一、國軍退除役官兵輔導委員會為嚴密資訊管制作為,健全資訊防護
機制,藉由周密之電腦稽查與管理,提高員工保密警覺,防制刺
探、蒐集、破壞及非法定人員使用,以整飭資訊作業紀律,確保
電腦資訊安全,有效防範破壞、竄改、盜竊、洩密或不當使用等
情事發生。
二、稽核適用範圍:
(一)本會及所屬各機構已設置或計畫設置資訊作業系統之單位。
(二)所購置裝備中一部分或全部利用電腦作輔助性功能者。
(三)凡涉及本會或所屬機構資訊作業系統運作之個人(含規劃、採購
、程式研發、操作、保養、維護、資料管理及報表領用等員工)
。
三、稽核權責與職掌:
(一)各機構首長對所屬電腦系統裝備與設施負資訊安全管理稽核成敗
之全責。
(二)本會資訊安全政策之指導、法令擬定、管制作為、安全稽核、資
訊違規案件查處等全般工作由統計資訊處統籌規劃辦理,並據以
督導各機構資訊部門執行。
(三)本會各機構政風部門應對危害資訊安全資料之整理,及資訊洩密
案件調查,並負資訊安全稽核作業秘書單位:惟應納編機構資訊
專業人員共同偵處,以維本會資訊安全稽核作業之推動。
(四)負責籌建電腦作業系統或處理是項業務之主管單位人員,應就專
業知識提供建議,並策劃各該系統之資訊安全稽核措施,輔導所
屬執行。
(五)直接操作控制及維護電腦作業系統裝備與設施之人員,應恪守保
密安全規定,並就稽核技術觀點提供改進建議; 並對違常使用訊息
,應隨即通知資訊安全業管人員查明處理。
(六)各資訊運用單位及系統管理部門均應律定所屬資訊作業安全責任
區,負責該等環境與作業之資訊安全稽核管制相關事宜。
(七)各機構資訊管理部門人員應遴派所需技術人員或其它因業務需要
人員,與該機構政風部門編成資訊安全管理稽核小組,處理機構
資訊安全管理稽核相關事宜。
(八)本會「資訊安全管理稽核小組」編組名冊如附件一。
四、稽核作業注意事項:
(一)策頒資訊安全規定:
1、統計資訊處參據「行政院及所屬各機關資訊安全管理要點」; 並
結合本會特性,訂頒資訊安全相關管理作業要點程序訂定與修審
,俾利各單位據以執行。
2、統計資訊處訂頒之資訊安全管理作業要點,應涵蓋提供系統之相
關廠商,並要求共同遵行。
3、所訂頒之資訊安全規定,每年應定期評估執行成效,若有不合時
宜規定,應隨時修訂補充,俾結合政府法律規定及業務發展所需
。
(二)著重稽核作業實效:
1、請統計資訊處規劃建立並指定專責人員,就本會之資訊安全計畫
、資料及資訊系統安全需求、使用管理等賦予權責,以推展業務
。系統管理員應定期將資訊系統各項稽核記錄分析並彙整後陳報
權責覆核。
2、資訊系統之變更或開發過程中修改,均應於系統中留存稽核記錄
以為事後追蹤與分析之基礎。
3、「本會資訊安全管理稽核小組」,針對各單位資訊作業實況發掘
潛存危因,實施資訊安全管理稽查作業檢討,確實管制追蹤與複
查。
(三)加強管理教育訓練:
1、相關使用資訊人員在進用之前,應完成必要之考核,於交付工作
及任務時,應做適當之評估,伺服器以上之系統管理人員應建立
代理備援機制,其業務主管對該等人員應具備稽核能力。
2、擔任資訊作業人員在派任工作前,應由單位保密員宣導資訊保密
安全等相關規定,俾使瞭解保密安全責任 ; 資訊部門定期辦理講
習訓練時,並予著重資訊安全教育,熟悉有關安全要求與方法,
建立員工對資訊安全認知。
3、對本會相關之資訊管理、維護、設計、操作及使用人員,應有適
當分工,並能相互制衡,適時調整工作,採取隔離措施:並由系
統業管人員撤換其通行密碼及收繳具儲存功能之媒體,防範不法
或不當情事發生。
(四)完善系統安全管理:
1、本會各資訊系統應於規劃之初,即將資訊安全納入設計首要考量
因素,並完成風險評估報告,詳細律定安全作業程序以落實安全
防護措施及安全機制。
2、一般使用者與系統管理者之密碼選取應與區分限制,避免雷同,
密碼應律定更換時機;系統管理者如有異動時,應於異動前一月
調整該管理者之工作,並完成所有系統相關工作之移交,不得再
接觸任何前項工作,系統管理者密碼並即予更換。資訊系統應加
裝系統安全掃瞄程式,每日至少對系統進行乙次以上之安全偵測
,偵測項目納入系統使用文件安全作業規定內,並予記錄備查。
3、本會所委外作業電腦腦系統,應在契約中明訂廠商之安全責任、
保密規定及相關罰則,並定期查核,防範不法。
4、電腦系統如需變更作業時,應有周延之控管制度,如申請程序、
核准權限、建立記錄及稽核等,以防系統遭不當變更。
(五)嚴密網路安全機制:
1、本會對提供外界使用之各類型服務網站,應確定其安全性,避免
發生機構或個人及機密資料外洩情事。
2、本會與外界網路連接之網點,應設有防火牆等安全設施,有效控
管外界與本會內部網路資料之傳輸與存取,防火牆等安全測試,
防範安全罐隙發生。
3、本會各機構上傳全球資訊網之網站資料,事前應責成專人對資料
之安全完成評估,並簽奉權責長官核准,對具機密性、敏感性及
個人隱私之資料或文件,不得上網公布。
4、統計資訊處應訂定維護本會各部門網站資料安全之規定,要求各
單位網站負責人,不得擅至對外公布未經核准資料,避免觸犯法
律。
5、統計資訊處策頒之電子郵件使用規定,應有效管理及規範員工使
用電子郵件,妥善管理帳號,傳送郵件不得涉及機密資料,並完
成切結等,以免觸法。
6、統計資訊處應配合政府推展資訊安全之要求,對員工需以電子郵
件傳遞較敏威之文件時,視需要賦予使用人相關之加密或電子簽
章等安全處理技術。
7、統計資訊處宜按「行政院及所屬各機關資訊安全管理要點」之規
定,在發展或採購加密技術時,應符合國家標準及安全無虞之密
碼模組。
(六)嚴謹系統存取控管:
1、統計資訊處協調相關單位,訂定本會各項電腦系統存取及授權規
定,以規範使用者之權限及責任。
2、各項電腦系統之存取,應以執行法定任務者為限,其使用者一經
調、離該職,應即取消所賦予之存取權限,並列入調離職必要完
成之手續。
3、對使用系統之員工,應由統計資訊處建立註冊管理制度,加強使
用者通行密碼之管理,並視作業系統及安全管理之需求,定期更
新之。
4、本會如及各機構委外建立之電腦系統,統計資訊處應在簽訂契約
中,明定適當之安全管制措施,防止資料被竊取、竄改、販售或
留存不當備份等情事。
(七)維護系統發展安全:
1、本會自行研發或委外開發之系統,應將資訊安全架構分析融入系
統分析與系統設計中,對該系統及其採用之作業與資料庫系統符
合安全規範,始得進入程式撰寫階段,並對系統之更新或異動作
業納入管制。
2、本會對委外建構系統之廠商,應規範及限制其可接觸之系統與資
料,對於核發之系統識別碼及通行密碼,應有一定期限,使用完
畢後應立即取消其權限。
3、資訊業務單位應建立各類資訊系統管理及維護之技術能力,以防
廠商於系統中預留後門。
4、資訊安全控管機制設計於存放資料之伺服端,不得設計於用戶端
執行,不得將任何帳號及密碼以明文或密文方式儲存於用戶端系
統中。
5、撥接伺服器之裝設,非經本會之核准,不得將自動電話透過人工
或自動總機系統轉接至連線電路。
6、網路上之資源分享應設權限管制,系統管理員應定期檢查網路上
伺服器及個人電腦資源分享狀況,以杜絕洩密情事。
(八)訂定安全應變措施:
1、為求本會業務永續經營,有關資訊作業能配合無虞,統計資訊處
應對各種人為或天然災害對資訊運作所可能造成之傷害,妥作應
變及復原作業等措施,並定期演練及檢討改進。
2、為防範資訊系統發生當機,而導致影響作業等意外事件發生,統
計資訊處應建立緊急事件處理機制及程序,俾迅速消弭當機事故
,恢復資訊正常運作。
3、對本會重要電腦資訊及各項軟硬體設備,除應有之備分外,應對
其安置處所加強門禁管制與查察,防範遭受破壞、失竊等情事發
生。
五、稽核方式:
(一)資訊安全總檢查:
結合年度公務機密維護檢查期間,每年實施乙次資訊安全使用管
理稽核,統計資訊處應結合階段性任務與特性,納入稽核編組實
施抽查。
(二)例行檢查:
由各單位保密員逐日實施,其結果納入「工作日誌」或「保密檢
查記錄簿」,每週簽陳權責長官核閱:若發現異常狀況,應予究
明原因,檢討改進。
(三)突擊檢查:
依狀況需要,不定期對單位內部及及本會所屬一級機構資訊安全
相關作業實施突擊式重點抽查,每半年至少實施乙次。
(四)相關檢查除著眼於發掘缺失、即時改正外,並應以「防堵罅隙、
遏阻不法」為重點:有關之計畫包含: 稽核目的、稽核時間、稽核
項目、受稽核單位與人員、稽核人員編組、稽核方法與進行程序、
稽核結果處理、行政支援事項等。對稽核所見優缺點,應於稽核結
束後,陳報主任秘書以上長官核閱,並予公布結果,缺失列為下次
複檢單位。
(五)稽核項目檢查表如附件二。
六、一般規定事項:
(一)本會資訊安全稽核工作由政風處負責秘書作業,統計資訊處等專業
單位密切協調配合,發掘缺失,消弭危安因素,提昇資訊使用安全
。
(二)實施稽核時,應就檢查表列事項,對本會訂有計畫之檢查,以求完
善周全,防杜資訊安全產生罅隙。
(三)實施稽核時,得調閱有關資料、實地測試或檢查資訊軟、硬體設備
使用情形,並請相關單位操作人員提供說明。
(四)如經稽核發現涉及違背「刑法」、「國家機密保護法」、「個人資
料保護法」等法律規定或違反本會資訊安全相關規定者,應依法查
處,違反情節重大者檢討議處。