This is an example of a HTML caption with a link.
:::

113年度紀安國小資訊安全管理辦法

紀安資安 / 2024-09-14 / 點閱數: 545

一、 資訊及資通系統之管理

(一) 資訊及資通系統之保管

1. 資訊及資通系統管理人應確保資訊及資通系統已盤點造冊並適切分級,並持續更新以確保其正確性。

2. 資訊及資通系統管理人應確保資訊及資通系統被妥善的保存或備份。

3. 資訊及資通系統管理人應確保重要之資訊及資通系統已採取適當之存取控制政策。

(二) 資訊及資通系統之使用

1. 本機關同仁使用資訊及資通系統前應經其管理人授權。

2. 本機關同仁使用資訊及資通系統時,應留意其資通安全要求事項,並負對應之責任。

3. 本機關同仁使用資訊及資通系統後,應依規定之程序歸還。資訊類資訊之歸還應確保相關資訊已正確移轉,並安全地自原設備上抺除。

4. 非本機關同仁使用本機關之資訊及資通系統,應確實遵守本機關之相關資通安全要求,且未經授權不得任意複製資訊。

5. 對於資訊及資通系統,宜識別並以文件記錄及實作可被接受使用之規則。

(三) 資訊及資通系統之刪除或汰除

1. 資訊及資通系統之刪除或汰除前應評估機關是否已無需使用該等資訊及資通系統,或該等資訊及資通系統是否已妥善移轉或備份。

2. 資訊及資通系統之刪除或汰除時宜加以清查,以確保所有機敏性資訊及具使用授權軟體已被移除或安全覆寫。

3. 具機敏性之資訊或具授權軟體之資通系統,宜採取實體銷毀,或以毀損、刪除或覆寫之技術,使原始資訊無法被讀取,並避免僅使用標準刪除或格式化功能。

二、 存取控制與加密機制管理

(一) 網路安全控管

1. 本機關應定期檢視防火牆政策是否適當,並適時進行防火牆軟、硬體之必要更新或升級。若為向上集中管理,則由上級單位統一辦理更新與升級。

2. 對於通過防火牆之來源端主機 IP 位址、目的端主機 IP 位址、來源通訊埠編號、目的地通訊埠編號、通訊協定、登入登出時間、存取時間以及採取的行動,均應予確實記錄。

3. 對網路系統管理人員或資通安全主管人員的操作,均應建立詳細的紀錄。並應定期檢視網路安全相關設備設定規則與其日誌紀錄,並檢討執行情形。

4. 使用者應依規定之方式存取網路服務,不得於辦公室內私裝電腦及網路通訊等相關設備。

5. 無線網路防護
(1) 機密資料原則不得透過無線網路及設備存取、處理或傳送。

(2) 無線設備應具備安全防護機制以降低阻斷式攻擊風險,且無線網路之安全防護機制應包含外來威脅及預防內部潛在干擾。

(3) 行動通訊或紅外線傳輸等無線設備原則不得攜入涉及或處理機密資料之區域。

(4) 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站,應安裝防毒軟體,並定期更新病毒碼。

(二) 資通系統權限管理

1. 本機關之資通系統應設置通行碼管理,通行碼之要求需滿足:

(1) 通行碼長度 8 碼以上。

(2) 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。

(3) 使用者每 90 天應更換一次通行碼。

2. 使用者使用資通系統前應經授權,並使用唯一之使用者 ID ,除有特殊營運或作業必要經核准並紀錄外,不得共用 ID 。

3. 使用者無繼續使用資通系統時,應立即停用或移除使用者 ID ,資通系統管理者應定期清查使用者之權限。

(三) 特權帳號之存取管理

1. 資通系統之特權帳號請應經正式申請授權方能使用,特權帳號授權前應妥善審查其必要性,其授權及審查記錄應留存。

2. 資通系統之特權帳號不得共用。

3. 對於特權帳號,宜指派與該使用者日常公務使用之不同使用者 ID 。

4. 資通系統之特權帳號應妥善管理,並應留存特殊權限帳號之使用軌跡。

5. 資通系統之管理者每季應清查系統特權帳號並劃定特權帳號逾期之處理方式。

(四) 加密管理

1. 本機關之機密資訊於儲存或傳輸時應進行加密。

2. 本機關之加密保護措施應遵守下列規定:

(1) 應避免留存解密資訊。

(2) 一旦加密資訊具遭破解跡象,應立即更改之。

(五) 其它相關事項本機關未訂者得參考引用 ISMS-02-11 存取控制管理規範」與「ISMS-03-11 帳號註冊註銷作業程序書」要求辦理。

三、 作業與通訊安全管理

(一) 防範惡意軟體之控制措施

1. 本機關之主機及個人電腦應安裝防毒軟體,並時進行軟、硬體之必要更新或升級。

(1) 經任何形式之儲存媒體所取得之檔案,於使用前應先掃描有無惡意軟體。

(2) 電子郵件附件及下載檔案於使用前,宜於他處先掃描有無惡意軟體。

(3) 確實執行網頁惡意軟體掃描。

2. 使用者未經同意不得私自安裝應用軟體,管理者並應每年定期針對管理之設備進行軟體清查。

3. 使用者不得私自使用已知或有嫌疑惡意之網站。

4. 設備管理者應定期進行作業系統及軟體更新,以避免惡意軟體利用系統或軟體漏洞進行攻擊。

(二) 遠距工作之安全措施

1. 本機關資通系統之操作及維護以現場操作為原則,避免使用遠距工作,如有緊急需求時,應申請並經資通安全推動小組同意後始可開通。

2. 資通安全推動小組應定期審查已授權之遠距工作需求是否適當。

(三) 電子郵件安全管理 1. 本機關人員到職後應經申請方可使用電子郵件帳號,並應於人員離職後刪除電子郵件帳號之使用。

2. 應定期進行電子郵件帳號清查。

3. 電子郵件伺服器應設置防毒及過濾機制,並適時進行軟硬體之必要更新,若為向上集中管理,則由上級單位統一辦理。使用者使用電子郵件時應提高警覺,並使用純文字模式瀏覽,避免讀取來歷不明之郵件或含有巨集檔案之郵件。

4. 原則不得電子郵件傳送機密性或敏感性之資料,如有業務需求者應依相關規定進行加密或其他之防護措施。

5. 使用者不得利用機關所提供電子郵件服務從事侵害他人權益或違法之行為。

6. 使用者應確保電子郵件傳送時之傳遞正確性。

7. 使用者使用電子郵件時,應注意電子簽章之要求事項。

8. 本機關應定期舉辦(或配合上級機關舉辦)電子郵件社交工程演練,並檢討執行情形。

(四) 確保實體與環境安全措施

1. 資料中心及電腦機房之門禁管理
(1) 資料中心及電腦機房應進行實體隔離。

(2) 機關人員或來訪人員應申請及授權後方可進入資料中心及電腦機房,資料中心及電腦機房管理者並應定期檢視授權人員之名單。

(3) 機關人員應隨時注意身分不明或可疑人員。

(4) 僅於必要時,得准許外部支援人員進入資料中心及電腦機房。

(5) 人員及設備進出資料中心及電腦機房應留存記錄。

(6) 其它本機關未訂者得參考引用 ISMS-02-08 實體及環境安全規範」要求事項辦理。

2. 資料中心及電腦機房之環境控制

(1) 資料中心及電腦機房應安裝之安全偵測及防護措施,如熱度及煙霧偵測設備、火災警報設備、溫濕度監控設備、漏水偵測設備、入侵者偵測系統,以減少環境不安全引發之危險。

(2) 各項安全設備應定期執行檢查、維修。

(3) 其它本機關未訂者得參考引用 ISMS-03-04 電腦機房管理作業程序書」要求事項辦理。

3. 辦公室區域之實體與環境安全措施

(1) 應考量採用辦公桌面的淨空政策,以減少文件及可移除式媒體等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。

(2) 文件及可移除式媒體在不使用或不上班時,應存放在櫃子內。

(3) 機密性及敏感性資訊,不使用或下班時應該上鎖。

(4) 機密資訊或處理機密資訊之資通系統應避免存放或設置於公眾可接觸之場域。

(5) 顯示存放機密資訊或具處理機密資訊之資通系統地點之通訊錄及內部人員電話簿,不宜讓未經授權者輕易取得。

(6) 資訊或資通系統相關設備,未經管理人授權,不得被帶離辦公室。

(7) 其它本機關未訂者得參考引用 ISMS-02-08 實體及環境安全規範」要求事項辦理。

(五) 資料備份
1. 重要資料及核心資通系統應進行資料備份,並執行異地存放。

2. 本機關應定期確認核心資通系統資料備份之有效性。

3. 敏感或機密性資訊之備份應加密保護。

4. 其它本機關未訂者得參考引用 ISMS-03-05 備份管理作業程序書」要求事項辦理。

(六) 媒體防護措施

1. 使用隨身碟或磁片等存放資料時,具機密性、敏感性之資料應與一般資料分開儲存,不得混用並妥善保管。

2. 資訊如以實體儲存媒體方式傳送,應留意實體儲存媒體之包裝,選擇適當人員進行傳送,並應保留傳送及簽收之記錄。

3. 為降低媒體劣化之風險,宜於所儲存資訊因相關原因而無法讀取前,將其傳送至其他媒體。

4. 對機密與敏感性資料之儲存媒體實施防護措施,包含機密與敏感之紙本或備份磁帶,應保存於上鎖之櫃子,且需由專人管理鑰匙。

5. 其它本機關未訂者得參考引用 ISMS-03-02 電腦設備及媒體管理作業程序書」要求事項辦理。

(七) 電腦使用之安全管理

1. 電腦、業務系統或自然人憑證,若超過十五分鐘不使用時,應立即登出或啟動螢幕保護功能並取出自然人憑證。

2. 禁止私自安裝點對點檔案分享軟體及未經合法授權軟體。

3. 連網電腦應隨時配合更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。

4. 筆記型電腦及實體隔離電腦應定期以人工方式更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。

5. 下班時應關閉電腦及螢幕電源。

6. 如發現資安問題,應主動循機關之通報程序通報。

7. 支援資訊作業的相關設施如影印機、傳真機等,應安置在適當地點,以降低未經授權之人員進入管制區的風險,及減少敏感性資訊遭破解或洩漏之機會。

(八) 行動設備之安全管理

1. 機密資料不得由未經許可之行動設備存取、處理或傳送。

2. 機敏會議或場所不得攜帶未經許可之行動設備進入

3. 其它本機關未訂者得參考引用 ISMS-02-10 網路安全管理規範」要求事項辦理。

(九) 即時通訊軟體之安全管理

1. 使用即時通訊軟體傳遞機關內部公務訊息,其內容不得涉及機密資料。但有業務需求者,應使用經專責機關鑑定相符機密等級保密機制或指定之軟、硬體,並依相關規定辦理。

2. 使用於傳遞公務訊息之即時通訊軟體宜考量下列安全性需求:

(1) 用戶端應有身分識別及認證機制。

(2) 訊息於傳輸過程應有安全加密機制。

(3) 應通過經濟部工業局訂定行動化應用軟體之中級檢測項目。

(4) 伺服器端之主機設備及通訊紀錄應置於我國境內。

(5) 伺服器通訊紀錄( log )應至少保存六個月。

四、 系統獲取、開發及維護

1. 本機關之資通系統應依「資通安全責任等級分級辦法」之規定完成系統防護需求分級,依分級之結果,完成資通系統防護基準,並注意下列事項:

(1) 如涉及個人資料,開發過程請依安全系統發展生命週期(Secure Software Development Life Cycle, SSDLC)納入資安要求,並參考行政院國家資通安全會報頒布之最新「安全軟體發展流程指引」、「安全軟體設計指引」及「安全軟體測試指引」。

(2) 於資通系統開發前,設計安全性要求,並檢討執行情形。

(3) 於上線前執行安全性要求測試,並檢討執行情形。

(4) 執行資通系統源碼安全措施,包含源碼存取控制與版本控管,並檢討執行情形。

2. 其它本機關未訂者得參考引用 ISMS-02-12 系統開發與維護規範」要求事項辦理。

五、 業務持續運作演練

本機關為 D 級機關無需針對核心資通系統制定業務持續運作計畫與演練。

六、 執行資通安全健診

本機關為 D 級機關無需執行資通安全健診作業。

七、 資通安全防護設備

1. 本機關應建置防毒軟體、防火牆,如有設置電子郵件伺服器應建立電子郵件過濾裝置,持續使用並適時進行軟、硬體之必要更新或升級。前項之防火牆、電子郵件伺服器若為向上集中管理,則由上級單位統一辦理更新與升級。

2. 資安設備設定異動應保留相關修改紀錄,並定期檢討執行情形。

壹拾、 資通安全事件通報、應變及演練相關機制

為即時掌控資通安全事件,並有效降低其所造成之損害,本機關應訂定資通安全事件通報、應變及演練相關機制,詳資通安全事件通報應變程序。

其它本機關未訂者得參考引用臺南市政府及所屬機關資通安全事件通報及應變管理程序」與「ISMS-02-13 安全事件回報及處理規範」要求事項辦理。

壹拾壹、 資通安全情資之評估及因應

本機關接獲資通安全情資,應評估該情資之內容,並視其對本機關之影響、本機關可接受之風險及本機關之資源,決定最適當之因應方式,必要時得調整資通安全維護計畫之控制措施,並做成紀錄。

一、 資通安全情資之分類評估

本機關接受資通安全情資後,應指定人員進行情資分析,並依據情資之性質進行分類及評估,情資分類評估如下:

(一) 資通安全相關之訊息情資

資通安全情資之內容如包括重大威脅指標情資、資安威脅漏洞攻擊手法情資、重大資安事件分析報告、資安相關技術或議題之經驗分享、疑似存在系統弱點或可疑程式等內容,屬資通安全相關之訊息情資。

(二) 入侵攻擊情資

資通安全情資之內容如包含特定網頁遭受攻擊且證據明確、特定網頁內容不當且證據明確、特定網頁發生個資外洩且證據明確、特定系統遭受入侵且證據明確、特定系統進行網路攻擊活動且證據明確等內容,屬入侵攻擊情資。

(三) 機敏性之情資

資通安全情資之內容如包含姓名、出生年月日、國民身份證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接識別之個人資料,或涉及個人、法人或團體營業上秘密或經營事業有關之資訊,或情資之公開或提供有侵害公務機關、個人、法人或團體之權利或其他正當利益,或涉及一般公務機密、敏感資訊或國家機密等內容,屬機敏性之情資。

(四) 涉及核心業務、核心資通系統之情資

資通安全情資之內容如包含機關內部之核心業務資訊、核心資通系統、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作等內容,屬涉及核心業務、核心資通系統之情資。

二、 資通安全情資之因應措施

本機關於進行資通安全情資分類評估後,應針對情資之性質進行相應之措施,必要時得調整資通安全維護計畫之控制措施。

(一) 資通安全相關之訊息情資

由資通安全推動小組彙整情資後進行風險評估,並依據資通安全維護計畫之控制措施採行相應之風險預防機制。

(二) 入侵攻擊情資

由經指派之人員判斷有無立即之危險,必要時採取立即之通報應變措施,並依據資通安全維護計畫採行相應之風險防護措施,另通知各單位進行相關之預防。

(三) 機敏性之情資

就涉及個人資料、營業秘密、一般公務機密、敏感資訊或國家機密之內容,應採取遮蔽或刪除之方式排除,例如個人資料及營業秘密,應以遮蔽或刪除該特定區段或文字,或採取去識別化之方式排除之。

(四) 涉及核心業務、核心資通系統之情資

資通安全推動小組應就涉及核心業務、核心資通系統之情資評估其是否對於機關之運作產生影響,並依據資通安全維護計畫採行相應之風險管理機制。

壹拾貳、 資通系統或服務委外辦理之管理本機關委外辦理資通系統之建置、維運或資通服務之提供時,應考量受託者之專業能力與經驗、委外項目之性質及資通安全

需求,選任適當之受託者,並監督其資通安全維護情形。

其它本機關未訂者得參考引用 ISMS-02-05 資訊作業委外管理規範」要求事項辦理。

壹拾參、 資通安全教育訓練

一、 資通安全教育訓練要求

本機關依資通安全責任等級分級屬 D 級,一般使用者與主管,每人每年接受 3 小時以上之一般資通安全教育訓練。

二、 資通安全教育訓練辦理方式 1. 承辦單位應於每年年初,考量管理、業務及資訊等不同工作類別之需求,擬定資通安全認知宣導及教育訓練計畫,以建立員工資通安全認知,提升機關資通安全水準,並應保存相關之資通安全認知宣導及教育訓練紀錄。

2. 本機關資通安全認知宣導及教育訓練之內容得包含:

(1) 資通安全政策(含資通安全維護計畫之內容、管理程序、流程、要求事項及人員責任、資通安全事件通報程序等)。

(2) 資通安全法令規定。

(3) 資通安全作業內容。

(4) 資通安全技術訓練。

3. 員工報到時,應使其充分瞭解本機關資通安全相關作業規範及其重要性。

4. 資通安全教育及訓練之政策,除適用所屬員工外,對機關外部的使用者,亦應一體適用。

壹拾肆、 公務機關所屬人員辦理業務涉及資通安全事項之考核機制

本機關所屬人員之平時考核或聘用,依據公務機關所屬人員資通安全事項獎懲辦法,及本機關各相關規定辦理之。

壹拾伍、 資通安全維護計畫及實施情形之持續精進及績效管理機制
一、 資通安全維護計畫之實施

為落實本安全維護計畫,使本機關之資通安全管理有效運作,相關單位於訂定各階文件、流程、程序或控制措施時,應與本機關之資通安全政策、目標及本安全維護計畫之內容相符,並應保存相關之執行成果記錄。

二、 資通安全維護計畫實施情形之稽核機制

(一) 稽核機制之實施

1. 資通安全推動小組應配合上級機關要求執行內部稽核作業,以確認人員是否遵循本規範與機關之管理程序要求,並有效實作及維持管理制度。

2. 辦理稽核前上級機關應擬定資通安全稽核計畫並安排稽核成員,稽核計畫應包括稽核之依據與目的、期間、重點領域、稽核小組組成方式、保密義務、稽核方式、基準與項目及受稽單位協助事項,並應將前次稽核之結果納入稽核範圍。

3. 其它本機關未訂者得參考引用 ISMS-02-16 資安稽核管理規範」要求事項辦理。

(二) 稽核改善報告

1. 受稽單位於稽核實施後發現有缺失或待改善項目者,應對缺失或待改善之項目研議改善措施、改善進度規劃,並落實執行。

2. 受稽單位於稽核實施後發現有缺失或待改善者,應判定其發生之原因,並評估是否有其類似之缺失或待改善之項目存在。

3. 受稽單位於判定缺失或待改善之原因後,應據此提出並執行相關之改善措施及改善進度規劃,必要時得考量對現行資通安全管理制度或相關文件進行變更。

4. 機關應定期審查受稽單位缺失或待改善項目所採取之改善措施、改善進度規劃及佐證資料之有效性。

5. 受稽單位於執行改善措施時,應留存相關之執行紀錄,並填寫稽核結果及改善報告。

三、 資通安全維護計畫之持續精進及績效管理

1. 本機關之資通安全推動小組應每年定期召開資通安全管理審查會議,確認資通安全維護計畫之實施情形,確保其持續適切性、合宜性及有效性。

2. 管理審查議題應包含下列討論事項:

(1) 過往管理審查議案之處理狀態。

(2) 與資通安全管理系統有關之內部及外部議題的變更,如法令變更、上級機關要求、資通安全推動小組決議事項等。

(3) 資通安全維護計畫內容之適切性。

(4) 資通安全績效之回饋,包括:

A. 資通安全政策及目標之實施情形。

B. 資通安全人力及資源之配置之實施情形。

C. 資通安全防護及控制措施之實施情形。

D. 內外部稽核結果。

E. 不符合項目及矯正措施。

(5) 風險評鑑結果及風險處理計畫執行進度。

(6) 重大資通安全事件之處理及改善情形。

(7) 利害關係人之回饋。

(8) 持續改善之機會。

3. 持續改善機制之管理審查應做成改善績效追蹤報告,相關紀錄並應予保存,以作為管理審查執行之證據。

壹拾陸、 資通安全維護計畫實施情形之提出本機關依據本法第 11 條之規定,應於次年向上級或監督機關,提出上年度資通安全維護計畫實施情形,使其得瞭解本機關上

年度資通安全計畫實施情形。

壹拾柒、 相關法規、程序及表單
一、 相關法規及參考文件

1. 資通安全管理法

2. 資通安全管理法施行細則

3. 資通安全責任等級分級辦法

4. 資通安全事件通報及應變辦法

5. 資通安全情資分享辦法

6. 公務機關所屬人員資通安全事項獎懲辦法

7. 資訊系統風險評鑑參考指引

8. 政府資訊作業委外安全參考指引

9. 無線網路安全參考指引

10. 網路架構規劃參考指引

11. 行政裝置資安防護參考指引

12. 政府行動化安全防護規劃報告

13. 安全軟體發展流程指引

14. 安全軟體設計指引

15. 安全軟體測試指引

16. 資訊作業委外安全參考指引

17. 本機關資通安全事件通報及應變程序

18. 其它本機關未訂者得參考引用 ISMS」資訊安全管理系統文件