第 1 條
壹、目的
公務人員保障暨培訓委員會 (以下簡稱本會) 為強化資訊安全管理、
確保業務永續運作,特訂定本規範,俾利本會人員有所遵循。
第 2 條
貳、依據
一、考試院暨所屬機關資訊安全管理要點。
二、國家標準 CNS 17799。
第 3 條
參、資訊安全政策
為確保本會資訊資料、系統、設備及網路通訊之安全,有效降低因人
為疏失、蓄意或天然災害等致資訊資產遭不當使用、洩漏、竄改或破
壞等之風險,應制定本會資訊安全政策,以建立資訊安全管理之方向
。
一、資訊安全定義
資訊安全為一系列有計畫、持續性之控制措施,使本會資訊資產得以
妥善保護。
二、資訊安全目標
確保本會業務資訊之機密性、完整性與可用性。
(一) 機密性:確保被授權之人員才可使用資訊。
(二) 完整性:確保使用之資訊正確無誤、未遭竄改。
(三) 可用性:確保被授權之人員能取得所需資訊。
三、資訊安全範圍
資訊安全範圍涵蓋人員管理及資訊技術面等領域。
四、資訊安全政策內容
(一) 資訊安全規定必須遵守政府相關法規 (如:刑法、國家機密保護法
、專利法、商標法、著作權法、電腦處理個人資料保護法等) 之規
定。
(二) 成立資訊小組負責資訊安全制度之建立及推動事宜。
(三) 定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
(四) 建立資訊硬體設施及軟體之管理機制,以統籌分配、運用全會資源
。
(五) 新資訊系統應於建置前將資訊安全因素納入,防範危害系統安全之
情況發生。
(六) 建立電腦機房實體及環境安全防護措施,並定期施以相關保養。
(七) 明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動
作。
(八) 訂定資訊安全內部稽核計畫,定期檢視本會人員個人電腦使用情形
。
(九) 訂定資訊安全災變回復計畫並實際演練,確保本會業務持續運作。
第 4 條
肆、資訊安全組織
一、組織架構
(一) 本會為統籌資訊業務之整體規劃、評估、督導、協調、推動及安全
等事項,特設資訊小組。
(二) 資訊小組置組長一人,由主任秘書兼任;副組長一人,由秘書室主
任兼任;分析師、管理師、設計師各一人,分別由秘書室第三科科
長、專員、科員兼任。
二、任務分工
(一) 負責訂定資訊安全政策、計畫與技術規範研議,如作業需要得邀請
專家學者提供建議。
(二) 協助業務單位辦理資訊系統之安全需求研議、使用管理與保護等事
項。
(三) 會同政風室與相關單位辦理資訊機密維護及內部查核管理事項。
(四) 會同政風室辦理資訊安全事件之處理及通報。
(五) 會同政風室人員參與考試院暨所屬機關「資通安全處理小組」、「
資通安全緊急應變小組」之管理機制。
第 5 條
伍、資訊資產安全與處理流程
一、資訊資產定義
所謂資訊資產,舉凡人員、資訊硬體設施、軟體、資料文件與形象皆
屬之,均為組織業務持續運作之動力來源,需透過良好之管理機制予
以保護。
(一) 人員
包括本會職員、技工、工友及業務委外人員。
(二) 資訊硬體設施
包括基礎環境設備 (電力、消防、空調、網路佈點、供水) 、通訊
設備 (路由器、交換器、集線器、數據機、傳真機) 、電腦設備 (
伺服器、個人電腦、筆記型電腦) 、週邊設備 (印表機、掃瞄器、
單槍投影機、光碟機、光碟燒錄機、磁帶機、磁碟陣列) 。
(三) 軟體
包括應用軟體、系統軟體、發展工具軟體、公用程式、專案開發系
統。
(四) 資料文件
包括資料庫、資料檔案、系統文件、操作手冊、教育訓練教材、合
約、資訊計畫與作業表單等。
(五) 形象
包括本會全球資訊網站資料之正確性與安全性。
二、安全分類
(一) 資訊資產之安全分類,依據相關法規與業務需要,區分為機密性、
敏感性及一般性等三類。
(二) 界定安全分類之責任,應由資料之原始產生者,或由該資訊資產之
擁有者負責。
(三) 列入機密性或敏感性之資訊資產,應予適當標示,以利使用者遵循
。
(四) 資訊安全衝擊程度為資訊資產遭致破壞時對本會正常業務之影響範
圍:
1.「A 級」:影響公共安全、社會秩序、人員生命財產。
2.「B 級」:系統停頓,業務無法運作。
3.「C 級」:業務中斷,影響系統效率。
4.「D 級」:業務短暫停頓,可立即修復。
三、風險評估
評估資通訊硬體設施、軟體、資料文件等資訊資產可能遭受之威脅、
本身之弱點、受到威脅時可能造成之衝擊及其發生之可能風險,對於
風險較高者應予妥適保護。
四、處理流程
本會人員凡遇有可能危害資訊資產之事件,應立即通知秘書室第三科
,由資訊人員判定對業務產生之衝擊程度,並視情況依據資訊安全災
變回復計畫進行處理。如判定屬資通安全事件,應另依規定向國家資
通安全應變中心通報,並副知考試院資通安全聯絡人。
第 6 條
陸、人員管理與教育
一、人員管理
(一) 本會人員如因業務需要須使用處理機密性或敏感性資訊者,應經適
當之安全評估,其評估由政風室會同秘書室辦理。
(二) 資訊軟硬體設施之管理、操作、維護事宜,任務
(二) 資訊軟硬體設施之管理、操作、維護事宜,任務分派應予妥適規劃
,以明權責,並降低風險。
二、教育訓練
(一) 定期辦理本會人員之資訊安全教育訓練,提高警覺性,進而強化本
會資訊安全防護能力。
(二) 培育資訊安全管理人才,不定期派員參加外部專業課程,增進應變
能力。
(三) 在同意及授權使用者存取系統前,應提供使用者適切之教育訓練,
以避免人為之不當操作。
(四) 開闢內部行政網路資訊安全專屬單元,提供即時資訊安全訊息。
第 7 條
柒、實體與環境安全
一、電腦機房管理
(一) 電腦機房安全攸關全會業務之正常運作,應提供穩定之電力 (含不
斷電系統) 、消防、空調及供水等基礎環境設施。
(二) 本會伺服器與對外通訊設備均應置放於電腦機房內,並設置門禁刷
卡管制,本會人員未經授權,不得擅自進入機房使用任何設備。
(三) 電腦機房內之設備均應固定位置,對外通訊設備一律採用機架固定
;伺服器亦應依配置放於電腦桌上,電腦機房之設備不得擅自移動
或攜出。
(四) 電腦機房應嚴禁煙火,不得攜帶飲料、食物進入,並應定期進行機
房之清潔。
(五) 電腦機房由秘書室第三科負責管理,應指定專人於上班日依機房日
誌所列項目查核電力、空調、通訊、消防及資料備份等相關設備。
(六) 廠商如需進入電腦機房進行例行維護,應由秘書室第三科人員現場
陪同處理,維護時不得干擾或危害電腦機房之正常運作。
二、辦公區域管理
(一) 配置於辦公區域之資訊硬體設施,包括個人電腦、印表機、掃瞄器
、集線器等,業務單位應指定專人保管,且不得擅自移動或攜出。
(二) 資訊硬體設施發生故障時,應立即通知秘書室第三科處理,使用人
員不得逕自拆卸。
(三) 秘書室第三科應每年依據資訊硬體設施使用年限、使用情況,進行
評估,統籌辦理汰換事宜。
(四) 辦公區域資訊電源插座 (三孔) 與不斷電系統相連結,僅限個人電
腦使用,嚴禁私接其餘電器。
(五) 辦公區域之資訊硬體設施之電源,應於下班前確實關閉。
三、辦公桌面管理
(一) 採用辦公桌面淨空方式,公文或儲存媒體 (磁片、光碟片) 在不使
用或下班時使用人員應存放在櫃子內,如涉機密性與敏感性資料則
應上鎖,以免遭人竊取。
(二) 本會人員使用之個人電腦應設定開機通行密碼,並啟用螢幕保護密
碼之功能,降低作業中資料文件遭竊取、破壞等風險。
四、設備汰換管理
(一) 秘書室應於年度前依據資訊硬體設施使用年限、使用情況編列經費
概算,配合年度預算辦理相關汰換事宜。
(二) 辦理汰換或移作他用之個人電腦儲存媒體設備 (如硬碟) 應詳加檢
查,以避免業務資料外洩。
第 8 條
捌、網路安全管理
一、防火牆管理
(一) 本會與外界網路連接之網點,應架設防火牆,以有效控管外界網路
與會內網路間之資料傳輸與資源存取過程,提高會內網路之安全。
(二) 本會除全球資訊網系統伺服器建置於防火牆上之 DMZ 區,其餘業
務用伺服器一律建置於防火牆內。
(三) 防火牆應由系統控制台登入,嚴禁自外界網路以遠端登入方式進行
操控,以確保防火牆自身安全。
(四) 防火牆之版本應適時更新,以因應各種層出不窮之網路攻擊模式。
(五) 上班日應檢視防火牆之紀錄檔,同時依實際狀況調整防火牆管理政
策,以確保發揮安全控管功能。
(六) 公務需使用對外特殊網路連線服務時,應經申請核准後,由秘書室
第三科開放防火牆權限後方可使用。
二、伺服器管理
(一) 即時依據作業系統廠商提供之修補程式更新伺服器使用版本,降低
弱點遭攻擊之風險。
(二) 本會所有伺服器均應安裝防毒軟體,以阻絕病毒入侵、破壞,保護
公用資料之存取。
(三) 本會所有伺服器之操作均應輸入密碼,並嚴禁自外界網路以遠端登
入方式進行操控,避免遭駭客遠端攻擊。
三、個人電腦管理
(一) 本會人員每日上班使用個人電腦前,應檢查防毒軟體之即時監控狀
態與病毒碼更新功能是否有效。
(二) 個人電腦瀏覽器之對外安全等級應至少設為「中安全性」,以防止
外部網站惡意程式碼之攻擊。
(三) 個人電腦遭病毒攻擊時,應立即停止作業並關閉其電源,儘速通知
秘書室第三科派員處理。
(四) 個人電腦檔案資料夾開放分享功能,應設定密碼以限制存取對象,
減低資料遭洩露、竄改之風險。
(五) 本會人員不得利用職務之便,透過個人電腦竊取、篡改、刪除資料
,非經同意不得私自燒錄文書資料,以免觸犯刑責。
(六) 本會電腦係供業務使用,本會人員嚴禁上網發表與業務無關之言論
。
四、軟體下載管理
(一) 本會人員嚴禁經由網際網路下載任何非法軟體。
(二) 本會人員如需經由網際網路下載軟體,應請秘書室第三科先行掃瞄
及測試,確認無虞後方可安裝、執行。
五、電子郵件管理
(一) 電子郵件伺服器應設定為禁止轉信,防止利用本會電子郵件伺服器
轉寄非法電子郵件。
(二) 電子郵件伺服器上應對使用者空間加以限制,避免遭郵包炸彈攻擊
,保障全會電子郵件正常收送。
(三) 機密性之資料文件不得以電子郵件傳送;非機密性資料如需以電子
郵件傳送,應視需要以適當之加密或電子簽章等安全技術處理。
(四) 非本會人員不得申請設立電子郵件帳號。
(五) 本會人員離職,應即刪除其電子郵件帳號。
(六) 電子郵件附加之檔案,應先以防毒軟體掃毒後再併電子郵件傳送。
(七) 本會對外開放之公務電子信箱,包括主委信箱、保障信箱、培訓信
箱、政風信箱,其處理方式,應依公務人員保障暨培訓委員會電子
信箱處理作業注意事項規定辦理。
第 9 條
玖、系統存取控制
一、資訊系統存取控制
(一) 本會資訊系統存取控制權限之需求,應先由使用單位提出,再與秘
書室第三科研討後決定系統存取政策及授權規定,並以書面、電子
或其他方式告知使用人員相關權限及責任。
(二) 資訊系統之使用單位須依系統存取政策及授權規定向秘書室第三科
提出申請,再由該資訊系統管理人員賦予使用人員必要之系統存取
權限。
二、使用人員存取管理
(一) 對於多人使用之資訊系統,應建立使用人員註冊管理程序,確保使
用人員被授權程度與承辦業務相稱,並符合資訊安全政策。
(二) 資訊系統使用人員離職,應即刪除其系統存取權限。
(三) 資訊系統使用人員應善盡保管個人通行密碼之責任,避免將通行密
碼記錄於書面上或張貼於易洩漏秘密之場所。
(四) 使用人員通行密碼管理原則
1.通行密碼長度至少六個字元。
2.通行密碼至少每半年更新一次。
3.通行密碼宜採英文字母、數字與特殊符號混合。
4.通行密碼應避免具有意涵之內容,如姓名、出生日期、國民身分
證統一編號、車牌號碼等,或密碼與帳號相同。
5.如有跡象顯示通行密碼可能遭破解時,應立即更改密碼,並通知
秘書室第三科處理。
三、系統存取權限檢討
(一) 應定期檢討及評估使用人員之存取權限,以有效控管資料及資訊系
統之存取。
(二) 資訊系統存取權限評估,以每六個月評估一次為原則,以防止未經
正式的授權程序取得權限之情事發生。
第 10 條
拾、系統開發與維護
一、系統安全需求規劃
(一) 自行或委外開發資訊系統時,均應在系統規劃階段,將資訊安全需
求納入考量,列入系統功能中。
(二) 資訊安全需求程度應和資訊資產價值相稱,並考量安全措施不足時
,可能對業務帶來之危害。
(三) 資訊安全需求分析考量事項
1.評估保護資訊之機密性、完整性與可用性之配合事項。
2.重要資料應在資料處理過程之每一階段或特定階段進行檢查,以
保護資料之正確性。
3.重要資料之異動或刪除動作,應寫入事件紀錄中,俾供查核。
4.機密性或敏感性資料應予保護,防止洩漏或被竄改,必要時應使
用資料加密等技術。
5.應訂定資訊系統之回復作業程序,尤其是對高使用率之系統應有
妥適的回復措施。
二、系統變更安全管制
(一) 被授權之使用者,始得提出資訊系統之變更需求。
(二) 實際執行變更作業前,其細項建議,應經單位主管核准。
(三) 資訊系統完成變更作業後,原提出變更需求之使用者應逐項檢核與
確認。
(四) 資訊系統相關文件應在每次完成變更作業後,同步配合更新。
(五) 資訊系統變更作業需求,皆應建立書面資料,以利事後查核。
(六) 資訊系統變更時,應保留舊版之資訊系統,以作為緊急回復之用。
三、其他配合事項
(一) 本會與廠商簽訂資訊系統維護合約時,應列入保密條款。
(二) 委託廠商建置或維護資訊系統時,應由秘書室第三科人員陪同,並
負責監督。
(三) 對廠商指派之維護人員,應規範並限制其可接觸之資訊系統與資料
範圍,並嚴禁核發長期性之帳號及通行密碼。
第 11 條
拾壹、業務永續運作
一、業務永續運作規劃
(一) 依據資訊系統之資料屬性、規模,由秘書室第三科會同使用
單位建置資料之例行備份機制與相關設備,以降低人為或意
外所造成資料毀損之風險。
(二) 例行備份之資料至少保留三代以上,儲存媒體 (光碟片或磁
帶) 除置於本會安全處所外,並應與考試院資訊室定期實施
異地儲存。
(三) 訂定資訊安全災變回復計畫,提供因故停止之資訊系統回復
正常運作之依據。
(四) 資訊系統之資料備份作業與資訊安全災變回復計畫應由秘書
室第三科定期測試及演練。
(五) 資料備份作業機制與資訊安全災變回復計畫應定期評估、調
整,以確保業務永續運作之有效性。
二、內部查核作業
(一) 電腦機房日誌應依查核項目詳實記載,每月送交秘書室主任
核閱,並至少保留一年以上。
(二) 本會人員日常使用之個人電腦,應依照公務人員保障暨培訓
委員會個人電腦管理要點規定操作。
(三) 訂定資訊安全內部稽核計畫,並會同政風室定期檢視個人電
腦使用情況。
第 12 條
拾貳、其他
一、資訊小組每年應參考政府資訊安全管理政策、法令、技術與本
會業務狀況,對本規範進行獨立、客觀評估,以落實資訊安全
作業。
二、本規範須以書面、電子或其他方式公布,俾便本會人員了解在
資訊安全上之角色與責任歸屬。