发布文号: 府资网字第0940127743号
中华民国九十四年十月五日宜兰县政府府资网字第0940127743号函订定发布全文16点
一、目的
宜兰县政府(以下简称本府)为强化信息安全管理,确保信息资产的机密性、完整性、可用性、信息设备及网络系统的可靠性、及员工对信息安全之认知,以确保上述资源免受任何因素干扰、破坏、入侵、或任何不利行为与企图,特订定本政策。
二、名词定义
本政策所称信息安全系保护信息资产避免遭受各种不当使用、泄漏、窜改、窃取、破坏等事故威胁,并降低可能影响及危害本府业务运作之损害程度。
(一)机密性(Confidentiality)指确保只有经过授权的人才能存取资讯资产。
(二)完整性(Integrity)指确保信息资产其处理方法的准确性及完整性(completeness)。
(三)可用性(Availability)指确保授权的使用者在需要时,可以使用信息资产。
三、适用范围
本政策适用于本府各项信息资产及其信息使用者,信息使用者系包含本府员工、建置维护厂商及其它经授权使用信息资产之人员。
四、法令依据
本政策所订定之各项相关规定,系参考计算机处理个人数据保护法、着作权法、国家机密保护法、电子签章法等法规及其它相关标准所订定。
五、组织
为统筹信息安全管理等事项之协调、规划、稽核及推动,特成立跨单位之信息安全推动组织(以下简称本组织),本组织之幕僚作业,由本府信息室负责,并依下列分工原则,配赋有关单位及人员权责:
(一)信息安全政策、计划及技术规范之研议、建置及评估等事项,由本府信息室负责办理。
(二)数据及信息系统之安全需求研议、管理及保护等事项,由本府各业务单位负责办理。
(三)信息机密维护及安全稽核等事项,由本府政风室会同相关单位负责办理。
六、实施范围
有关单位及人员应就下列事项订定相关管理规范或实施计划,并定期评估实施成效:
(一)人员管理及信息安全教育训练。
(二)计算机系统安全管理。
(三)网络安全管理。
(四)系统存取控制。
(五)系统发展及维护安全管理。
(六)信息资产安全管理。
(七)实体及环境安全管理。
(八)业务永续运作计划之规划与管理。
七、人员管理及信息安全教育训练
(一)对信息相关职务及工作,应进行安全评估,并于人员进用、工作及任务指派时,审慎评估人员之适任性,并进行必要的考核。各业务主管人员,应负责督导所属员工之信息作业安全,防范不法及不当行为。
(二)针对管理、业务及信息等不同工作类别之需求,定期办理信息安全教育训练及宣导,建立员工信息安全认知,提升信息安全水准。
八、计算机系统安全管理
(一)办理信息业务委外作业,应于事前研提信息安全需求,明订厂商之信息安全责任及保密规定,并列入契约,要求厂商遵守并定期考核。
(二)依相关法规或契约规定复制及使用软件,并建立软件使用管理制度。
(三)采行必要的事前预防及保护措施,侦测及防制计算机病毒及其它恶意软件,确保系统正常运作。
(四)对各种系统变更作业,应建立控管制度,并建立纪录,以备查考。
(五)为加强本府各信息系统之信息安全,本府信息室得不定期使用弱点扫描工具针对使用本府配发之 IP 径行扫描,并提供相关报告供系统管理者修补之依据。
九、网络安全管理
(一)开放外界连线作业之信息系统,应视数据及系统之重要性及价值,采用数据加密、身分鉴别、电子签章、防火墙及安全漏洞侦测等不同安全等级之技术或措施,防止数据及系统被侵入、破坏、窜改、删除及未经授权之存取。
(二)与外界网络连接之网点,应以防火墙及其它必要安全设施防护,控管外界与内部网络之数据传输与资源存取。
(三)利用因特网公布及流通之信息,应实施数据安全等级评估;机密性、敏感性及未经当事人同意之个人隐私资料及文件,不得上网公布。
(四)订定电子邮件使用规定;机密性数据及文件不得以电子邮件或其它电子方式传送。
(五)为避免网络使用者不慎违反本府相关网络安全规定,网络管理人员可考虑以相关网络技术,在不干扰正常网络使用原则下,主动管制违反本府相关网络规定之使用者。
十、系统存取控制
(一)订定系统存取政策及授权规定,并以书面、电子或其它方式告知员工及使用者之相关权限及责任。
(二)离(休)职人员,应立即取消各项信息资源之所有权限,并列入离(休)职之必要手续。人员职务调整及调动,应依系统存取授权规定,限期调整其权限。
(三)建立系统使用者注册管理制度,加强使用者通行密码管理;使用者通行密码之更新周期,最长以不超过六个月为原则。
(四)对系统服务厂商以远程登入方式进行系统维修者,应加强安全控管,并建立人员名册,要求相关安全保密责任。
(五)建立信息安全稽核制度,定期或不定期进行信息安全稽核作业。
十一、系统发展及维护安全管理
(一)自行开发或委外发展系统,应在系统生命周期之初始阶段,即将信息安全需求纳入考量;系统之维护、更新、上线执行及版本异动作业,应予安全管制,避免不当软件、后门恶意程序及计算机病毒等危害系统安全。
(二)对厂商之软硬件系统建置及维护人员,应规范并限制其可接触之系统与数据范围,并严禁核发长期性之系统辨识码及通行密码。
如基于实际作业需要,得核发短期性及临时性之系统辨识及通行密码供厂商使用,但使用完毕后应立即取消其使用权限。
(三)委托厂商建置或维护重要之软硬件设施,应在本府相关局室人员之监督及陪同下始得为之。
十二、信息资产安全管理
(一)建立与信息系统有关的信息资产目录,订定信息资产的项目、拥有者及安全等级分类等。
(二)依据国家机密保护、计算机处理个人数据保护及政府信息公开等相关法规,建立信息安全等级之分类标准,以及相对应的保护措施。
(三)已列入安全等级分类的信息及系统之输出数据,应标示适当的安全等级以利使用者遵循。
十三、实体及环境安全管理
就设备安置、周边环境及人员进出管制等,订定实体及环境安全管理措施。
十四、业务永续运作计划之规划与管理
(一)订定业务永续运作计划,评估各种人为及天然灾害对业务运作之影响,订定紧急应变及回复作业程序及相关人员之权责,并定期演练及调整更新计划。
(二)建立信息安全事件紧急处理机制,在发生信息安全事件时,应依规定之处理程序,立即向信息单位或国家资通安全会报通报网站通报,采取反应措施,必要时并联系检警调单位协助侦查。
(三)依相关法规,区分及订定数据安全等级,并依不同安全等级,采取适当及充足之信息安全措施。
十五、本政策应至少每年评估一次,以反映政府法令、技术及业务等最新发展现况,确保信息安全实务作业之有效性。
十六、本信息安全政策奉 县长核可后实施,修正时亦同。
