 壹、資訊安全政策制定 |
| 一、目的 |
| |
鑑於近年來電腦及網路應用已日趨普及,為確保本所有關資料、資訊系統、設備及網路之安全,特訂定本政策,作為本所有關資訊安全管理組織權責分工、人員教育訓練、電腦硬軟體、網路及實體環境管理之準則。 |
| 二、資訊安全定義 |
| |
資訊安全,是一種管理而非技術;所謂資訊安全係採行與資訊資產價值相稱及具成本效益之管理、作業及技術等安全防護手段、措施或機制,以確實掌握本所各項資訊資產免遭不當使用、洩漏、竄改、竊取、破壞等情事,倘不幸遭受惡意攻擊、破壞或不當使用等緊急事故發生時,亦能迅速作必要之應變處置,並在最短時間內回復正常運作,以降低事故可能影響及危害本所業務運作之損害程度。 |
| 三、範圍 |
| |
管理範圍包括人員、應用資訊系統、電腦硬體設備及網路設施等四部分,分述如下
| (一)、人員 |
| |
涵蓋本所正式人員、約聘雇人員、臨時人員、替代役、使用本所資訊資源之委外廠商人員,及與本所連線作業單位之人員。 |
| (二)、應用資訊系統 |
| |
| 1. |
土地登記複丈地價地用電腦作業系統 |
| 2. |
行政資訊管理系統 |
| |
公文製作系統、薪資發放系統、人事管理系統、會計管理系統、財產管理系統、知識管理網站。 |
| 3. |
網際網路應用 |
| |
電子郵件、全球資訊網等。 |
|
| (三)、電腦硬體設備 |
| |
各式主機、工作站、伺服器及個人電腦。 |
| (四)、網路及其設施 |
| |
本所實體網路及相關網路設施。 |
|
| 四、依據 |
| |
本資訊安全政策係依據「電腦處理個人資料保護法」,及「行政院及所屬各機關資訊安全管理規範」為藍本,並參酌相關法令規範訂定。 |
| 五、資訊安全政策目標 |
| |
(一)、本所資訊安全政策總體目標為『資訊安全,全體動員』。
(二)、本所資訊安全管理目標如下
| |
1.維持資訊系統持續運作。
2.防止駭客、病毒等入侵及破壞。
3.防止人為意圖不當及不法使用。
4.避免人為疏失意外。
5.維護實體環境安全。 |
|
|
| 貳、資訊安全組織及權責分工 |
TOP |
一、資訊安全管理組織 |
| |
為辦理本所資訊安全之政策、計畫、資源調度等之協調研議及資訊安全管理事項,特成立「資訊安全小組」由主任擔任督導,資訊主管課登記課長擔任召集人,綜理資訊安全相關事宜,主任指派各課人員擔任組員。 |
| 二、本所資訊安全工作之權責 |
| |
(一)、資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資訊主管課負責辦理。
(二)、資料及資訊系統之安全需求研議、使用管理及保護等事項,由各業務單位負責辦理。
(三)、資訊機密維護及資訊安全之稽核事項,由本所研考、政風單位會同各業務相關單位辦理。 |
三、會議召開 |
| |
「資訊安全小組」至少每二個月召開一次會議,並將會議記錄陳主任核閱。遇重大資訊安全事件或災害時,由資訊安全處理小組機動召開臨時會議。 |
|
| 參、人員安全管理及教育訓練 |
TOP |
| 一、人員安全評估及管理 |
| |
本所對人員之進用及調派,應辦理適當之安全評估與確認其身分背景,考量其人格特質、經歷、專業資格能力等。
| (一)、 |
本所各級主管應負責督導屬員之資訊作業安全,防範不法及不當行為;對可存取機密性、敏感性資訊或系統者及配賦系統存取特別權限之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。 |
| (二)、 |
離職、退休人員,應立即取消其識別碼、通行碼,管制系統使用權限。 |
|
| 二、教育訓練(人員安全管理及教育訓練管理規範) |
| |
依員工角色及職務層級,進行適當的資訊安全講習(如:資訊安全、病毒介紹及其偵防作業等),促使員工瞭解資訊安全的重要性及各種可能的安全風險,以提高員工資訊安全意識,促其遵守資訊安全規定。 |
|
| 肆、資訊資產之分類及控管 |
TOP |
| 資訊資產目錄之建立及保護 |
| |
一、建立的資訊資產目錄,內容應包括資訊資產的項目、保管者及安全等級分類等。
二、資訊資產包括項目如下
| (一)、 |
資料:資料庫及資料檔案、系統文件、使用者手冊、訓練教材、作業及支援程序、備援回復作業計畫等。 |
| (二)、 |
軟體:應用軟體、系統軟體、發展工具及公用程式等。 |
| (三)、 |
硬體:電腦及通訊設備、資料儲存媒體等。 |
| (四)、 |
其他相關設備。 |
|
|
|
| 伍、實體及環境安全管理 |
TOP |
| 一、設備安全管理 |
| |
| (一)、 |
設備應注意安置在適當地點,以減少環境不安全引發之危險及未經授權存取系統的機會。 |
| (二)、 |
重要資訊設備應裝置於獨立之機房內,並依機房門禁管制要點管制人員進出,以達保護、減少環境不安全引發的危險及減少未經授權存取系統的機會。 |
| (三)、 |
電腦設備之設置,應依據製造廠商提供之規格設置電源,以防止斷電或其他電力不正常導致之傷害。重要資訊設備應考量安置預備電源,並使用不斷電系統。不斷電系統應定期維護測試,並依據維護廠商的建議,定期進行電池之更換。應謹慎使用電源延長線,以免電力無法負荷導致火災等危害安全情事。 |
| (四)、 |
電力、通信用電纜線,應予適當之安全防護,以防止被破壞或資料被截取。 |
| (五)、 |
電腦機房外之集線器、網路線及其他網路設備應指定專人管理,以防止被破壞或資料被截取。網路線並應依實體隔離網段及網際網路以顏色區別。 |
| (六)、 |
設置在外部以支援業務運作之資訊設備,亦應遵守資訊安全管理授權規定,保持與內部資訊設備相同之安全水準。 |
|
| 二、周邊安全管理 |
| |
本所電腦機房選定的地點,應考量火災、水災、地震等自然及人為災 害的可能性,並改善鄰近空間的可能安全威脅,機房安全與環境維護由操作人員負責。地點,應考量火災、水災、地震等自然及人為災害的可能性,並改善鄰近空間的可能安全威脅,機房安全與環境維護由操作人員負責。 |
|
| 陸、電腦系統安全管理 |
TOP |
一、電腦系統作業程序及責任
|
| |
| (一)、 |
本所訂定有以書面及網頁公告載明之「電腦系統作業規範」,以確保本所員工正確及安全地操作及使用電腦。 |
| (二)、 |
應建立處理資訊安全事件之作業程序及權責分工。 |
| (三)、 |
對關鍵性的資訊業務,應將資訊安全管理及執行的責任分散,分別賦與相關人員必要之責任。 |
| (四)、 |
為降低風險,應將系統開發及正式作業分開處理,以減少作業軟體或資料遭意外竄改,或遭未經授權的存取。 |
| (五)、 |
資訊作業委外時,應於事前評估潛在風險(如識別碼或密碼遭破解、系統被破壞或資料被竊取等),並與廠商簽訂適當的資訊安全協定,賦與相關的安全管理責任,並納入契約條款。 |
|
二、系統能量規劃
|
| |
| (一)、 |
應隨時注意並觀察分析系統的作業容量,以避免容量不足,而導致降低服務品質。 |
| (二)、 |
應預測作業量成長,預估採購行政作業的前置 時間,俾利及時擴增容量。 |
| (三)、 |
應隨時掌握電腦及網路系統容量使用狀況的資訊,以分析及找出可能危及系統作業的瓶頸,預作防範措施之規劃。 |
| (四)、 |
應規劃資訊系統設備損害或電腦當機時,可維持本
所業務繼續正常作業的備援方案。 |
| (五)、 |
資訊設施及系統的變更,應建立控制及管理機制,以免造成系統安全上的漏洞。 |
|
三、電腦病毒及惡意軟體之防範
|
|
伺服器及個人電腦建置與採行必要的事前預防及保護措施,包括重要主機、個人工作站等防制及偵測電腦病毒及惡意軟體等的侵入,以自動更新病毒碼的方式,達到全面防制;同時加強員工正確認知電腦病毒的威脅,提升員工的資訊安全警覺,健全系統之存取控制機制。 |
四、日常作業之安全管理
|
| |
| (一)、 |
應定期執行必要的資料及軟體備份,以便發生災害或是儲存媒體失效時,可迅速回復正常作業。 |
| (二)、 |
系統資料備份及備援作業,應符合本所業務持續運作之需求。 |
|
五、電腦媒體之管理
|
| |
有關軟體之使用,應遵守相關法令及契約規定。
| (一)、 |
應納入管理之電腦媒體包括可攜帶移動的磁帶、磁碟、光碟、電腦列印報表、作業程序目錄及系統文件等。 |
| (二)、 |
機密性、敏感性的資料,應存放在安全的環境,並指定專人保管,以防範洩漏或不法及不當的使用。 |
| (三)、 |
系統流程、作業流程、資料結構及授權程序等系統文件,應適 當保管以防止不當利用。 |
| (四)、 |
電子資料檔案應妥善保管,以防止遺失、損 毀、或不當使用。 |
| (五)、 |
超過保存時限的媒體,應銷毀。 |
|
六、資料及軟體交換之安全管理
|
| |
有關軟體之使用,應遵守相關法令及契約規定。
| (一)、 |
資料及軟體交換之安全管理內容,包括資料及軟體收送的管理責任、作業程序、技術標準、識別資料及確定軟體收送者身分的標準、資料遺失的責任義務、資料及軟體的所有權、資料保護的責任、軟體的智慧財產權、機密或敏感性資料的安全措施等規定。 |
| (二)、 |
對於機密性或敏感性的資料傳送應採取資料加密等保護措施。 |
| (三)、 |
資訊作業委外時,規範廠商及其工作人員於檢視系統並知悉本
所秘密或民眾個人資料後,應嚴守保密責任,絕不外洩、複製或提供第三者;並與廠商訂定適當的資料保密協定,賦與相關的資料保密責任,並納入契約條款。 |
|
|
| 柒、網路安全管理 |
TOP |
一、網路安全規劃與管理
|
| |
| (一)、 |
建立電腦網路系統的安全標準、程序及準則之控管機制,以確保網路傳輸資料的安全,保護連網作業,防止未經授權的系統存取。 |
| (二)、 |
定期檢討電腦網路安全事項之執行。 |
| (三)、 |
建置網路監控能力的防火牆(Fire Wall),以控管外界與本
所內部網路之間的資料傳輸與資源存取(參照防火牆管理作業要點)。 |
| (四)、 |
本所員工經申請帳號後成為合法授權的網路使用者(以下簡稱網路使用者),並在授權範圍內存取網路資源。 |
| (五)、 |
存放機密性及敏感性資料之大型主機(如資料庫伺服器或其他應用程式伺服器),除作業系統既有的安全設定外,視需要使用安全等級較高之密碼辨識系統,以強化身份辨識之安全機制。 |
|
二、網際網路應用之安全管理
|
| |
| (一)、 |
本所網頁的伺服器為 www.homei-land.gov.tw。 |
| (二)、 |
本所同仁使用的電腦,應安裝防毒軟體,於使用網際網路,及接、送電子郵件時做病毒掃描。 |
|
|
| 捌、系統存取控制安全管理(參照系統存取控制規範) |
TOP |
一、
|
資訊系統存取控制規定本所主要業務使用之資訊系統,由資訊主管課依業務性質派發。同時須對所有系統使用人員造冊管理。 |
| |
| (一)、 |
應訂定資訊系統存取機制,界定存取機制之需求,並以書面、電子或其他方式記錄之。 |
| (二)、 |
業務應用系統負責人,應將系統之存取控制需求,明確告知系統管理者,以利其執行及維持有效的存取控制機制。 |
|
二、使用者之存取管理
|
| |
| (一)、 |
對於多人使用的資訊系統,必須建立正式的使用者註冊管理程序。 |
| (二)、 |
為有效控管資料及系統存取,應定期檢討及評估使用者之存取權限。 |
|
三、網路存取之安全控制
|
| |
| (一)、 |
使用者存取電腦及網路服務之安全規定,應依「系統存取控制規範」辦理。 |
| (二)、 |
使用者應在授權範圍內存取網路系統服務事項。 |
|
四、電腦系統之存取控制使用者進入電腦系統,應經由安全的系統登入程序。
|
五、應用系統之存取控制
|
| |
| (一)、 |
系統進入時應提供畫面供使用者鍵入帳號以辨識業務身分。 |
| (二)、 |
依據使用者身分控制資料的存取範圍及授權(例如限定使用者僅能執行唯讀、寫入、刪除或執行等功能。) |
| (三)、 |
對應用系統進行稽核作業,應審慎規劃,並經權責主管同意,於不影響業務正常運作下辦理。 |
|
|
| 玖、系統發展及維護管理 |
TOP |
| 一、 |
系統安全需求規劃 |
| |
本所各應用系統之安全需求視各業務單位之要求而定,有關各項控管、權限、使用範圍等概由業務主管單位提出,並確認後納入系統規劃設計規範中;若有相關資訊系統發展與維護統一由資訊主管課訂定管制規範。
|
| 二、 |
應用系統之安全管理 |
| |
輸入資料前應由業務單位進行資料檢核,以確保資料的正確性。 |
三、應用系統檔案之安全
|
| |
| (一)、 |
應用系統執行時,應嚴格控制程式版本,減少可能危害作業系統的風險。 |
| (二)、 |
應保護及控制測試資料,避免以含有個人資料的真實資料庫進行測試;如須以真實的資料,應於事前將足以辨識個人的資料去除。 |
|
四、系統變更之安全管理
|
| |
為確保系統安全控制不被破壞,應建立變更控制程序;任何的系統變更,皆應獲得權責管理人員的同意。 |
|
| 拾、業務永續運作管理 |
TOP |
一、備援回復作業計畫之規劃
|
| |
| (一)、 |
為使重要業務在電腦系統發生事故、設施故障或受損害時,仍可持續運作,應研訂週延之維護備援回復作業計畫。 |
| (二)、 |
每一作業程序,都應指定一位執行督導人員。 |
| (三)、 |
緊急應變作業、人工預備作業及回復作業計畫等,應指定適當的單位或人員負責。 |
| (四)、 |
技術服務的預備作業安排(例如電腦及通信系統)可由維護廠商負責。 |
|
二、
|
備援回復作業之測試備援回復作業每年至少測試及演練一次,以確保計畫的有效性,並使相關人員確實瞭解計畫的最新狀態。 |
| 三、 |
備援回復作業計畫之更新備援回復作業計畫應配合業務、組織及人員的調整變更而定期更新,以發揮計畫投資的效益及確保計畫持續有效。 |
四、資訊安全事件通報處理機制
|
| |
| (一)、 |
本所業務如因資訊安全事件(包括系統有安全漏洞、遭受非法入侵及破壞、遭遇阻斷服務攻擊及功能不正常事件等),致電腦系統無法運作或影響執行效率時,相關人員應視其狀況嚴重程度及影響層面,循序向各權責主管報告。 |
| (二)、 |
本所員工發現有資訊安全事件時,參照本所「資安事件通報程序」辦理。 |
| (三)、 |
資訊相關人員,並應依『行政院資通安全危機通報及應變作業計畫』規定向上通報。 |
|
|
| 拾壹、內部稽核及其他管理事項 |
TOP |
一、內部稽核
|
| |
| (一)、 |
內部稽核由政風及研考會同資訊管理人員稽核計畫辦理,稽核各電腦、應用系統、人員、技術及相關法規整合的執行情形。 |
| (二)、 |
稽核計畫要包含時間、地點、稽核對象、稽核內容與程序,對於合法軟體的使用要列為必須稽核項目之一。 |
|
二、
|
定期評估與調整
本資訊安全政策每年進行獨立及客觀的評估,以反映資訊安全管理政策、法令、技術及現新業務的最新狀況;同時確保資訊安全政策與安全的實務作業,包括可行性及有效性。
|
| 三、 |
政策核准與公告
本政策之發行與修定經「資訊安全小組」討論後,陳請主任書面核定後發佈實施;配合定期的安全教育訓練,讓相關員工及使用者充份瞭解內容與重點,以確實執行。 |
|
