內政部役政署LOGO
* :::| 英文版| 兒童版| PDA版| 網站導覽| 雙語詞彙
*
Search: *
分眾導覽:  * 一般 * 役男 * 役政人員 *
     
   
 
   
   
【其他】
»隱私權保護政策
»資訊安全政策
»網站導覽
»雙語詞彙
»最新消息
»公益服務快報
»首長信箱處理程序
»交通地圖
»RSS訂閱說明
»站內搜尋
»檔案閱讀軟體說明
  
首頁 » 【其他】 » 資訊安全政策
 轉寄本頁 友善列印

內政部役政署資訊安全政策
  1. 內政部役政署(以下簡稱本署)為強化資訊安全管理,建立安全及可信賴之電子化政府,確保資料、系統、設備及網路安全,保障民眾權益,特訂定本政策。
  2. 本政策係依據行政院及所屬各機關資訊安全管理要點等有關法令,考量本署業務需求訂定,並以書面、電子或其他方式告知所屬員工及提供資訊服務之廠商共同遵行。
  3. 為統籌資訊安全管理等事項之協調及推動,成立資通安全處理小組(以下簡稱本小組),本小組之幕僚作業,由資訊單位負責。
  4. 依下列分工原則,配賦有關單位及人員權責:
    1. 資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由召集組資訊科負責辦理。
    2. 資料及資訊系統之安全需求研議、管理及保護等事項,由業務單位負責辦理。
    3. 資訊機密維護及安全稽核等事項,由政風室會同相關單位負責辦理。
  5. 本政策之範圍如下,有關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效:
    1. 人員管理及資訊安全教育訓練。
    2. 電腦系統安全管理。
    3. 網路安全管理。
    4. 系統存取控制。
    5. 應用系統開發及維護安全管理。
    6. 資訊資產安全管理。
    7. 實體及環境安全管理。
    8. 業務永續運作計畫之規劃與管理。
    9. 資訊安全稽核
  6. 人員管理及資訊安全教育訓練
    1. 對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
    2. 各業務主管人員,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。
    3. 針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升資訊安全水準。
    4. 負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。
  7. 電腦系統安全管理
    1. 辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
    2. 對系統變更作業,應建立控管制度,並建立紀錄,以備查考。
    3. 依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。
    4. 採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。
    5. 採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府資訊安全規範,研提資訊安全需求,並列入採購規格。
  8. 網路安全管理
    1. 開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
    2. 利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。
    3. 訂定電子郵件使用規定,機密性資料及文件不得以電子郵件或其他電子方式傳送。
  9. 系統存取控制
    1. 訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
    2. 離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
    3. 建立系統使用者註冊管理制度,加強使用者通行密碼管理,使用者通行密碼應定期更新。
    4. 對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。
  10. 應用系統開發及維護安全管理
    1. 自行或委外開發系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
    2. 對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。
    3. 委託廠商建置及維護重要之軟硬體設施,應在本部相關人員監督及陪同下始得為之。
  11. 資訊資產安全分級管理
    1. 建立與資訊系統有關的資訊資產目錄,訂定資訊資產的項目、擁有者及安全等級分類等。
    2. 依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規,建立資訊安全等級之分類標準,以及相對應的保護措施。
    3. 已列入安全等級分類的資訊及系統之輸出資料,應標示適當的安全等級以利使用者遵循。
  12. 實體及環境安全管理
    就設備安置、周邊環境及人員進出管制等,訂定實體及環境安全管理措施。
  13. 業務永續運作計畫之規劃與管理
    1. 訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。
    2. 建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依規定之處理程序,立即向資訊單位或人員通報,採取反應措施,並聯繫檢警調單位協助偵查。
    3. 依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資訊安全措施。
  14. 資訊安全稽核
    1. 應就本署業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或作業程序。
    2. 為使資訊安全政策能落實,應定期或不定期進行資訊安全內部及外部稽核作業。
  15. 本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
  16. 本政策自發布日施行。
   
   
本頁最後修改:97年3月4日 轉寄友善列印頁首
  聯絡我們| 隱私權保護政策| 資訊安全政策
     
  內政部役政署 © 版權所有   最佳瀏覽器解析度1024*768   電話:049-2394488   地址:南投縣南投市54071中興新村光明路21號 [Map]  
*
簡介 組織條例 沿革 首長簡介 組織架構
役政法規查詢 下載服務 業務聯絡窗口 年度施政計畫 役政統計 公告事項 政府資訊公開 反貪行動網 檔案應用申請
替代役通訊 替代役之歌 宣導短片 活動集錦 線上學習
服役流程 役男服務連絡網 業務申請 家屬扶助 軍人服務站 醫療服務 體複檢 役期折抵 權益保障 法律扶助 就業輔導及職訓 軍人公墓 常見問題集
新兵訓練中心 徵集預判 常備兵服役指南
一般替代役申請 研發替代役 輔助性勤務一覽表 服役須知 替代役服役簡介 績優役男芬芳錄 退役日期試算 替代役公益服務
網路問卷 電子賀卡 署長信箱 役政論壇
全國役政單位 替代役需用機關