嘉义市东区区公所资讯安全管理作业规范 .docVIP

嘉義市東區區公所資訊安全管理作業規範 資訊安全目標及範圍 一、前言 為確保嘉義市東區區公所(以下簡稱本所)有關資料、資訊系統、設備及網路之安全，特訂定嘉義市東區區公所資訊安全管理作業規範(以下簡稱本規範)，作為本所有關資訊安全管理組織權責分工、人員教育訓練、電腦硬軟體、網路及實體環境管理之準則。 二、目標 （一）維持資訊系統持續運作。 （二）防止駭客、病毒等入侵及破壞。 （三）防止人為意圖不當及不法使用。 （四）避免人為疏失意外。 （五）維護實體環境安全。 三、範圍 本規範管理之範圍包括本所之人員、應用系統、硬體設備及網路設施等四部分。 人員： 涵蓋本所全體員工(含正式人員、約聘僱人員、臨時人員及替代役)，及使用本所資訊資源之委外廠商人員。 應用系統： 本所業務系統（如戶役政資訊系統）。 本所行政資訊系統（如人事、會計、出納、公文管理、等行政作業系統）。 網際網路應用：電子郵件、本所便民服務網站等。 本所採用之套裝軟體。 硬體設備： 本所辦公室內各式主機、戶役政資訊系統工作站、伺服器及個人行政用電腦。 網路及其設備：本所辦公室區域網路、網際網路之數據專線及相關網路設施。 貳、人員管理及教育訓練 一、人員安全評估及管理 （一）本所應成立資通安全處理小組，負責督導屬員之資訊作業安全，防範不法及不當行為，成員、職掌如下： 召集人：秘書擔任，負責推動及研議資通安全管理相關業務。 各課室主管：負責各課室之資通安全管理及相關業務。 政風人員：負責稽核本所資通安全工作是否落實。 資訊人員：負責網站、個人電腦資訊安全。 （二）離職、退休人員，應立即取消其識別碼、通行碼，管制系統使用權限。本所各課室人員變動時(新進人員、職務變動、人員離職)，人事人員應主動通知資訊人員進行所屬系統之帳號及權限之修正。 二、員工維護資訊安全及公務機密責任 （一）員工應遵守本規範及其他相關資訊安全規定，若違反資訊安全相關規定，得依情節輕重予以處分。 （二）本所員工應遵守維護公務機密之相關法令規定；在職及離/退職後，均不得洩漏所知悉之業務機密，或為不當之使用，否則得視其情節輕重予以處分或追究其民、刑事責任。 三、資訊安全教育訓練 （一）本所應派員參加中央及市政府辦理之資訊安全教育訓練及宣導，或上網參加公務人員資訊學習網之資訊安全課程，促使員工瞭解資訊安全的重要性，各種可能的安全風險，以提高員工資訊安全意識，促其遵守資訊安全規定。 （二）各課室應加強資訊安全管理人力之培訓提升資訊安全管理能力。 參、電腦系統作業安全管理 一、電腦系統作業程序及責任 （一）各承辦人應訂定所承辦業務之電腦系統作業程序，以確保正確及安全的操作使用電腦，俾供職務代理人或職務接交人作業之依據。 （二）資訊安全事件之處理程序除正常的應變計畫外（如系統及服務之回復作業），尚應納入下列事項： １.導致資訊安全事件原因之分析。 ２.防止類似事件再發生之補救措施的規劃及執行。 （三）系統發展測試作業及系統正式作業之軟體，應分別在不同處理器或不同的目錄下作業，以便系統測試與正式作業分開處理，並避免作業軟體或資料遭意外竄改，或不當使用。 （四）資訊業務委外時，應於事前審慎評估可能的潛在安全風險（例如資料或使用者通行碼被破解、系統被破壞或資料損壞等風險），與廠商簽訂適當的資訊安全協定，將相關的安全管理責任納入契約條款。 二、日常作業之安全管理 重要的資料及軟體應定期執行備份作業，俾災害迅速回復。 資訊設施及系統的變更作業，應建立管控機制，並應記錄電腦系統作業中斷及更正等異常事項。 必須使用具有智慧財產權的合法軟體，並禁止使用未經授權合法之軟體。 電腦病毒之防範應採行必要的事前預防措施，防制電腦病毒入侵，並慎選功能完整的電腦病毒防制軟體，定期維護更新。 肆、網路安全管理 一、網路安全規劃與管理 各系統伺服器與外界網路連接之網點，須設立防火牆以控管外界與內部網路之資料傳輸及資源存取，避免外界直接進入資訊系統或資料庫存取資料。 應建立電腦網路系統的安全控管機制，以確保網路傳輸資料的安全，保護連網作業，防止未經授權的系統存取。 對於跨組織之電腦網路系統，應特別加強網路安全管理，並協定應遵循之網路安全規定。 利用公眾網路傳送敏感性資訊，應採取特別的安全保護措施，以保護資料在公共網路傳輸的完整性及機密性，並保護連線作業系統之安全性。 網路使用者之管理： 被授權的網路使用者，只能在授權範圍內存取網路資源，不得將自己的登入身份識別與登入網路的密碼交付他人使用。禁止使用違反著作權、善良風俗或會妨害網路系統的正常運作之不法或不當的資訊。 （六）主機安全防護： 存放機密性及敏感性資料之主機或伺服器主機，應規劃各種安全控管技術，以提昇網路作業之安全性。 （七）防火牆之安全管理： 本所與外界公眾網路連接的網點網路之節點