行政院及所屬各機關資訊安全管理規範.docVIP

行政院及所屬各機關資訊安全管理規範 .tw/mis/1_law/safe02.htm 行政院及所屬各機關資訊安全管理要點 行政院八十八年九月十五日台八十八經字第三四七三五號函訂頒 ? 壹、目　的 一、行政院為推動各機關強化資訊安全管理，建立安全及可信賴之電子化政府，確保資料、系統、設備及網路安全，保障民眾權益，特訂定本要點。 貳、通　則 二、本要點所稱各機關，指行政院所屬各部、會、行、處、局、署、院、台灣省政府、台灣省諮議會及其所屬機關（構）。 三、各機關應依有關法令，考量施政目標，進行資訊安全風險評估，確定各項資訊作業安全需求水準，採行適當及充足之資訊安全措施，確保各機關資訊蒐集、處理、傳送、儲存及流通之安全。 四、本要點所稱適當及充足之資訊安全措施，應綜合考量各項資訊資產之重要性及價值，以及因人為疏失、蓄意或自然災害等風險，致機關資訊資產遭不當使用、洩漏、竄改、破壞等情事，影響及危害機關業務之程度，採行與資訊資產價值相稱及具成本效益之管理、作業及技術等安全措施。 五、各機關應就下列事項，訂定資訊安全計畫實施，並定期評估實施成效： （一）資訊安全政策訂定。 （二）資訊安全權責分工。 （三）人員管理及資訊安全教育訓練。 （四）電腦系統安全管理。 （五）網路安全管理。 （六）系統存取控制管理。 （七）系統發展及維護安全管理。 （八）資訊資產安全管理。 （九）實體及環境安全管理。 （十）業務永續運作計畫管理。 （十一）其他資訊安全管理事項。 六、本要點所稱資訊安全政策，指機關為達成資訊安全目標訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等。 參、資訊安全政策擬訂 七、各機關應依實際業務需求，訂定機關資訊安全政策，並以書面、電子或其他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠商共同遵行。 八、各機關訂定之資訊安全政策，應至少每年評估一次，以反映政府法令、技術及業務等最新發展現況，確保資訊安全實務作業之有效性。 肆、組織及權責 九、各機關應依下列分工原則，配賦有關單位及人員之權責： （一）資訊安全政策、計畫及技術規範之研議、建置及評估等事項，由資訊單位負責辦理。 （二）資料及資訊系統之安全需求研議、使用管理及保護等事項，由業務單位負責辦理。 （三）資訊機密維護及稽核使用管理事項，由政風單位會同相關單位負責辦理。 各機關未設置資訊及政風單位者，由機關首長指定適當單位及人員負責辦理。 機關業務性質特殊者，得由機關首長調整第一項分工原則。 十、各機關對所屬機關(構)資訊作業，應進行定期或不定期之資訊安全稽核。 各機關對所屬機關(構)進行外部稽核作業，由資訊單位會同政風單位或稽核單位辦理。 十一、各機關應指定副首長或高層主管人員負責資訊安全管理事項之協調及推動。 各機關得視需要，成立跨部門之資訊安全推行小組，統籌資訊安全政策、計畫、資源調度等事項之協調研議。 前項資訊安全小組之幕僚作業，由資訊單位或首長指定之單位負責。 十二、各機關應視資訊安全管理需要，指定適當人員負責辦理資訊安全相關事宜。 伍、人員管理及資訊安全教育訓練 十三、各機關對資訊相關職務及工作，應進行安全評估，並於人員進用、工作及任務指派時，審慎評估人員之適任性，並進行必要的考核。 十四、各機關應針對管理、業務及資訊等不同工作類別之需求，定期辦理資訊安全教育訓練及宣導，建立員工資訊安全認知，提升機關資訊安全水準。 十五、各機關應加強資訊安全管理人力之培訓，提升資訊安全管理能力。 各機關資訊安全人力或經驗如有不足，得洽請學者專家或專業機關（構）提供顧問諮詢服務。 十六、各機關負責重要資訊系統之管理、維護、設計及操作之人員，應妥適分工，分散權責，並視需要建立制衡機制，實施人員輪調，建立人力備援制度。 十七、各機關首長及各級業務主管人員，應負責督導所屬員工之資訊作業安全，防範不法及不當行為。 陸、電腦系統安全管理 十八、各機關辦理資訊業務委外作業，應於事前研提資訊安全需求，明訂廠商之資訊安全責任及保密規定，並列入契約，要求廠商遵守並定期考核。 十九、各機關對系統變更作業，應建立控管制度，並建立紀錄，以備查考。 二十、各機關應依相關法規或契約規定，複製及使用軟體，並建立軟體使用管理制度。 二十一、各機關應採行必要的事前預防及保護措施，偵測及防制電腦病毒及其他惡意軟體，確保系統正常運作。 柒、網路安全管理 二十二、各機關利用公眾網路傳送資訊或進行交易處理，應評估可能之安全風險，確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求，並針對資料傳輸、撥接線路、網路線路與設備、接外連接介面及路由器等事項，研擬妥適的安全控管措施。 二十三、各機關開放外界連線作業之資訊系統，應視資料及系統之重要性及價值，採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全