:::
icon 您現在的位置是:首頁資安政策 > 一、行政院所屬各機關資訊安全管理要點草案總說明  
icon 一、行政院所屬各機關資訊安全管理要點草案總說明 icon
行政院所屬各機關資訊安全管理要點草案總說明

行政院研究發展考核委員會 八十八年六月

隨著電子化政府之普及應用,如何建立安全及可信賴的電子化政府作業環境,有效防範電腦及網路犯罪,確保機關業務順利運作,保障民眾權益,已成為電子化政府之重點工作。

為使各機關資訊安全管理及稽核作業有所依據,爰衡酌行政院所屬各機關資訊安全實務作業現況,並參酌歐美政府部門之資訊安全管理規範,針對各機關資訊作業之人員、系統、設備及資料安全必須達成之基礎性及關鍵性安全措施,訂定本要點,以資遵循。

本要點計五十點,其要點如下:

一、
明定本要點之目的。(草案第一點)
二、
明定本要點之適用對象、用語定義及一般性規定。(草案第二點至第八點)
三、
明定各機關應訂定資訊安全政策,作為策訂安全管理措施之依據,並以各種方式告知員工。(第九點至第十點)
四、
明定各機關應配賦業務、資訊及政風單位不同之安全管理權責,並應指定副首長或高層主管負責資訊安全協調、推動及督導,必要時亦可設跨部門之資訊安全推行小組。(第十一點至第十三點)
五、
明定各機關對資訊相關職務及工作,應進行評估,審慎評估人員及定期考核。(第十五點)
六、
明定各機關應加強資訊安全教育訓練及宣導,並加強網路安全管理人力培訓。(第十六點至第十七點)
七、
明定各機關應將資訊作業之相關權責分散,並建立制衡機制,並由首長及主管人員負責督導員工之資訊安全。(第十八點至第十九點)
八、
明定各機關資訊業務委外作業,應將資訊安全管理列入委外契約。(第二十一點)
九、
明定各機關應建立軟體使用管理政策,禁止任意複製軟體,並採行必要的措施,偵測及防制電腦病毒。(第二十三點至第二十四點)
十、
明定各機關利用公眾網路傳輸及處理資訊,應加強安全控管,並視需採取防火牆等不同等級之安全措施,資料上網前,應經資訊安全評估程序。(第二十五點至第二十九點)
十一、
明定各機關應訂定電子郵件使用規定,機密性資料及文件,不得以電子方式傳送。(第三十點)
十二、
明定各機關採購資訊軟硬體設備,應符合政府訂頒之資訊安全技術規範,採購外國之密碼模組,應確保其安全功能。(第三十點至第三十一點)
十三、
明定各機關應訂定系統存取政策及授權規定,建立使用者註冊管理制度,對於離(休)職人員應立即撤銷其使用權限。(第三十二點至第三十五點)
十四、
明定各機關開放連線作業,提供廠商以遠端登入方式進行系統維修,以及資料建檔,應加強安全控管。(第三十六點至第三十八點)
十五、
明定各機關應建立資訊安全稽核制度,定期進行資訊安全稽核。(第三十九點)
十六、
明定嚴禁各機關核發長期性系統辨試碼及通行碼供維護廠商使用,廠商維護作業必要時應在機關人員監督及陪同下始得為之。(第四十點至第四十二點)
十七、
明定各機關應策訂業務永續運作計畫,並定期演練;機關發生資訊安全事件時,應向權責單位或人員通報,並立即採取反應行動(第四十三點)
十八、
明定各機關應依有關法令,訂定及區分資訊安全等級,並採取適當及足夠的安全措施。
(第四十五點)
 
往上 TOP