您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態

桃園市政府主管法規共用系統

列印時間:110.08.03 11:35

法規內容

法規名稱: 桃園市政府地政局地政資訊安全管理要點
公發布日: 民國 104 年 07 月 09 日
發文字號: 桃地資字第1040030710號 函
法規體系: 桃園市法規/地政類
法規功能按鈕區
一、桃園市政府地政局(以下簡稱本局)為強化資訊安全管理,建立安全
    及可信賴之電子化政府,確保資料、系統、設備及網路安全,保障民
    眾權益,爰訂定本要點。
二、本要點適用於本局及所屬各地政事務所(以下簡稱各地政機關)。
三、各地政機關應依有關法令,考量施政目標,進行資訊安全風險評估,
    確定各項資訊作業安全需求水準,採行適當及充足之資訊安全措施,
    確保各地政機關資訊蒐集、處理、傳送、儲存及流通之安全。
四、本要點所稱適當及充足之資訊安全措施,應綜合考量各項資訊資產之
    重要性及價值,以及因人為疏失、蓄意或自然災害等風險,致各地政
    機關資訊資產遭不當使用、洩漏、竄改、破壞等情事,影響及危害各
    地政機關業務之程度,採行與資訊資產價值相稱及具成本效益之管理
    、作業及技術等安全措施。
五、各地政機關之資訊安全政策,應以書面、電子或其他方式告知所屬員
    工、連線作業之公私機構及提供資訊服務之廠商共同遵行。

六、各地政機關應就下列事項訂定相關管理規定:
    (一)資訊安全組織
    (二)資訊安全責任
    (三)人員管理及教育訓練
    (四)電腦系統安全管理
    (五)網路安全管理
    (六)系統存取控制
    (七)應用系統開發及維護安全管理
    (八)資訊資產安全管理
    (九)實體及環境安全管理
    (十)業務永續運作計畫之規劃與管理
    (十一)資訊安全稽核
七、各地政機關資訊安全分工、權責及組織相關規定如下:
    (一)資訊單位應負責推動、協調及督導機關資訊安全相關事宜;業務
        單位應督導所屬之資訊作業安全事宜。
    (二)資料及資訊系統之安全需求研議、使用管理及保護等事項,由業
        務單位負責辦理。
    (三)為加強地政資訊安全之管理,資訊單位應成立跨單位資通安全處
        理小組,推動機關資訊安全作業。
    (四)資訊機密維護及稽核使用管理事項,由資訊單位及政風單位會同
        相關單位負責辦理,或由機關首長指定適當單位及人員負責辦理
        。
八、各地政機關人員資訊安全權責相關規定如下:
    (一)資通安全處理小組召集人:資訊安全政策、資訊重大計畫之核定
        及各項資訊業務推動之督導。
    (二)資訊業務主管:前開各項資安相關業務之審核,並對所經手之機
        密性或敏感性資訊負有維護及保密之責。
    (三)資訊業務承辦人:辦理資訊設備及應用系統管理維護,確保設備
        及應用系統正常運作,參加各式資安訓練、提升資安認知,配合
        及執行各種資安演練、資安事件通報及處理,並對所管理之機密
        性或敏感性資訊負有維護及保密之責。
    (四)一般使用者:確實遵守資訊安全相關規定,正確合法使用網路、
        電子郵件、設備及系統等,對於被授與之權限、帳號密碼等負有
        保密之責。
九、各地政機關人員資訊安全管理及教育訓練相關規定如下:
    (一)對資訊相關職務及工作,應進行安全評估,並於人員進用、工作
        及任務指派時,審慎評估人員之適任性,並進行必要的考核。
    (二)業務主管人員,應負責督導所屬員工之資訊作業安全,防範不法
        及不當行為。
    (三)針對管理、業務及資訊等不同工作類別之需求,進行適當資訊安
        全教育訓練及宣導,建立員工資訊安全認知,提升資訊安全水準
        。
    (四)負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分
        工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人
        力備援制度。
十、各地政機關電腦系統安全管理相關規定如下:
    (一)電腦系統作業程序及責任
         1、內政部統籌開發或各機關自行開發之應用系統,應以書面、
            電子或其他方式載明電腦系統作業程序,分別記載於系統文
            件或操作手冊上,以確保機關員工正確、安全地操作及使用
            電腦,並以其作為系統發展、測試及維護作業的依據。
         2、資訊安全事件之管理
           (1)應建立處理資訊安全事件之作業程序及權責分工。
           (2)應訂定下列資訊安全事件之處理程序
            甲、電腦當機及服務中斷。
            乙、業務資料不完整或不正確導致的作業錯誤。
            丙、重要資料損毀。
           (3)除正常的應變計畫外,資訊安全事件之處理程序,尚應納
              入下列事項
            甲、導致資訊安全事件之原因分析。
            乙、防止類似事件再發生之補救措施規劃及執行。
            丙、電腦稽核相關資料。
           (4)電腦稽核的相關資料,應以適當的方法保存,以利管理。
           (5)處理資訊安全及電腦當機事件,依下列原則辦理:
            甲、系統恢復正常時,應確認安全控制系統是否完整及正確
                。
            乙、發生資訊安全事件時,依影響程度向主管報告處理情形
                。
            丙、緊急處理的過程,應予記錄,以備日後查考。
         3、資訊安全責任之分散
           (1)對關鍵性的資訊業務,應將資訊安全管理及執行的責任分
              散,分別賦與相關人員必要之責任。
           (2)下列業務視作業需要與執行人力資源狀況,儘可能授權分
              由不同的人員執行:
            甲、業務系統之使用。
            乙、資料建檔。
            丙、電腦作業。
            丁、網路管理。
            戊、系統行政管理。
            己、系統發展及維護。
            庚、變更管理。
            辛、安全管理。
         4、系統開發及正式作業之區隔
            為降低風險,應將系統開發及正式作業分開處理,以減少作
            業軟體或資料遭意外竄改,或遭未經授權的存取。
         5、資訊作業委外服務之安全管理
            資訊作業委外時,應於事前評估潛在風險,與業者簽訂適當
            的資訊安全協定,賦予相關的安全管理及保密責任,並納入
            契約條款。
    (二)系統容量規劃
         1、應隨時注意及觀察分析系統的作業容量,以避免容量不足,
            而導致降低服務品質。
         2、應預測作業量成長,預估採購行政作業的前置時間,俾利及
            時擴增容量。
         3、應隨時掌握電腦及網路系統容量使用狀況的資訊,以分析及
            找出可能危及系統作業的瓶頸,預作防範措施之規劃。
    (三)電腦病毒及惡意軟體之防範
        伺服器及個人電腦應採行必要的事前預防及保護措施,防制及偵
        測電腦病毒及惡意軟體等的侵入;促使員工正確認知電腦病毒的
        威脅,提升員工的資訊安全警覺,健全系統之存取控制機制。
    (四)軟體版權之控管
         1、員工應遵守軟體授權規定,禁止使用未取得授權的軟體。
         2、應依「政府所屬各級行政機關電腦軟體管理作業要點」規定
            ,建立軟體使用的註冊管理機制,並定期稽核軟體使用情形
            。
    (五)個人資料之保護
        關於個人資料的蒐集、公告、利用、更正、刪除及相關的申請登
        記、損害賠償、處罰等事宜應依個人資料保護法等有關法令規定
        辦理。
    (六)資訊採購之規範
        採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府
        資訊安全規範,研提資訊安全需求,並列入採購規格。
十一、各機關網路安全管理相關規定如下:
      (一)網路安全規劃與管理
           1、網路安全規劃作業
             (1)對關鍵性的資訊業務,應將資訊安全管理及執行的責任
                分散,分別賦與相關人員必要之責任。
             (2)對外開放的資訊系統,應針對蓄意破壞者可能以發送作
                業系統指令或傳送大量資料導致系統作業癱瘓等情事,
                預作有效的防範,以免影響服務品質。
             (3)利用網際網路及全球資訊網公布及流通資訊,應實施資
                料安全等級評估,機密性、敏感性及未經當事人同意之
                個人隱私資料及文件,不得上網公布。
             (4)開放外界連線作業之資訊系統,應視資料及系統之重要
                性及價值,採用資料加密、身分鑑別、電子簽章、防火
                牆及安全漏洞偵測等不同安全等級之技術或措施,防止
                資料及系統被侵入、破壞、竄改、刪除及未經授權之存
                取。
             (5)網路運作環境之安全性漏洞,應定期診斷,並作適當處
                置。
           2、網路安全管理
             (1)網路服務系統的最高使用權限,應經由權責主管指派相
                關人員管理。
             (2)網路系統管理人員負責執行網路安全管理之設定與操作
                ,確保系統與資料的安全性及完整性。
             (3)各系統伺服主機、作業端個人電腦及筆記型電腦,應安
                裝防毒軟體,並定期執行安全弱洞修補工作,以確保資
                料之安全性及正確性。
      (二)電子郵件之安全管理
           1、電子郵件接收後應自行保管,並立即自郵件系統信箱中刪
              除。
           2、機密性的公文及資料,不得以電子郵件傳送;敏感性資訊
              如有電子郵件傳送之必要,須經加密處理後傳送。
           3、為防範假冒名義發送電子郵件,並達到身分辨識及不可否
              認的目地,必要時應以電子簽章方式發送電子郵件。
           4、對來路不明的電子郵件,不宜隨意打開電子郵件,以免啟
              動惡意執行檔,使網路系統遭到破壞;並應通知電子郵件
              系統管理者處理。
           5、禁止傳送或散佈具恐嚇性、暴力性、違背善良風俗習性之
              資料,或謾?、侮辱他人等不當言論及法律所禁止之行為
              。
           6、禁止發送匿名信,或偽造他人名義發送電子郵件。
十二、各地政機關系統存取控制相關規定如下:
      (一)資訊系統存取控制規定
           1、業務應用系統負責人,應將系統之存取控制需求,明確告
              知系統管理者,以利其執行及維持有效的存取控制機制。
           2、業務應用系統負責人,應依業務需求、特性,訂定系統存
              取控制政策,並明定使用單位及使用人員的系統存取權限
              。
           3、資訊系統存取控制規定之研擬,應考量事項如下:
             (1)個別業務應用系統之安全需求。
             (2)資訊傳佈及資料應用之名義及授權規定。
             (3)相關法規對資料保護及資料存取之規定。
      (二)使用者之存取管理
           1、使用者註冊管理
             (1)對於多人使用的資訊系統,必須建立正式的使用者註冊
                管理程序。
             (2)員工經申請帳號後成為合法授權的網路使用者,並在授
                權範圍內存取網路資源。
             (3)使用者註冊管理程序,必須考量的事項如下:
              甲、查核使用者是否已經取得使用該資訊系統之正式授權
                  。
              乙、查核使用者被授權的程度是否與業務目的相稱,是否
                  符合資訊安全政策及規定。
              丙、必須建立及維持系統使用者之註冊資料說明紀錄,以
                  備日後查考。
              丁、使用者調整職務及離(休)職時,必須儘速註銷或停
                  用其系統存取權限。
              戊、必須定期檢查並取消閒置不用的識別碼及帳號。
           2、通行密碼之管理
             (1)為維持通行密碼的機密性,必須先配賦使用者臨時通行
                密碼,並強迫使用者於首次使用時,立即更改通行密碼
                的方式處理。
             (2)使用者忘記通行密碼時,必須提供臨時的通行密碼,以
                利系統辨認使用者。
             (3)系統如經評估必須建立更高等級的安全機制,則必須利
                用電子簽章等安全等級更高的存取控制技術。
             (4)如屬於群組軟體之使用者,應確保工作群組的通行密碼
                ,僅限群組成員使用。
             (5)以嚴謹的程序核發通行密碼,明確規定使用者應負的責
                任。
             (6)個人必須負責保護通行密碼,以維持其機密性。
             (7)避免將通行密碼記錄於書面上,或張貼於個人電腦、螢
                幕或其他容易洩漏秘密之場所。
             (8)當有跡象足以顯示系統及使用者密碼可能遭破解時,應
                立即更改密碼。
             (9)使用者密碼的長度最少應由六位長度組成(不得為空白
                )。
             (10) 自動化登入系統之通行碼,不宜存放在巨集或是功能
                  鍵中。
             (11) 必須定期更換通行密碼,原則上以每三個月至少需更
                  新一次為原則;且避免重複或循環使用舊的通行密碼
                  。
             (12) 須存取多人使用之系統,或須進入不同的系統平台,
                  應考量使用安全等級較高的通行密碼。
             (13) 避免使用下列單一事項作為通行密碼,建議採用聯想
                  及組合設定密碼:
                甲、年、月、日等時間資訊。
                乙、個人姓名、出生日、身分證字號或汽機車牌照號碼
                    。
                丙、機關、單位名稱、識別代碼或是其他相關事項。
                丁、電話號碼。
                戊、使用者識別碼、使用者姓名、群體使用者之識別碼
                    或是其他系統識別碼。
                己、重複出現兩個字以上的識別字碼。
                庚、以全部數字或是全部字母組成密碼。
                辛、英文或是其他外文字典的字。
                壬、電腦上使用者的名字、地方名稱、專有名詞、任何
                    人的名字。
                癸、電腦主機名稱、作業系統名稱。
           3、系統存取權限之檢討評估
             (1)為有效控管資料及系統存取,應定期檢討及評估使用者
                之存取權。
             (2)系統存取權限之評估,應考量事項如下:
              甲、依業務需求定期評估系統存取權限。
              乙、系統存取特別權限應定期評估。
      (三)系統存取之責任
           1、通行密碼之使用管理
              使用者選擇及使用通行密碼時,應依本規範要點規定之原
              則,配賦、管理及使用通行密碼。
           2、暫時不使用設備之安全管理
              人員暫時離開或不使用電腦設備時,應注意下列事項:
             (1)當作業結束時,必須完全登出電腦系統或離線。
             (2)當電腦設備不使用時,應使用鍵盤鎖或其他控管措施保
                護電腦設備。
      (四)網路存取之安全控制
           1、使用者存取電腦及網路服務之安全規定,應依業務存取控
              制規定辦理。
           2、使用者應在授權範圍內存取網路系統服務事項。
           3、維修廠商以遠端登入方式進入電腦網路系統進行維修的通
              信作業埠,應經申請核准後才可使用;維修完畢後,需將
              該系統之遠端登入密碼變更或刪除,並課其相關安全保密
              責任。
           4、跨單位的網路系統,應由網管人員建立網路路由控制,以
              確保電腦連線作業,不致影響應用系統的存取政策。
      (五)電腦系統之存取控制
           1、不經常使用的設備,應限定其作業時間,以防止未經授權
              的人員存取系統。
           2、應設定系統的作業時間限制,包括間隔一定時間後自動清
              除螢幕上的資訊,以及依據事前訂定的時間限制,結束應
              用系統及網路通信。
           3、具有機密及敏感性資料的應用系統,應規定使用者的連線
              作業時段。
           4、對處理機密及敏感性系統的終端機,應限定連線作業及網
              址連線時段,以減少未經授權存取系統的機會。
           5、限定連線作業時段的措施如下:
             (1)只允許在設定的時間內與系統連線。
             (2)如無特別延長作業時間的需求,應限制只能在正常的上
                班時間內進行連線作業。
             (3)應限制連線的網址。
      (六)應用系統之存取控制
           1、資訊存取之限制
             (1)系統進入時應提供畫面供使用者鍵入代號以辨識業務身
                分。
             (2)依據使用者身分控制資料的存取範圍及授權。
           2、原始程式資源之存取控制
             (1)應用程式原始程式碼、資料庫及執行檔應分別存放。
             (2)應用程式原始程式碼、資料庫及執行檔之管理、更新及
                核發,應由機關人指定專人管理。
             (3)開發中及正式作業之應用程式及資料庫應各自存放。
             (4)程式目錄清單、資料及相關電子檔應燒錄至光碟,並擇
                地存放以確保其安全。
             (5)各系統應保有各版本之更新紀錄。
           3、機密及敏感性系統之獨立作業
              對機密及敏感性資料的處理,由業務單位自行於獨立的或
              是專屬的電腦作業環境中執行。
      (七)系統存取及應用之監督
           1、事件之記錄
              例外事件及資訊安全事項發生時應建立記錄,並保存至結
              案查出原因為止,以作為日後調查及監督之用。
           2、系統使用之監督
              由系統管理人員或應用系統負責人,視需要監督個別系統
              使用情形,以確保使用者只能執行授權範圍內的事項。
           3、系統作業時間校正
              由系統管理人員定期校正系統作業時間,以維持系統稽核
              紀錄的正確性及一致性。
      (八)外單位存取資訊之安全管理
          外單位因業務需要須與本局介接進行連線作業,應經權責主管
          之核准;各所地政資料庫禁止與外界連線。
十三、各地政機關應用系統開發及維護安全管理相關規定如下:
      (一)自行或委外開發系統,應在系統生命週期之初始階段,即將資
          訊安全需求納入考量;系統之維護、更新、上線執行及版本異
          動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危
          害系統安全。。
      (二)對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸
          之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密
          碼。如基於實際作業需要,得核發短期性及臨時性之系統辨識
          及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限
          。
      (三)委託廠商建置及維護重要之軟硬體設施,應在各機關相關人員
          監督及陪同下始得為之。
十四、各地政機關資訊資產安全分級管理相關規定如下:
      (一)建立與資訊系統有關資訊資產目錄,訂定資訊資產項目、擁有
          者及安全等級分類等。
      (二)資訊資產項目
           1、資料
              資料庫及資料檔案、系統文件、使用者手冊、訓練教材、
              作業及支援程序、備援回復作業計畫等。
           2、軟體
              應用軟體、系統軟體、發展工具及公用程式等。
           3、硬體
              電腦及通訊設備、資料儲存媒體等。
           4、其他相關設備
      (三)資訊安全分類原則
           1、依據國家機密保護法、個人資料保護法及政府資訊公開等
              相關法規,建立資訊安全等級之分類標準。
           2、資訊安全分類標準,應考量資訊分享及資料的機密性、正
              確性。
           3、資訊安全分類,區分為機密性、敏感性及一般性等三類。
           4、資訊資產之安全等級,由業務單位或指定的系統管理者負
              責界定。
           5、應納入安全等級分類的項目,包括書面報告、螢幕顯示、
              資料儲存媒體、電子訊息及檔案資料等。
      (四)資訊安全等級標示
          已列入安全等級分類的資訊及系統之輸出資料,應標示適當的
          安全等級以利使用者遵循。
十五、各地政機關實體及環境管理如下:
      (一)設備安全管理
           1、設備安置地點之保護
             (1)設備應安置在適當地點,以減少環境不安全引發之危險
                及未經授權存取系統的機會。
             (2)設備安置應遵循的原則如下:
              甲、設備應儘量安置在人員不需經常進出之地點。處理機
                  密性資料工作站,應放置在管理人員可注意及可就近
                  照顧之地點。
              乙、需特別保護之設備,應考量與一般設備區隔。
              丙、應檢查及評估火災、煙、水、灰塵、震動、化學效應
                  、電力供應、電磁幅射等加諸於設備之危害。
              丁、電腦作業區應禁止抽煙及飲用食物。
              戊、應考量其他可能導致之危險因素。
           2、電源供應
             (1)電腦設備之設置,依據製造廠商提供之規格設置電源,
                以防止斷電或其他電力不正常導致之傷害。
             (2)應謹慎使用電源延長線,以免電力無法負荷導致火災等
                危害安全情事。
           3、電纜線安全
             (1)電力及通信用電纜線,應予適當之安全防護,以防止被
                破壞或資料被截取。
             (2)電力及通信纜線保護原則如下:
              甲、應採取保護網路通信線路措施,以防止遭截取或是受
                  到破壞。
              乙、對於特別敏感性或是特別重要之系統,應採取加強之
                  安全措施。
           4、設備維護
             (1)應妥善維護設備,以確保其完整性及持續使用。
             (2)設備維護原則如下:
              甲、應依據設備特性訂定維修服務期限及說明,進行設備
                  維護。
              乙、設備之維護應由授權之維護人員執行。
              丙、應明確記錄所有的錯誤或認為有疑問之處。
           5、設備放置在外部空間之安全管理
             (1)設置在外部以支援業務運作之資訊設備,亦應遵守資訊
                安全管理授權規定,保持與內部資訊設備相同之安全水
                準。
             (2)設置在外部之資訊設備安全措施原則如下:
              甲、執行業務所使用之個人電腦,如在外部使用應採取電
                  腦病毒防範措施。
              乙、電腦設備及資料儲存媒體在公共場所使用時應有專人
                  看管。
              丙、由於筆記型電腦易於遺失或遭未經授權的取用,應提
                  供適當之存取保護措施,如設定通行碼或是將檔案資
                  料加密。
              丁、應注意設備製造廠商提供之保護使用說明書。
           6、設備報廢處理之安全措施
              含有儲存媒體的設備,應在處理前詳加檢查,以確保機密
              性、敏感性之資料及有版權之軟體已被移除。
           7、資訊設備濫用之防止
             (1)資訊設備之使用,如有與業務無關或超出授權目的以外
                之需求,應經權責主管人員核准,並課予相關人員責任
                。
             (2)如發現資訊設備有不當使用情形,應予告誡,情節重大
                者簽請議處。
      (二)電腦機房管理
           1、依據內政部訂頒之「土地登記複丈地價地用電腦作業系統
              規範」辦理。
           2、有關本局及各地所地政電腦設備暨機房之管理,應另訂定
              ,俾利相關人員遵循辦理。
           3、為確保地政資訊系統正常運作及資料庫之正確性,地政資
              訊整合性應用軟體及資料庫維護,得另訂之。
十六、各地政機關業務永續運作計畫之規劃與管理相關規定如下:
      (一)備援及回復作業之規劃
           1、地政主機系統及資料庫備份作業,應依「土地登記複丈地
              價地用電腦作業系統規範」辦理。
           2、定期執行其他必要的資料、系統及軟體備份,以便發生災
              害或是儲存媒體失效時,可迅速回復正常作業。
           3、備援回復作業每年至少測試及演練一次,得在各所主機或
              備份主機或廠商提供主機上作業。
      (二)資訊安全事件之通報
           1、如因資訊安全事件,致電腦系統無法運作或影響執行效率
              時,相關人員應視其狀況嚴重程度及影響層面,循序向各
              權責主管報告。
           2、資訊安全有關作業應依「行政院資通安全危機通報及應變
              作業計畫」規定辦理,另有關本局及各所處理資通安全事
              件危機通報緊急應變作業注意事項,得另定之。
十七、資訊安全稽核規定如下:
      (一)應就業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或
          作業程序。
      (二)為使資訊安全政策能落實,應定期或不定期進行資訊安全內部
          及外部稽核作業。
      (三)本局資訊單位對所屬各地政事務所資訊作業,應進行定期或不
          定期之資訊安全稽核。
十八、本要點未規定事項,準用桃園市政府資訊安全管理要點之規定。
資料來源:桃園市政府主管法規共用系統