務機密之相關法令規定;在職
      及離退職後,均不得洩漏所知悉之業務機密,或為不
      當之使用,否則得視其情節輕重予以處分或追究其
      民、刑事責任。
  (二)資訊安全教育訓練:
    1.依員工角色及職務層級,進行適當的資訊安全講習,
      促使員工瞭解資訊安全的重要性及各種可能的安全風
      險,以提高員工資訊安全意識。
    2.安排從事資訊安全業務之資訊相關人員定期進行資安
      相關課程之教育課程進修,以獲知最新之資安技術與
      知識。
五、電腦系統安全管理注意事項如下:
  (一)電腦主機管理:
    1.電腦主機及伺服器操作程序,應以書面或電子方式載
      明,以確保員工正確及安全的操作使用電腦。
    2.各項電腦主機及伺服器設備均應指定專人管理,非經
      核准不得任意使用、拆卸及更動零組件。
    3.各類電腦主機、伺服器及重要之個人電腦皆應設定密
      碼。
    4.訂定電腦主機不正常停機之立即回復標準作業程序。
  (二)電腦軟體及病毒防禦管理:
    1.禁止使用未經授權之軟體,並遵守智慧財產權相關規
      定。
    2.嚴禁使用或開啟來路不明及內容不確定之軟體、磁性
      媒體或電子郵件。
    3.建置防火牆及防毒軟體以區隔內部網路與網際網路間
      之非法連結,阻絕電腦病毒及惡意攻擊性軟體之非法
      入侵或非法存取資料。
    4.電腦病毒碼及防制軟體應定期更新。
    5.定期修補系統漏洞程式。
六、網路安全管理注意事項如下:
  (一)網路設備:
    1.開放外界連線作業之資訊系統,應視資料及系統之重
      要性及價值,採用資料加密、身分鑑別、電子簽章、
      防火牆及安全漏洞偵測等不同安全等級之技術或措
      施,防止資料及系統被侵入、破壞、竄改、刪除及未
      經授權之存取。
    2.禁止及防範網路使用者以任何儀器設備或軟體工具竊
      取網路上的通訊。
    3.網路主機應關閉非必要的服務程式,並隨時更新程式
      版本。
  (二)網路行為:
    1.本會員工經申請帳號後成為合法授權的網路使用者並
      在授權範圍內存取網路資源。
    2.提供給內部人員使用的網路服務,與開放業務有關人
      員從遠端登入內部網路系統的網路服務,應執行嚴謹
      的身分辨識作業,或使用資訊相關設備進行安全控
      管。
    3.網路系統管理人員未經權責主管人員許可,不得閱覽
      使用者之私人檔案;但如發現有可疑的網路安全情
      事,網路系統管理人員得依授權檢查其檔案。
    4.本會人員禁止利用本會網路從事不法及侵害他人權利
      之情事。
    5.本會之網路使用者不得以任何手段蓄意干擾或妨害網
      路系統的正常運作。
  (三)電子郵件:
    1.機密性資料及文件不得以電子郵件或其他電子方式傳
      送。
    2.不可隨意開啟來路不明的電子郵件,以免啟動惡意執
      行檔,使網路系統遭到破壞;收到來路不明的電子郵
      件時應通知系統管理者處理。
    3.禁止發送垃圾郵件騷擾他人,導致其他使用者之不安
      與不便。
    4.禁止發送匿名信,或偽造他人名義發送電子郵件。
七、系統存取控制管理作業如下:
  (一)人員存取管理:
    1.使用者尚未完成正式授權程序前,資訊服務提供者不
      得對其提供系統存取服務。
    2.使用者應確實瞭解系統存取的各項條件及要求,並在
      授權範圍內存取系統資源。
    3.對系統服務廠商以遠端登入方式進行系統維修者,應
      建立人員名冊加強安全控管,並要求其相關安全保密
      責任。
  (二)資料存取管理:
    1.重要資料之委外建檔,不論在機關內外執行,均應採
      取適當及足夠之安全管制措施,防止資料被竊取、竄
      改、販售、洩漏及不當備份等情形發生。
    2.存放機密性及敏感性資料之電腦主機或伺服器,除作
      業系統既有的安全設定外,應強化身份辨識之安全機
      制,防止非法使用者透過遠端撥接或網際網路傳送資
      料時,被偷窺或截取登入密碼,及防制假冒合法使用
      者身分登入主機進行偷竊或破壞等情事。
    3.利用網際網路及全球資訊網公布及流通資訊,應實施
      資料安全等級評估,機密性、敏感性及未經當事人同
      意之個人隱私資料及文件,不得上網公布。
    4.為保護及防止不當使用向其他單位索取錄製之個人資
      料電腦檔案,凡涉及個人資料之電腦檔案,其操作使
      用及安全維護將依據個人資料保護法及其他相關法令
      規定辦理,上開法令修正時亦同。
  (三)帳號及密碼管理:
    1.建立系統使用者帳號管理制度,加強使用者通行密碼
      管理。
    2.離(休)職人員,應立即取消各項資訊資源之所有權
      限,並列入離(休)職之必要手續。人員職務調整及
      調動,應依系統存取授權規定,限期調整其權限。
八、系統發展及維護安全管理事項如下:
  (一)系統發展及維護管理:
    1.本會自行開發或委外發展系統,應在系統生命週期之
      初始階段,即將資訊安全需求納入考量;系統之維
      護、更新、上線執行及版本異動作業,應予安全管
      制,避免不當軟體、暗門及電腦病毒等危害系統安
      全。
    2.各單位對於廠商之軟硬體系統建置及維護人員,應要
      求及限制其可接觸之系統與資料範圍,並嚴禁核發長
      期性之系統辨識碼及通行密碼。基於實際作業需要,
      得核發短期性及臨時性之系統辨識及通行密碼供廠商
      使用。但使用完畢後應立即取消其使用權限。
    3.各單位委託廠商建置及維護重要之軟硬體設施,應在
      機關相關人員監督及陪同下始得為之。
  (二)資訊委外作業服務管理:
    1.資訊作業委外時,應於事前評估潛在風險與業者簽訂
      適當的資訊安全協定,賦與相關的安全管理責任,並
      納入契約條款。
    2.資訊委外服務契約應註明事項如下:
      (1)涉及機密性、敏感性或關鍵性的應用系統之機密
           等級。
      (2)須經核准方得執行的事項。
      (3)業者應遵守的資訊安全要點及標準,評鑑業者的
           項目及程序。
      (4)業者處理及通報事件的責任及程序。
      (5)業者應配合事項。
九、資訊資產安全管理項目及分類如下:
  (一)資訊資產目錄之建立:
    1.主管財產管理業務單位應會同主管資訊業務單位建立
      資訊資產目錄,目錄內容應包括資訊資產的項目、保
      管者及安全等級分類等。
    2.資訊資產包括項目如下
      (1)資料:資料庫及資料檔案、系統文件、使用者手
           冊、訓練教材、作業及支援程序、備援回復作業
           計畫等。
      (2)軟體:應用軟體、系統軟體、發展工具及公用程
           式等。
      (3)硬體:電腦及通訊設備、資料儲存媒體等。
      (4)其他相關設備。
  (二)資訊資產安全之等級分類及標示:
    1.資訊安全分類原則上依據國家機密保護法、個人資料
      保護法及政府資訊公開法等相關法規,建立資訊安全
      等級之分類標準,上開法令修正時亦同。
    2.資訊資產安全分類標準,應考量資訊分享及資料的機
      密性、正確性及安全等級,由業務單位或指定的系統
      管理者負責界定。
    3.已列入安全等級分類的資訊及系統之輸出資料,應以
      文字及顏色標示適當的安全等級以利使用者遵循。
十、實體及環境安全管理措施如下:
  (一)一般辦公環境之安全保護:
    1.實體環境的安全保護,應以事前劃定的各項資訊設施
      為基礎,並設置必要的身分識別程序,以達成安全控
      管的目的。
    2.每項資訊設備的實體保護程度,以及實體身分識別程
      序,應依資訊資產等級及其安全風險價值決定。
    3.電腦相關軟硬體設備或資料,須經主管資訊業務單位
      人員確認及核准後,方可帶離辦公場所,各業務單位
      自行開發之系統及建置之資料亦應於單位主管之核准
      後,方可帶離辦公場所。
    4.個人電腦及電腦終端機不再使用時,應關機、上鎖或
      是其他控制措施保護。
    5.個人電腦嚴禁使用非經授權及來路不明之軟硬體。
    6.列印之文件及磁性媒體在不使用或非上班時段,應存
      放在櫃子內,機密性及敏感性資訊並應上鎖保護。
  (二)電腦機房之安全管理:
    1.電腦機房應考量火災、水災、地震等災害的實體安全
      防護措施,並考量鄰近空間的可能安全威脅。
    2.危險性及易燃性的物品,應存放在遠離電腦機房的安
      全地點。
    3.人員進入電腦機房應予適當的管制,並記錄進出時
      間;人員只有在特定的目的或是被授權情形下,才能
      進入電腦機房。
    4.建置機房火警、空調、溫溼度、電源供應等警示自動
      通報系統,全天候掌控機房運作情況,以確保機房設
      施安全。
    5.安裝適當的安全偵測及防制設備,例如熱度及煙霧偵
      測設備,火災警報設備、滅火設備及火災逃生設備;
      各項安全設備依廠商的使用說明書定期檢查。
    6.若為機房所在為租用其他機關之場所,未能自行將租
      用場所改建裝置者,其相關之安全措施依租用機關之
      規定辦理。
十一、業務永續運作之規劃如下:
  (一)人為及天然災害處理:為因應各種人為及天然災害
        造成業務運作受影響,各單位應依業務性質研擬訂
        定緊急應變計畫使各項業務得以永續運作。
  (二)資安事件通報:
    1.各單位在發生資訊安全事件時,應依行政院國家資通
      安全會報等單位之規定處理程序並採取反應措施,必
      要時得聯繫檢警調單位協助偵查。
    2.有關本會「營運持續管理要點」授權由本會主管資訊
      業務單位參照行政院資訊安全政策及本要點之精神訂
      定之,並於奉核後通告各單位施行。
十二、其他資訊安全管理事項如下:
  (一)本要點未盡之處及其他未定事項,依行政院及所屬
        各機關資訊安全管理規範及其他相關法令規定辦
        理。
  (二)本要點自核定後實施,並於本會網站公告週知,修
        正時亦同。