Empty Title

1. • 作業與通訊安全管理
     • 防範惡意軟體之控制措施
1. 本機關之主機及個人電腦應安裝防毒軟體，並時進行軟、硬體之必要更新或升級。

1. 經任何形式之儲存媒體所取得之檔案，於使用前應先掃描有無惡意軟體。
2. 電子郵件附件及下載檔案於使用前，宜於他處先掃描有無惡意軟體。
3. 確實執行網頁惡意軟體掃描。

2. 使用者未經同意不得私自安裝應用軟體，管理者並應每年定期針對管理之設備進行軟體清查。
3. 使用者不得私自使用已知或有嫌疑惡意之網站。
4. 設備管理者應定期進行作業系統及軟體更新，以避免惡意軟體利用系統或軟體漏洞進行攻擊。
   • • 遠距工作之安全措施

1. 本機關資通系統之操作及維護以現場操作為原則，避免使用遠距工作，如有緊急需求時，應申請並經資通安全推動小組同意後始可開通。
2. 資通安全推動小組應定期審查已授權之遠距工作需求是否適當。
   • • 電子郵件安全管理

1. 本機關人員到職後應經申請方可使用電子郵件帳號，並應於人員離職後刪除電子郵件帳號之使用。
2. 應定期進行電子郵件帳號清查。
3. 電子郵件伺服器應設置防毒及過濾機制，並適時進行軟硬體之必要更新，若為向上集中管理，則由上級單位統一辦理。使用者使用電子郵件時應提高警覺，並使用純文字模式瀏覽，避免讀取來歷不明之郵件或含有巨集檔案之郵件。
4. 原則不得電子郵件傳送機密性或敏感性之資料，如有業務需求者應依相關規定進行加密或其他之防護措施。
5. 使用者不得利用機關所提供電子郵件服務從事侵害他人權益或違法之行為。
6. 使用者應確保電子郵件傳送時之傳遞正確性。
7. 使用者使用電子郵件時，應注意電子簽章之要求事項。
8. 本機關應定期舉辦(或配合上級機關舉辦)電子郵件社交工程演練，並檢討執行情形。
   • • 確保實體與環境安全措施

1. 資料中心及電腦機房之門禁管理

1. 資料中心及電腦機房應進行實體隔離。
2. 機關人員或來訪人員應申請及授權後方可進入資料中心及電腦機房，資料中心及電腦機房管理者並應定期檢視授權人員之名單。
3. 機關人員應隨時注意身分不明或可疑人員。
4. 僅於必要時，得准許外部支援人員進入資料中心及電腦機房。
5. 人員及設備進出資料中心及電腦機房應留存記錄。
6. 其它本機關未訂者得參考引用ISMS-02-08 實體及環境安全規範」要求事項辦理。

2. 資料中心及電腦機房之環境控制

1. 資料中心及電腦機房應安裝之安全偵測及防護措施，如熱度及煙霧偵測設備、火災警報設備、溫濕度監控設備、漏水偵測設備、入侵者偵測系統，以減少環境不安全引發之危險。
2. 各項安全設備應定期執行檢查、維修。
3. 其它本機關未訂者得參考引用ISMS-03-04 電腦機房管理作業程序書」要求事項辦理。

3. 辦公室區域之實體與環境安全措施

1. 應考量採用辦公桌面的淨空政策，以減少文件及可移除式媒體等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。
2. 文件及可移除式媒體在不使用或不上班時，應存放在櫃子內。
3. 機密性及敏感性資訊，不使用或下班時應該上鎖。
4. 機密資訊或處理機密資訊之資通系統應避免存放或設置於公眾可接觸之場域。
5. 顯示存放機密資訊或具處理機密資訊之資通系統地點之通訊錄及內部人員電話簿，不宜讓未經授權者輕易取得。
6. 資訊或資通系統相關設備，未經管理人授權，不得被帶離辦公室。
7. 其它本機關未訂者得參考引用ISMS-02-08 實體及環境安全規範」要求事項辦理。
   • • 資料備份

1. 重要資料及核心資通系統應進行資料備份，並執行異地存放。
2. 本機關應定期確認核心資通系統資料備份之有效性。
3. 敏感或機密性資訊之備份應加密保護。
4. 其它本機關未訂者得參考引用ISMS-03-05 備份管理作業程序書」要求事項辦理。
   • • 媒體防護措施

1. 使用隨身碟或磁片等存放資料時，具機密性、敏感性之資料應與一般資料分開儲存，不得混用並妥善保管。
2. 資訊如以實體儲存媒體方式傳送，應留意實體儲存媒體之包裝，選擇適當人員進行傳送，並應保留傳送及簽收之記錄。
3. 為降低媒體劣化之風險，宜於所儲存資訊因相關原因而無法讀取前，將其傳送至其他媒體。
4. 對機密與敏感性資料之儲存媒體實施防護措施，包含機密與敏感之紙本或備份磁帶，應保存於上鎖之櫃子，且需由專人管理鑰匙。
5. 其它本機關未訂者得參考引用ISMS-03-02 電腦設備及媒體管理作業程序書」要求事項辦理。
   • • 電腦使用之安全管理

1. 電腦、業務系統或自然人憑證，若超過十五分鐘不使用時，應立即登出或啟動螢幕保護功能並取出自然人憑證。
2. 禁止私自安裝點對點檔案分享軟體及未經合法授權軟體。
3. 連網電腦應隨時配合更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
4. 筆記型電腦及實體隔離電腦應定期以人工方式更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
5. 下班時應關閉電腦及螢幕電源。
6. 如發現資安問題，應主動循機關之通報程序通報。
7. 支援資訊作業的相關設施如影印機、傳真機等，應安置在適當地點，以降低未經授權之人員進入管制區的風險，及減少敏感性資訊遭破解或洩漏之機會。
   • • 行動設備之安全管理

1. 機密資料不得由未經許可之行動設備存取、處理或傳送。
2. 機敏會議或場所不得攜帶未經許可之行動設備進入
3. 其它本機關未訂者得參考引用ISMS-02-10 網路安全管理規範」要求事項辦理。
   • • 即時通訊軟體之安全管理

1. 使用即時通訊軟體傳遞機關內部公務訊息，其內容不得涉及機密資料。但有業務需求者，應使用經專責機關鑑定相符機密等級保密機制或指定之軟、硬體，並依相關規定辦理。
2. 使用於傳遞公務訊息之即時通訊軟體宜考量下列安全性需求：

1. 用戶端應有身分識別及認證機制。
2. 訊息於傳輸過程應有安全加密機制。
3. 應通過經濟部工業局訂定行動化應用軟體之中級檢測項目。
4. 伺服器端之主機設備及通訊紀錄應置於我國境內。
5. 伺服器通訊紀錄（log）應至少保存六個月。
   • 系統獲取、開發及維護

1. 本機關之資通系統應依「資通安全責任等級分級辦法」之規定完成系統防護需求分級，依分級之結果，完成資通系統防護基準，並注意下列事項：

1. 如涉及個人資料，開發過程請依安全系統發展生命週期(Secure Software Development Life Cycle, SSDLC)納入資安要求，並參考行政院國家資通安全會報頒布之最新「安全軟體發展流程指引」、「安全軟體設計指引」及「安全軟體測試指引」。
2. 於資通系統開發前，設計安全性要求，並檢討執行情形。
3. 於上線前執行安全性要求測試，並檢討執行情形。
4. 執行資通系統源碼安全措施，包含源碼存取控制與版本控管，並檢討執行情形。

2. 其它本機關未訂者得參考引用ISMS-02-12 系統開發與維護規範」要求事項辦理。
   • 業務持續運作演練

本機關為D級機關無需針對核心資通系統制定業務持續運作計畫與演練。

• • 執行資通安全健診

本機關為D級機關無需執行資通安全健診作業。

1. • 資通安全防護設備
1. 本機關應建置防毒軟體、防火牆，如有設置電子郵件伺服器應建立電子郵件過濾裝置，持續使用並適時進行軟、硬體之必要更新或升級。前項之防火牆、電子郵件伺服器若為向上集中管理，則由上級單位統一辦理更新與升級。
2. 資安設備設定異動應保留相關修改紀錄，並定期檢討執行情形。

• 資通安全事件通報、應變及演練相關機制

為即時掌控資通安全事件，並有效降低其所造成之損害，本機關應訂定資通安全事件通報、應變及演練相關機制，詳資通安全事件通報應變程序。

其它本機關未訂者得參考引用臺南市政府及所屬機關資通安全事件通報及應變管理程序」與「ISMS-02-13 安全事件回報及處理規範」要求事項辦理。