发布文号: 警署资字第0940076252号
一、内政部警政署(以下简称本署)为促进各警察机关制订信息安全政策,建立信息管理制度,采行适当必要之信息安全政策,确保信息搜集、处理、传送、储存及流通之安全,特订定本规定。
二、本规定所称信息安全政策,指为达成以下信息安全目标所订定之信息安全管理作业规定、措施、标准、规范及行为准则等:
(一)建立信息管理制度,订定重要信息资产及关键性业务之防灾对策及灾变复原计画,确保本机关可持续运作。
(二)确保信息系统、信息资产之安全,包括人员、设备、系统、信息、资料及网络等。
(三)防止泄漏机密资料,建立信息安全,人人有责之观念,进行信息安全必要训练,提高信息安全意识。
三、警察机关信息安全维护,应依据计算机处理个人数据保护法、国家机密保护法与行政院及所属各机关信息安全管理要点等有关法令,衡酌机关业务需求,参考本规定订定信息安全政策,研订信息作业之安全水准,并以书面、电子或其它方式通知所属员工及有关机关(构)。
四、信息安全管理业务分工如下:
(一)信息单位:负责执行信息操作系统、装备与设施保密安全业务。
(二)业务单位:负责主管计算机系统资料之使用管理维护及订定资料保密安全措施。
(三)政风(督察、保防)单位:负责督考信息机密维护、稽核使用管理及信息作业、资料销毁等保密安全事宜。
(四)使用单位:负责追踪管制计算机数据处理过程及防止资料外泄。
五、各机关应依据国家机密保护法、计算机处理个人数据保护法及政府信息公开办法及相关法令,实施信息资产安全分级管理措施,并依下列规定办理:
(一)订定信息安全等级分类标准,建立信息资产目录包括信息资产项目、保管者及安全等级分类等。
(二)信息及系统之输出资料,标示适当安全等级及保护措施,以利使用者遵循。
六、信息系统应具备安全保护功能如下:
(一)密码保护。
(二)档案管理系统保护。
(三)系统使用权限管理。
(四)数据库管理系统保护。
(五)各项应用操作系统之计算机主机,应全日二十四小时自动记录每一帐号查询及更新资料之时间、种类、内容及结果,并保留五年,以资查考。
七、软件程序安全管制规定如下:
(一)安装之作业软件,非经授权不得任意修改。
(二)不得径行安装未具合法版权或来路不明之作业(套装)软件。
(三)作业软件应建立使用权限,避免非业务权责人员阅览、撷取或破坏。
(四)软件稳定后应责由专人保管,并立即拷贝三份储存。
(五)软件程序之储存应由系统人员规划及配置,并建立档案识别辨证,限制非该系统之软件程序撷取或破坏。
(六)作业(套装)软件开发、维修时,不得提供维修人员正式资料测试。
(七)信息作业人员于修改程序或资料媒体内容时,必须经过各该主管核可后实施。
(八)与计算机公司技术人员讨论软件疑难问题时,不得涉及业务机密。
(九)为能迅速处理故障,恢复正常使用,作业软件应订定故障复原程序。
(十)不得将机关专属之软件复制到机关以外之机器设备。
八、资料建置、查询、更新与备份安全管制规定如下:
(一)各项计算机资料如署本署所列公务机密资料(如附表一)应妥为处理。经列为「绝对机密」之资料,不得复制输出。
(二)各机关建置资料时,应依业务需要建立使用权限,避免非业务权责人员阅览、撷取或破坏。
(三)于法定职掌必要范围内,使用工作站查询资料时,应确实填写查询纪录簿(格式如附表二),实际查询人取得打印资料应予签收确认,查询完毕时务必结束联机,单位主管每日应管理、审核查询状况,并签核查询纪录簿。
(四)查询纪录簿应指定专责人员保管,且保存五年;管理人员调、离职时应列册点交。
(五)请求查询资料与提供,应符合计算机处理个人数据保护法及机密档案管理办法等相关法令规定。
(六)警察机关请求整批方式查询资料或非警察机关请求查询资料时,均应备文,并经该资料业务单位签陈同意后办理,其权责单位律定如下:
1.中央机关及其所属机关、机构申请查阅计算机处理之民众个人资料,由本署受理提供。
2.直辖市、县(市)政府及其它各级地方政府等相关机构申请查阅计算机处理之民众个人资料,由各该地区之警察局受理。
3.刑案资料由刑事警察局或各县市警察局刑警队负责受理提供;入出境资料统由入出境管理局负责受理提供;其余资料除法令另有规定外,应由业务单位依计算机处理个人数据保护法规定签会信息单位陈请主官核定后提供。
(七)员警因时间急迫,有必要请求他机关(单位)代查资料时,应由受托代查机关(单位)确认请求代查人身分及代查事由,经主官(管)书面核准后代为查询并载明于查询纪录簿。但请求代查员警应于查询后一周内由其所属机关补文函送代查机关(单位)备查。
(八)发现应依计算机处理个人数据保护法规定维护正确。发现资料错误时,应依各作业之规定,检附正确资料,送相关单位办理更正。
(九)资料建置后,应立即拷贝三份,并定期执行资料及系统软件备份。
备份资料应异地储存,并不定期测试回复程序。
(十)备份资料储存场所安全维护措施,应比照计算机作业场所办理。
(十一)具机密性及敏感性资料或文件,不得存放在对外开放信息系统中。
九、资料输出安全管制规定如下:
(一)经由计算机设备查得之资料,不得擅自拷贝或外泄。
(二)计算机通报资料应设簿(格式如附表三)签收登记。
(三)报表提供递送,其属于密等级以上资料者,应以密件公文处理。
(四)输出产生之废纸应一律销毁,不得留作他用。
十、工作站安全管制规定如下:
(一)本署每六个月应配赋专属计算机系统联机操作密码,由各机关依工作需要分配使用,不得浮滥,并严禁多人使用同一密码。
(二)各机关应将密码使用名册或电子文件(磁盘、光盘)保留五年,于每半年配赋新密码时,旧密码使用名册或电子文件(磁盘、光盘)应并同配赋新密码之公文送档案室归档备查。
(三)专属计算机系统联机操作密码,如有泄密之虞,使用者应立即申请撤销该密码,密码使用者因业务调整、调职、停(离)职时,管理者亦应立即依规定申请撤销该密码。
(四)工作站需携出维修时,硬盘须拆除。
(五)使用者离开计算机时,应退出使用环境,每日下班前使用者应确实关机(包括主机、屏幕、打印机、打印机服务器),以确保资料安全。
(六)非经核准严禁私接具有储存装置功能及擅自加装硬件配备或更改电脑系统环境之设定。
(七)对政府机关之联机均须透过机关网络,不得擅自建置拨接设备,以免造成安全漏洞;如有个别需求,应与机关网络隔离,并另建置防火墙。
(八)工作站网址,不得自行变更设定。
(九)计算机设备报废前应将所有资料移除。
(十)因业务需要透过网络芳邻分享数据文件时,必须设定使用者及权限管理。
(十一)非机关配置之计算机设备不得接续于各机关之网络;如确有业务需求,应提出申请,经机关首长(总队长、局长)核可后方可联机,作业结束后,原申请人应主动通知管理者撤销其帐号及工作站网址。
(十二)警用行动计算机及基地台不得擅自与非警察机关之计算机设备连接,以避免资料外泄及病毒感染。
(十三)处理、存收机关重要机密业务资料之工作站应作实体线路隔离。
十一、网络安全管制规定如下:
(一)对外开放信息系统主机,应架设于非军事区网段(DMZ)或外部网段,并以防火墙与机关内部网络区隔,提高内部网络安全性。
(二)对外开放信息系统主机,非必要不得开放远程登入功能。
(三)对外开放信息系统如涉及私人数据文件,应以加密方式处理。
(四)系统管理者应随时注意警示讯息,检测安全防护措施,实时修补各项系统漏洞。
(五)各机关不得开放与外界连线作业,如有联机需求,应做安全评估,并订定信息安全管制规定,报经本署核准后实施。
(六)提供给内部人员使用之网络服务,与开放有关人员从远程登入内部网络系统之网络服务,应严格执行身分辨识作业,进行安全控管。
(七)使用者因业务调整、调职、停(离)职时,管理者应立即申请撤销其使用者帐号,并依机关信息安全规定及程序,取消其存取网路之权限。
十二、网站安全管制规定如下:
(一)网页维护人员应每天检查所属业务之网页有无异常情形,发现异常应实时通报信息作业单位。
(二)网页维护人员异动时,应通知信息作业单位办理使用者帐号异动。
(三)网站首页须具备实时自动复原机制。
(四)网页应作备份管理,异动网页须经单位主管核可后实施。
(五)网站资料应实施资料安全等级评估,机密性、敏感性及未经当事人同意之个人隐私资料不得上网公布。
(六)网站管理者应定期检核相关日志文件,遇有异常时,应立即采取有效因应措施。
十三、电子邮件安全管制规定如下:
(一)邮件服务器禁止提供转信功能。
(二)属于「机密」等级以上之公文及资料,不得以电子邮件传送;敏感性信息如有电子邮件传送之必要,得经加密处理传送。
(三)禁止以远程终端机仿真形式来开启电子邮件。
(四)使用者停(离)职后应立即删除其邮件帐号。
(五)使用者如长期未收信以致影响邮件服务器正常运作时,基于业务需要得移除该帐号。
十四、网络使用者管理规定如下:
(一)不得以任何方法窃取他人之登入帐号与密码。
(二)不得以任何仪器设备或软件工具窃听网络上之通讯。
(三)不得在网络上取用未经授权之网络资源及档案。
(四)不得将非法档案建置在机关网络,亦不得在网络上散播色情文字、图片、影像、声音等不法或不当信息。
(五)不得以任何手段蓄意干扰或妨害网络系统之正常运作。
(六)个人帐号、密码应妥为保管,不得借予他人使用或张贴在计算机设备等易泄密场所。
(七)确实遵守安全规定,如有违反网络安全情事,应限制或撤销其网路资源存取权利。
(八)使用开放系统作业,每六个月应定期更换密码,且密码应至少有八位长度以上,如发觉有泄密之虞时,应随时更换。
十五、计算机病毒防制处理规定如下:
(一)应在工作站及网络服务器安装防毒软件,定期扫瞄计算机系统及资料储存媒体,并随时更新病毒码、扫瞄引擎及修补系统漏洞。
(二)使用外来磁盘或媒体应先执行病毒扫瞄。
(三)使用解毒软件前应先充分了解计算机病毒特性及确定解毒软件功能。
(四)应建立防制计算机病毒攻击及回复作业之处理程序。
(五)发现病毒感染时由信息作业单位负责记录追踪及处理。
十六、计算机维修作业管理规定如下:
(一)计算机主机之维修,以在设置现地实施,且以不危及装备安全及资料之完整性为原则。
(二)对于订约厂商或参与维修人员,应限制其工作地点,并由系统或有关人员直接监督或配合作业。
(三)有关记忆媒体组件更换,必须经由系统人员鉴定,并清除记忆内容后方可更换。
(四)订约厂商或参与维修人员检验或测试时,不得使用正式资料。测试资料及产生之纪录必须携出时,应经系统人员及其主管同意。
十七、计算机作业场所管理规定如下:
(一)计算机作业场所(包含机房、登录室、媒体储存室、数据处理室与各使用单位工作站),未经核可,不得对外开放参观。
(二)主要计算机设备,应置放于计算机机房,并设置门禁管制,未经许可,不得擅自进入。
(三)视需要派值日人员值勤,加强场地及设施安全管制,如未派驻值日人员,应采必要之安全措施。
(四)定期检查及评估发生火灾、烟、水、灰尘、震动、电力供应、电磁幅射等风险之可能性,并采取必要之因应措施。
(五)计算机专用之电源插座,不得使用于计算机以外设备,以免造成跳电当机,影响计算机正常作业。
十八、各机关信息作业单位依本规定自行设计之纪录表件,应按机密等级订定保存期限,妥为保管,备供查考。
十九、各机关应定期办理信息安全教育训练及宣导,建立员工信息安全认知。
二十、信息安全紧急应变处理程序规定如下:
(一)发生信息安全事件时,依警政体系通信息安全机制计画,由警政体系危机通报应变组负责编成运作,并负责与相关安全处理单位通力合作,以解决危机事件。
(二)信息安全事件发生时,将发生事件之事实、可能影响之范围、采取之应变措施等事项,实时填具通信息安全事件通报单,并透过上网、电话、传真或电子邮件等方式,传送至警政体系之危机通报应变组。
(三)危机通报应变组实时通报国家安全局危机通报应变组及国家资通安全应变中心。
(四)如因资安事件发生且危及人员生命或设备遭到破坏等涉及民刑事案件时,应及时通报检调单位请求处理。
(五)如引发重大灾害时,同时向现行灾害防救体系提报,请求支持处理。
(六)当系统回复正常运作时,须将解决办法透过通信息安全事件通报单传送,以解除列管。
二十一、各机关应订定业务永续运作计画,评估各种人为及天然灾害对业务运作之影响,并订定紧急应变及回复作业程序及相关人员之权责,定期演练及调整更新计画。
二十二、各机关为考核执行成效,每半年应定期检查下列事项,并依警察人员奖惩标准表办理奖惩:
(一)硬、软件管理维护纪录。
(二)网络管理维护纪录。
(三)资料查询﹑更新之程序及纪录。
(四)工作站及服务器感染病毒纪录。
(五)计算机查询纪录。
(六)通信息安全稽核事项。
(七)系统运作纪录管理事项。
(八)密码分发使用管理事项。
(九)软件与资料备份及储存事项。
(十)软件及资料故障复原事项。
(十一)安全事件通报事项。
二十三、各机关与厂商签订合约时,应明定厂商必须遵守之保密安全事项。如有违反合约情事,应依相关法令追究责任。
二十四、违反本规定者,应查究其行政疏失责任;如因而发生泄密或信息系统遭受破坏,致触犯刑事法令者,并依各该法令查究处理。
