.gif){kind=small}
首頁 > 網站安全政策
桃園縣中壢市公所資訊安全管理要點
中華民國96年8月24日中市計字第0960045216號函發布實施
【壹、依據】
本要點依據行政院88年9月15日台88經字第34735號函訂頒「行政院及所屬各機關資訊安全管理要點」規定訂定。
【貳、資訊安全政策】
一、目的
為保護本所資訊免受內部或外部、蓄意或意外之威脅,維護資料、系統及設備之安全,提供迅速可靠之資訊服務。
二、目標
(一)確保資訊應用平台資料之機密性及隱密性,並防止非法使用及非法存取事件之發生。
(二)本所資訊應用平台提供持續服務,因資安事件導致資訊應用平台服務停頓,每次不得超過8小時。
三、責任
(一)成立跨課室資訊安全小組,由市長擔任召集人,副市長擔任副召集人,計畫室主任擔任執行秘書與各課室資訊安全管理代表組成之,負責資訊安全管理系統之建立、維持與改進,規劃資訊安全責任與進行有效之資源管理。
(二)本所人員(含正式人員、約聘雇人員及臨時人員)、主機房及個人電腦維護承包商與業務合作夥伴應遵守本政策及其他相關資訊安全規定。
(三)人員未遵循本政策或行使其他任何危及本所資訊安全之行為,都將訴諸適當之懲罰或法律行動。
四、事件通報處理流程
依國家資通安全會報通報與應變作業流程辦理(如附件)。
【參、實施計畫】
一、資訊安全權責分工
(一)資訊安全政策、計畫、措施及技術規範之研議,以及安全技術之研究、建置及評估相關事項,由計畫室辦理。
(二)資料及資訊系統之安全等級研議、使用者權限需求等事項,由業務單位與計畫室辦理。
(三)資訊機密維護及稽核使用管理事項,由政風室會同相關單位辦理。
(四)人員進用之安全評估,由用人單位會同人事室辦理。
(五)資訊資產安全及管理由行政室辦理。
(六)緊急應變處理程序演練及測試由計畫室辦理。
(七)資訊安全稽核作業,由政風室會同計畫室定期辦理。
二、人員管理及資訊安全教育訓練
(一)對處理敏感性、機密性資料之人員及因工作需要須賦於系統管理權限之人員,應妥適分工,分散權責,視需要建立人員相互支援制度。
(二)對離(休、停)職人員,依據人員離(休、停)職之處理程序辦理,並立即取消使用各項系統資源所有權限。
(三)針對不同層級人員,視實際需要辦理資訊安全教育訓練及宣導,促使員工瞭解資訊安全的重要性,各種可能的安全風險,以提高員工資訊安全意識,促其遵守資訊安全規定。
(四)各業務主管,須負責督導所屬員工之資訊作業安全,防範不法及不當行為。
三、電腦系統安全管理
(一)建立資訊設施及系統的變更管理通報機制,以免造成系統安全上的漏洞。
(二)依據電腦處理個人資料保護法之相關規定,審慎處理及保護個人資訊。
(三)建立系統備援設施,定期執行必要的資料、軟體備份並存放在不同場所,以便發生災害或儲存媒體失效時,可迅速回復正常作業。
四、網路安全管理
(一)本所與外界網路連接之網點,須設立防火牆控管外界與內部網路之資料傳輸及資源存取,執行嚴謹的身分辨識作業。
(二)機密性及敏感性的資料或文件,不得存放在對外開放的資訊系統中,機密性文件不得以電子郵件、FTP、MSN、Skype、p2p等類似方式傳送;敏感性資訊如有電子傳送之必要,需經加密或電子簽章等安全技術處理後傳送。
(三)審慎評估開放外界連線及本所間資料傳送作業,必要時簽訂契約或協定,限制系統可運作之權限,並明定應遵守之資訊安全規定、程序及應負之責任。
(四)建立警示系統,讓網路系統管理人員在特定的網路安全事件發生時,及時獲得警示性的訊號,俾利採取有效的防範措施,減少網路安全事件的發生。
五、系統存取控制管理
(一)視作業系統及安全管理需求訂定通行密碼核發及變更程序並作成紀錄。
(二)登入各作業系統時,依各級人員執行任務所必要之系統存取權限,由計畫室系統管理人員設定賦予權限之帳號與密碼,並定期更新。
(三)各單位之重要資料如需委外建檔者,不論在所內或所外執行,均須與委外廠商簽訂適當之安全管制條款,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
六、系統發展及維護之安全管理
(一)在資訊系統規劃之需求分析階段,即將資訊安全納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
(二)資訊業務委外時,應於事前審慎評估可能的潛在安全風險,須明定廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守。
(三)對於委外建置之軟硬體系統及維護人員,應規範及限制其可接觸之系統與資料範圍,並於使用完畢後立即取消其使用權限。
(四)依據智慧財產權之相關規定,規範各種軟體之使用。
七、資訊資產安全管理
(一)建立一份與資訊系統有關之資產目錄,資訊財產不得攜出辦公處所。
(二)為防止可能的不當行動,應禁止未經授權的人員在辦公室單獨作業。
(三)電腦設備須裝置防毒軟體並即時更新病毒碼,並公告有關病毒最新資訊。
(四)個人文件檔案存檔時須養成安全保護習慣,若檔案需提供網路共享則必須加密保護。
八、實體及環境安全管理
(一)系統伺服主機、設備應安置於主機房,並由計畫室專責管理,並管制非相關人員隨意進出。
(二)主機房應安裝適當的安全偵測及防制設備,各項安全設備應定期檢查。
(三)備份作業用的設備及備份媒體,應存放在安全距離以外的地點。
九、業務永續運作計畫管理
(一)評估各種人為及天然災害對正常業務運作之影響,並視需要調整更新計畫。
(二)依相關法規,區分資料等級,並依不同等級,採取適當及充足之資訊措施。
【肆、其他】
(一)由政風室訂定資訊安全稽核要點(含稽核內容、稽核結果、人員等),並定期稽查資訊安全事項辦理情形。
(二)有關資訊安全之細部作業規範由相關資訊安全權責單位參考「行政院及所屬各機關資訊安全管理規範」辦理。
相關檔案下載
中壢市公所資訊安全管理要點.doc
中壢市公所資訊安全管理要點.pdf
國家資通安全會報通報與應變作業流程.ppt
(二)登入各作業系統時,依各級人員執行任務所必要之系統存取權限,由計畫室系統管理人員設定賦予權限之帳號與密碼,並定期更新。
(三)各單位之重要資料如需委外建檔者,不論在所內或所外執行,均須與委外廠商簽訂適當之安全管制條款,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
(二)資訊業務委外時,應於事前審慎評估可能的潛在安全風險,須明定廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守。
(三)對於委外建置之軟硬體系統及維護人員,應規範及限制其可接觸之系統與資料範圍,並於使用完畢後立即取消其使用權限。
(四)依據智慧財產權之相關規定,規範各種軟體之使用。
(二)為防止可能的不當行動,應禁止未經授權的人員在辦公室單獨作業。
(三)電腦設備須裝置防毒軟體並即時更新病毒碼,並公告有關病毒最新資訊。
(四)個人文件檔案存檔時須養成安全保護習慣,若檔案需提供網路共享則必須加密保護。
(二)主機房應安裝適當的安全偵測及防制設備,各項安全設備應定期檢查。
(三)備份作業用的設備及備份媒體,應存放在安全距離以外的地點。
(二)依相關法規,區分資料等級,並依不同等級,採取適當及充足之資訊措施。
(二)有關資訊安全之細部作業規範由相關資訊安全權責單位參考「行政院及所屬各機關資訊安全管理規範」辦理。
中壢市公所資訊安全管理要點.pdf
國家資通安全會報通報與應變作業流程.ppt
檢閱日期:2010-12-13
