您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

法規內容

法規名稱: 國軍退除役官兵輔導委員會政風機構辦理資訊使用管理稽核作業要點
公發布日: 民國 89 年 05 月 15 日
修正日期: 民國 102 年 10 月 16 日
發文字號: 輔政字第1020074856號 函
法規體系: 行政規則/政風服務
圖表附件:
法規功能按鈕區
一、國軍退除役官兵輔導委員會為嚴密資訊管制作為,健全資訊防護
        機制,藉由周密之電腦稽查與管理,提高員工保密警覺,防制刺
        探、蒐集、破壞及非法定人員使用,以整飭資訊作業紀律,確保
        電腦資訊安全,有效防範破壞、竄改、盜竊、洩密或不當使用等
        情事發生。

二、稽核適用範圍:
  (一)本會及所屬各機構已設置或計畫設置資訊作業系統之單位。
  (二)所購置裝備中一部分或全部利用電腦作輔助性功能者。
  (三)凡涉及本會或所屬機構資訊作業系統運作之個人(含規劃、採購
        、程式研發、操作、保養、維護、資料管理及報表領用等員工)
        。

三、稽核權責與職掌:
  (一)各機構首長對所屬電腦系統裝備與設施負資訊安全管理稽核成敗
         之全責。
  (二)本會資訊安全政策之指導、法令擬定、管制作為、安全稽核、資
         訊違規案件查處等全般工作由統計資訊處統籌規劃辦理,並據以
         督導各機構資訊部門執行。
  (三)本會各機構政風部門應對危害資訊安全資料之整理,及資訊洩密
         案件調查,並負資訊安全稽核作業秘書單位:惟應納編機構資訊
         專業人員共同偵處,以維本會資訊安全稽核作業之推動。
  (四)負責籌建電腦作業系統或處理是項業務之主管單位人員,應就專
         業知識提供建議,並策劃各該系統之資訊安全稽核措施,輔導所
         屬執行。
  (五)直接操作控制及維護電腦作業系統裝備與設施之人員,應恪守保
        密安全規定,並就稽核技術觀點提供改進建議; 並對違常使用訊息
        ,應隨即通知資訊安全業管人員查明處理。
  (六)各資訊運用單位及系統管理部門均應律定所屬資訊作業安全責任
        區,負責該等環境與作業之資訊安全稽核管制相關事宜。
  (七)各機構資訊管理部門人員應遴派所需技術人員或其它因業務需要
         人員,與該機構政風部門編成資訊安全管理稽核小組,處理機構
         資訊安全管理稽核相關事宜。
  (八)本會「資訊安全管理稽核小組」編組名冊如附件一。

四、稽核作業注意事項:
  (一)策頒資訊安全規定:
   1、統計資訊處參據「行政院及所屬各機關資訊安全管理要點」; 並
         結合本會特性,訂頒資訊安全相關管理作業要點程序訂定與修審
         ,俾利各單位據以執行。
   2、統計資訊處訂頒之資訊安全管理作業要點,應涵蓋提供系統之相
         關廠商,並要求共同遵行。
   3、所訂頒之資訊安全規定,每年應定期評估執行成效,若有不合時
         宜規定,應隨時修訂補充,俾結合政府法律規定及業務發展所需
         。
  (二)著重稽核作業實效:
   1、請統計資訊處規劃建立並指定專責人員,就本會之資訊安全計畫
         、資料及資訊系統安全需求、使用管理等賦予權責,以推展業務
         。系統管理員應定期將資訊系統各項稽核記錄分析並彙整後陳報
         權責覆核。
   2、資訊系統之變更或開發過程中修改,均應於系統中留存稽核記錄
         以為事後追蹤與分析之基礎。
   3、「本會資訊安全管理稽核小組」,針對各單位資訊作業實況發掘
         潛存危因,實施資訊安全管理稽查作業檢討,確實管制追蹤與複
         查。
  (三)加強管理教育訓練:
   1、相關使用資訊人員在進用之前,應完成必要之考核,於交付工作
         及任務時,應做適當之評估,伺服器以上之系統管理人員應建立
         代理備援機制,其業務主管對該等人員應具備稽核能力。
   2、擔任資訊作業人員在派任工作前,應由單位保密員宣導資訊保密
         安全等相關規定,俾使瞭解保密安全責任 ; 資訊部門定期辦理講
         習訓練時,並予著重資訊安全教育,熟悉有關安全要求與方法,
         建立員工對資訊安全認知。
   3、對本會相關之資訊管理、維護、設計、操作及使用人員,應有適
         當分工,並能相互制衡,適時調整工作,採取隔離措施:並由系
         統業管人員撤換其通行密碼及收繳具儲存功能之媒體,防範不法
         或不當情事發生。
  (四)完善系統安全管理:
   1、本會各資訊系統應於規劃之初,即將資訊安全納入設計首要考量
         因素,並完成風險評估報告,詳細律定安全作業程序以落實安全
         防護措施及安全機制。
   2、一般使用者與系統管理者之密碼選取應與區分限制,避免雷同,
         密碼應律定更換時機;系統管理者如有異動時,應於異動前一月
         調整該管理者之工作,並完成所有系統相關工作之移交,不得再
         接觸任何前項工作,系統管理者密碼並即予更換。資訊系統應加
         裝系統安全掃瞄程式,每日至少對系統進行乙次以上之安全偵測
         ,偵測項目納入系統使用文件安全作業規定內,並予記錄備查。
   3、本會所委外作業電腦腦系統,應在契約中明訂廠商之安全責任、
         保密規定及相關罰則,並定期查核,防範不法。
   4、電腦系統如需變更作業時,應有周延之控管制度,如申請程序、
         核准權限、建立記錄及稽核等,以防系統遭不當變更。
  (五)嚴密網路安全機制:
   1、本會對提供外界使用之各類型服務網站,應確定其安全性,避免
         發生機構或個人及機密資料外洩情事。
   2、本會與外界網路連接之網點,應設有防火牆等安全設施,有效控
         管外界與本會內部網路資料之傳輸與存取,防火牆等安全測試,
         防範安全罐隙發生。
   3、本會各機構上傳全球資訊網之網站資料,事前應責成專人對資料
         之安全完成評估,並簽奉權責長官核准,對具機密性、敏感性及
         個人隱私之資料或文件,不得上網公布。
   4、統計資訊處應訂定維護本會各部門網站資料安全之規定,要求各
         單位網站負責人,不得擅至對外公布未經核准資料,避免觸犯法
         律。
   5、統計資訊處策頒之電子郵件使用規定,應有效管理及規範員工使
         用電子郵件,妥善管理帳號,傳送郵件不得涉及機密資料,並完
         成切結等,以免觸法。
   6、統計資訊處應配合政府推展資訊安全之要求,對員工需以電子郵
         件傳遞較敏威之文件時,視需要賦予使用人相關之加密或電子簽
         章等安全處理技術。
   7、統計資訊處宜按「行政院及所屬各機關資訊安全管理要點」之規
         定,在發展或採購加密技術時,應符合國家標準及安全無虞之密
         碼模組。
  (六)嚴謹系統存取控管:
   1、統計資訊處協調相關單位,訂定本會各項電腦系統存取及授權規
         定,以規範使用者之權限及責任。
   2、各項電腦系統之存取,應以執行法定任務者為限,其使用者一經
         調、離該職,應即取消所賦予之存取權限,並列入調離職必要完
         成之手續。
   3、對使用系統之員工,應由統計資訊處建立註冊管理制度,加強使
         用者通行密碼之管理,並視作業系統及安全管理之需求,定期更
         新之。
   4、本會如及各機構委外建立之電腦系統,統計資訊處應在簽訂契約
         中,明定適當之安全管制措施,防止資料被竊取、竄改、販售或
         留存不當備份等情事。
  (七)維護系統發展安全:
   1、本會自行研發或委外開發之系統,應將資訊安全架構分析融入系
         統分析與系統設計中,對該系統及其採用之作業與資料庫系統符
         合安全規範,始得進入程式撰寫階段,並對系統之更新或異動作
         業納入管制。
   2、本會對委外建構系統之廠商,應規範及限制其可接觸之系統與資
         料,對於核發之系統識別碼及通行密碼,應有一定期限,使用完
         畢後應立即取消其權限。
   3、資訊業務單位應建立各類資訊系統管理及維護之技術能力,以防
         廠商於系統中預留後門。
   4、資訊安全控管機制設計於存放資料之伺服端,不得設計於用戶端
         執行,不得將任何帳號及密碼以明文或密文方式儲存於用戶端系
         統中。
   5、撥接伺服器之裝設,非經本會之核准,不得將自動電話透過人工
         或自動總機系統轉接至連線電路。
   6、網路上之資源分享應設權限管制,系統管理員應定期檢查網路上
         伺服器及個人電腦資源分享狀況,以杜絕洩密情事。
   (八)訂定安全應變措施:
   1、為求本會業務永續經營,有關資訊作業能配合無虞,統計資訊處
         應對各種人為或天然災害對資訊運作所可能造成之傷害,妥作應
         變及復原作業等措施,並定期演練及檢討改進。
   2、為防範資訊系統發生當機,而導致影響作業等意外事件發生,統
         計資訊處應建立緊急事件處理機制及程序,俾迅速消弭當機事故
         ,恢復資訊正常運作。
   3、對本會重要電腦資訊及各項軟硬體設備,除應有之備分外,應對
         其安置處所加強門禁管制與查察,防範遭受破壞、失竊等情事發
         生。

五、稽核方式:
  (一)資訊安全總檢查:
         結合年度公務機密維護檢查期間,每年實施乙次資訊安全使用管
         理稽核,統計資訊處應結合階段性任務與特性,納入稽核編組實
         施抽查。
  (二)例行檢查:
         由各單位保密員逐日實施,其結果納入「工作日誌」或「保密檢
         查記錄簿」,每週簽陳權責長官核閱:若發現異常狀況,應予究
         明原因,檢討改進。
  (三)突擊檢查:
         依狀況需要,不定期對單位內部及及本會所屬一級機構資訊安全
         相關作業實施突擊式重點抽查,每半年至少實施乙次。
  (四)相關檢查除著眼於發掘缺失、即時改正外,並應以「防堵罅隙、
         遏阻不法」為重點:有關之計畫包含: 稽核目的、稽核時間、稽核
         項目、受稽核單位與人員、稽核人員編組、稽核方法與進行程序、
         稽核結果處理、行政支援事項等。對稽核所見優缺點,應於稽核結
         束後,陳報主任秘書以上長官核閱,並予公布結果,缺失列為下次
         複檢單位。
   (五)稽核項目檢查表如附件二。

六、一般規定事項:
   (一)本會資訊安全稽核工作由政風處負責秘書作業,統計資訊處等專業
          單位密切協調配合,發掘缺失,消弭危安因素,提昇資訊使用安全
          。
   (二)實施稽核時,應就檢查表列事項,對本會訂有計畫之檢查,以求完
         善周全,防杜資訊安全產生罅隙。
   (三)實施稽核時,得調閱有關資料、實地測試或檢查資訊軟、硬體設備
         使用情形,並請相關單位操作人員提供說明。
   (四)如經稽核發現涉及違背「刑法」、「國家機密保護法」、「個人資
          料保護法」等法律規定或違反本會資訊安全相關規定者,應依法查
          處,違反情節重大者檢討議處。