法規內容:
壹、依據:
一、行政院八十八年九月十五日台八八經字第二一四士三一六號函頒「行
政院及所屬各機關資訊安全管理要點」。
二、法務部八十八年十二月二日法八八政字第二二一六一入號函頒「政風
機構辦理資訊使用管理稽核作業要點」及八十九年三月九日法入九政
決字第五一○八號函頒「訊安全管理稽核表」。
三、行政院研考會八十八年十一月十六日入入會訊字第五七八七號函頒「
行政院及所屬各機關資訊安全管理規範」及本會實際需要訂定之。
貳、目的:
為嚴密資訊管制作為,健全資訊防護機制,藉由周密之電腦稽查與管
理,提高員工保密警覺,防制刺探、蒐集、破壞及非法定人員使用,
以整飭資訊作業紀律,確保電腦資訊安全,有效防範破壞、竄改、盜
竊、洩密或不當使用等情事發生。
參、稽核適用範圍:
一、本會及所屬各機構已設置或計畫設置資訊作業系統之單住。
二、所購置裝備中一部分或全部利用電腦作輔助性功能者。
三、凡涉及本會或所屬機構資訊作業系統運作之個人(含規劃、採購、程
式研發、操作、保養、維護、資料管理及報表領用等員工)。
肆、稽核權責與職掌:
一、各機構首長對所屬電腦系統裝備與設施負資訊安全管理稽核成敗之全
責。
二、本會資訊安全政策之指導、法令擬定、管制作為、安全稽核、資訊違
規案件查處等全般工作由統計處統籌規劃辦理,並據以督導各機構資
訊部門執行。
三、本會各機構政風部門應對危害資訊安全資料之整理,及資訊洩密案件
調查,並負資訊安全稽核作業秘書單住:惟應納編機構資訊專業人員
共同偵處,以維本會資訊安全稽核作業之推動。
四、負責籌建電腦作業系統或處理是項業務之主管單佳人員,應就專業知
識提供建議,並策劃各該系統之資訊安全稽核措施,輔導所屬執行。
五、直接操作控制及維護電腦作業系統裝備與設施之人員,應烙守保密安
全規定,並就稽核技術觀點提供改進建議; 並對違常使用訊息,應隨
即通知資訊安全業管人員查明處理。
六、各資訊運用單住及系統管理部門均應律定所屬資訊作業安全責任區,
負責該等環境與作業之資訊安全稽核管制相關事宜。
七、各機構資訊管理部門人員應遴派所需技術人員或其它因業務需要人員
,與該機構政風部門編成口資訊安全管理稽核小組,處理機構資訊安
全管理稽核相關事宜。
八、本會「資訊安全管理稽核小組」編組名冊如附件一。
伍、稽核作業注意事項:
一、策頒資訊安全規定:
(一)統計處參據「行政院及所屬各機關資訊安全管理要點」; 亞結合本
會特性,訂頒資訊安全相關管理作業要點程序訂定與修審,俾利各
單住據以執行。
(二)統計處訂頒之資訊安全管理作業要點,應涵蓋提供系統之相關廠商
,並要求共同遵行。
(三)所訂頒之資訊安全規定,每年應定期評估執行成效,若有不合時宜
規定,應隨時修訂補充,俾結合政府法律規定及業務發展所需。
二、著重稽核作業實效:
(一)請統計處規劃建立並指定專責人員,就本會之資訊安全計畫、資料
及資訊系統安全需求、使用管理等賦予權責,; 亞推展業務。系統
管理員應定期將資訊系統各項稽核記錄分析並彙整後陳報權責覆核
。
(二)資訊系統之變更或開發過程中修改,均應於系統中留存稽核記錄以
為事後追蹤與分析之基礎。
(三)「本會資訊安全管理稽核小組」,針對各單位資訊作業實況發掘潛
存危因,實施資訊安全管理稽查作業檢討,確實管制追蹤與複查。
三、加強管理教育訓練:
(一)相關使用資訊人員在進用之前,應完成必要之考核,於交付工作及
任務時,應做適當之評估,伺服器以上之系統管理人員應建立代理
備援機制,其業務主管對該等人員應具備稽核能力。
(二)擔任資訊作業人員在派任工作前,應由單住保密員宣導資訊保密安
全等相關規定,俾使瞭解保密安全責任; 資訊部門定期辦理講習訓
練時,並予著重資訊安全教育,熟悉有關安全要求與方法,建立員
工對資訊安全認知。
(三)對本會相關之資訊管理、維護、設計、操作及使用人員,應有適當
分工,並能相互制衡,適時調整工作,採取隔離措施:並由系統業
管人員撤換其通行密碼及收繳具儲存功能之媒體,防範不法或不當
情事發生。
四、完善系統安全管理:
(一)本會各資訊系統應於規劃之初,即將資訊安全納入設計首要考量因
素,並完成風險評估報告,詳細律定安全作業程序以落實安全防護
措施及安全機制。
(二)一般使用者與系統管理者之密碼選取應與區分限制,避免雷同,密
碼應律定更換時機;系統管理者如有異動時,應於異動前一月調整
該管理者之工作,並完成所有系統相關工作之移交,不得再接觸任
何前項工作,系統管理者密碼並即予更換。資訊系統應加裝系統安
全掃瞄程式,每日至少對系統進行乙次以上之安全偵測,偵測項目
納入系統使用文件安全作業規定內,並予記錄備查。
(三)本會所委外作業電腦腦系統,應在契約中明訂廠商之安全責任、保
密規定及相關罰則,並定期查核,防範不法。
(四)電腦系統如需變更作業時,應有周延之控管制度,如申請程序、核
准權限、建立記錄及稽核等,以防系統遭不當變更。
五、嚴密網路安全機制:
(一)本會對提供外界使用之各類型服務網站,應確定其安全性,避免發
生機構或個人及機密資料外洩情事。
(二)本會與外界網路連接之網點,應設有防火牆等安全設施,有效控管
外界與本會內部網路資料之傳輸與存取,防火牆等安全測試,防範
安全罐隙發生。
(三)本會各機構上傳全球資訊網之網站資料,事前應責成專人對資料之
安全完成評估,並簽奉權責長官核准,對具機密性、敏感性及個人
隱私之資料或文件,不得上網公布。
(四)統計處應訂定維護本會各部門網站資料安全之規定,要求各單位網
站負責人,不得擅至對外公布未經核准資料,避免觸犯法律。
(五)統計處策頒之電子郵件使用規定,應有效管理及規範員工使用電子
郵件,妥善管理帳號,傳送郵件不得涉及機密資料,並完成切結等
,以免觸法。
(六)統計處應配合政府推展資訊安全之要求,對員工需以電子郵件傳遞
較敏威之文件時,視需要賦予使用人相關之加密或電子簽章等安全
處理技術。
(七)統計處宜按「行政院及所屬各機關資訊安全管理要點」之規定,在
發展或採購加密技術時,應符合國家標準及安全無虞之密碼模組。
六、嚴謹系統存取控管:
(一)統計處協調相關單住,訂定本會各項電腦系統存取及授權規定,以
規範使用者之權限及責任。
(二)各項電腦系統之存取,應以執行法定任務者為限,其使用者一經調
、離該職,應即取消所賦予之存取權限,並列入調離職必要完成之
手續。
(三)對使用系統之員工,應由統計處建立註冊管理制度,加強使用者通
行密碼之管理,並視作業系統及安全管理之需求,定期更新之。
(四)本會如及各機構委外建立之電腦系統,統計處應在簽訂契約中,明
定適當之安全管制措施,防止資料被竊取、竄改、販售或留存不當
備份等情事。
七、維護系統發展安全:
(一)本會自行研發或委外開發之系統,應將資訊安全架構分析融入系統
分析與系統設計中,對該系統及其採用之作業與資料庫系統符合安
全規範,始得進入程式撰寫階段,並對系統之更新或異動作業納入
管制。
(二)本會對委外建構系統之廠商,應規範及限制其可接觸之系統與資料
,對於核發之系統識別碼及通行密碼,應有一定期限,使用完畢後
應立即取消其權限。
(三)資訊業務單位應建立各類資訊系統管理及維護之技術能曰豆,以防
廠商於系統中預留後門。
(四)資訊安全控管機制設計於存放資料之伺服端,不得設計於用戶端執
行,不得將任何帳號及密碼以明文或密文方式儲存於用戶端系統中
。
(五)撥接伺服器之裝設,非經本會之核准,不得將自動電話透過人工或
自動總機系統轉接至連線電路。
(六)網路上之資源分享應設權限管制,系統管理員應定期檢查網路上伺
服器及個人電腦資源分享狀況,以杜絕洩密情事。
八、訂定安全應變措施:
(一)為求本會業務永續經營,有關資訊作業能配合無虞,統計處應對各
種人為或天然災害對資訊運作所可能造成之傷害,妥作應變及復原
作業等措施,並定期演練及檢討改進。
(二)為防範資訊系統發生當機,而導致影響作業等意外事件發生,統計
處應建立緊急事件處理機制及程序,俾迅速消弭當機事故,恢復資
訊正常運作。
(三)對本會重要電腦資訊及各項軟硬體設備,除應有之備分外,應對其
安置處所加強門禁管制與查察,防範遭受破壞、失竊等情事發生。
陸、稽核方式:
一、資訊安全總檢查:
結合年度公務機密維護檢查期問,每年實施乙次資訊安全使用管理稽
核,統計處應結合階段性任務與特性,納入稽核編組實施抽查。
二、例行檢查:
由各單住保密員逐日實施,其結果納入「工作日誌」或「保密檢查記
錄簿」,每週簽陳權責長官核閱:若發現異常狀況,應予究明原因,
檢討改進。
三、突擊檢查:
依狀況需要,不定期對單住內部及及本會所屬一級機構資訊安全相關
作業實施突擊式重點抽查,每半年至少實施乙次。
四、相關檢查除著眼於發掘缺失、即時改正外,並應以「防堵罐隙、遏阻
不法」為重點:有關之計畫包含: 稽核目的、稽核時間、稽核項目、
受稽核單住與人員、稽核人員編組、稽核方法與進行程序、稽核結果
處理、行政支援事項等。對稽核所見優缺點,應於稽核結束後,陳報
秘書長以上長官核閱,並予公布結果,缺失列為下次複檢單位。
五、稽核項目檢查表如附件二。
柒、一般規定事項:
一、本會資訊安全稽核工作由政風處負責秘書作業,統計處等專業單位密
切協調配合,發掘缺失,消弭危安因素,提昇資訊使用安全。
二、實施稽核時,應就檢查表列事項,對本會仲有計畫之檢查,以求完善
周全,防杜資訊安全產生罐隙。
三、實施稽核時,得調閱有關資料、實地測試或檢查資訊軟、硬體設備使
用情形,並請相關單位操作人員提供說明。
四、如經稽核發現涉及違背「刑法」、「國家機密保護法」、「電腦處理
個人資料保護法」等法律規定情事,應依法查處。
五、無政風編制機構,由兼辦政風或機構首長指定過員負責處理本項業務
。
六、本要點如有未盡事宜,得另行修訂補充之。