「臺南市善化區公所」--網路安全政策宣告
一、臺南市善化區公所(以下簡稱本所)為強化資訊安全管理、確保資訊的機密性、完整性與可用性、資訊設備(包括電腦硬體、軟體、週邊)與網路系統之可靠性以及同仁對資訊安全之認知,並確保上述資源免受任何因素之干擾、破壞、入侵、或任何不利之行為與企圖,特訂定本政策。
二、為統一資訊安全管理等事項之協調、規劃、稽核及推動,成立資訊安全小組。
由主任秘書擔任召集人,秘書室主任擔任副召集人,研考人員為執行秘書, 各課室主管擔任委員,共同組成資訊安全小組。負責資訊安全管理系統之建立、維持與改進,規劃資訊安全責任與進行有效之資源管理。
三、依下列分工原則,配賦有關單位及人員權責:
(一)資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由本所 秘書室負責辦理。
(二)資料及資訊系統之安全需求研議、管理及保護等事項,由本所各業務 單位負責辦理。
(三)資訊機密維護及安全稽核等事項,由本所政風室會同相關單位負責辦 理。
四、本政策之範圍如下,有關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效:
(一)人員管理及資訊安全教育訓練。
(二)電腦系統安全管理。
(三)網路安全管理。
(四)系統存取控制。
(五)系統發展及維護安全管理。
(六)資訊資產安全管理。
(七)實體及環境安全管理。
(八)業務永續運作計畫之規劃與管理。
五、人員管理及資訊安全教育訓練
(一)對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任 務指派時,審慎評估人員之適任性,並進行必要的考核。各業務主管 人員,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。
(二)針對管理、業務及資訊等不同工作類別之需求,安排參與資訊安全教 育訓練,並加強員工資訊安全認知,提升資訊安全水準。
六、電腦系統安全管理
(一)辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商之資 訊安全責任及保密規定,並列入契約,要求廠商遵守並按月進行委外 工作評鑑。
(二)依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。
(三)採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟 體,確保系統正常運作。
(四)對各種系統變更作業,應建立控管制度,並建立紀錄,以備查考。
(五)採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府資訊 安全規範,研提資訊安全需求,並列入採購規格。
七、網路安全管理
(一)開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採 用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安 全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及 未經授權之存取。
(二)與外界網路連接之網點,應以防火牆及其他必要安全設施,控管外界 與內部網路之資料傳輸與資源存取。
(三)利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評 估,機密性、敏感性及未同意 之個人隱私資料及文件,不得上網公布。
(四)訂定電子郵件使用規定,機密性資料及文件不得以電子郵件或其他電 子方式傳送。
(五)為避免網路使用者不慎違反本所相關網路安全規定,網路管理人員可 考慮以相關網路技術以不干擾 正常網路使用為原則下,主動管制違反 本所相關網路規定之使用者。
八、系統存取控制
(一)離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休) 職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期 調整其權限。
(二)建立系統使用者註冊管理制度,加強使用者通行密碼管理。
(三)對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管, 並建立人員名冊,課其相關安全保密責任。
(四)配合市府進行資訊安全稽核作業。
九、系統發展及維護安全管理
(一)自行開發或委外發展系統,應在系統生命週期之初始階段,即將資訊 安全需求納入考量;系統之維護、更新、上線執行及版本異動作業, 應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
(二)對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統 與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如基於實 際作業需要,得核發短期性及臨時性之系統辨識及通行密碼 供廠商 使用,但使用完畢後應立即取消其使用權限。
(三)委託廠商建置及維護重要之軟硬體設施,應在本所使用課室相關人員 監督及陪同下始得為之。
十、實體及環境安全管理
就設備安置、周邊環境及人員進出管制等,訂定實體及環境安全管理措施。
十一、業務永續運作計畫之規劃與管理
(一)為有效掌握資通訊及網路系統遭受破壞、不當使用等危安或重大災害 事件,能迅速通報及緊急應變處置,並在最短時間內回復,以確保公 務之正常運作,訂定處理資通安全事件危機通報緊急應變計畫暨作業 處理程序。
(二)建立人員權限控管,依不同層級分採適當權限。