壹、目的
一、監察院(以下簡稱本院)為強化資訊安全管理,確保資料、系統、設
備及網路安全,訂定本要點。
貳、通則
二、為確保本院資訊蒐集、處理、傳遞、儲存及流通之安全,各單位應考
量業務資訊之重要性,衡量人為疏失、蓄意破壞或自然災害等對業務
之影響程度,採取符合成本效益之資訊安全措施。
參、資訊安全政策之擬訂
三、為規範資訊安全管理有關事項,資訊單位應依據業務需求,擬定資訊
安全政策,經簽報核定後,以書面、電子或其他方式,通告本院各單
位及有關資訊服務廠商共同遵守。
四、擬訂資訊安全政策,應包括下列事項:
(一)資訊安全目標及範圍。
(二)資訊安全名詞解釋及遵循之原則、標準。
(三)員工應遵守之資訊安全規定。
(四)推動資訊安全之組織、權責及分工。
(五)員工資訊安全責任及獎懲。
(六)資訊安全事件緊急通報程序及處理流程。
(七)其他應行規定事項。
五、資訊安全政策,每年至少應檢討一次,以確保法令、技術與實務之適
用性。
肆、組織及權責
六、本院資訊安全管理分工權責劃分如下:
(一)資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資
訊單位負責辦理。
(二)資料及資訊系統之安全需求研議、使用管理及保護等事項,由主管
單位負責辦理。
(三)資訊機密維護及稽核使用管理事項,由政風單位會同相關單位負責
辦理。
七、政風單位對資訊機密維護及稽核使用管理事項,應依據資訊安全稽核
程序書訂定資訊安全內部稽核計畫,以作為執行稽核之指導綱要。
八、為協調及推動資訊安全管理事項,由資訊安全推動委員會統籌有關資
訊安全政策、計畫、資源調度等之審議及協調事項。
伍、人員管理及資訊安全教育訓練
九、本院各單位對資訊相關職務及工作,應進行安全評估,並於人員進用
、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
十、本院資訊單位應針對管理、業務及資訊等不同工作類別之需求,定期
辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升資訊安
全水準。
十一、本院資訊單位應加強資訊安全管理人力之培訓,提升資訊安全管理
能力。資訊安全人力或經驗如有不足,得洽請學者專家或專業機關
(構)提供顧問諮詢服務。
十二、本院資訊單位負責重要資訊系統管理、維護、設計及操作之人員,
應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,
建立人力備援制度。
十三、各單位主管人員,應負責督導所屬員工之資訊作業安全,防範不法
或不當行為。
陸、電腦系統安全管理
十四、辦理資訊業務委外作業時,應於事前研提資訊安全需求,明訂廠商
之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考
核。
十五、本院資訊單位對於資訊系統維護及功能修正,應建立系統版本控管
機制,隨時記錄變動情形,以備查考。
十六、本院資訊單位應建立軟體使用管理制度,記錄合法軟體之名稱、版
本、套數及使用人員等資料,並宣導使用合法軟體相關規定。
十七、本院資訊單位應不定期檢查各單位軟體使用情形,對使用非法或非
本院認可軟體之人員,應作適當之處置。
前項有關本院軟體認可標準,由資訊單位訂定之。
十八、為偵測及防制電腦病毒及其他惡意軟體,本院資訊單位應採行必要
之措施,以確保系統正常運作。
十九、本院資訊系統存有個人資料及檔案者,本院各單位應加強安全保護
措施,防止個人隱私資料遭不法或不當之竊取使用。
二十、本院採購資訊軟硬體設施,各主管單位應依國家標準或權責主管機
關訂定之政府資訊安全規範,研提資訊安全需求,並列入採購規格
。
廿一、本院政風單位應確立系統稽核項目,建立資訊安全稽核制度,定期
或不定期進行資訊安全稽核作業;系統中之稽核紀錄檔案,不得任
意刪除及修改。
柒、網路安全管理
廿二、本院利用公眾網路傳送資訊,應評估可能之安全風險,確定資料傳
輸安全需求,並針對網路線路與設備,研擬妥適之安全控管措施。
廿三、本院應避免外界直接進入內部資訊系統或資料庫存取資料,如須開
放外界連線作業,應視資料及系統之重要性及價值,採用資料加密
、身分鑑別、電子簽章、防火牆、代理伺服器及安全漏洞偵測等不
同安全等級之技術或措施,防止資料及系統遭侵入、破壞、竄改、
刪除及未經授權之存取。
廿四、本院與外界網路連接之網點,應以防火牆及其他必要安全設施,控
管外界與本院內部網路之資料傳輸與資源存取。
廿五、本院應訂定全球資訊網使用規定,利用網際網路及全球資訊網公布
及流通資訊,應實施資料安全等級評估,凡涉及業務機密、敏感性
及未經當事人同意之個人隱私資料及文件,不得上網公布。
廿六、本院應訂定電子郵件使用規定,機密性資料及文件,不得以電子郵
件或其他電子方式傳送。非屬機密之敏感性資料及文件,如有電子
傳送之需要,應經簽准後,以適當之加密或電子簽章等安全技術處
理。
廿七、本院資訊作業應用之加密技術,應採用權責主管機關認可之密碼模
組,如採購外國產製之密碼模組,不得採購金鑰代管或金鑰回復功
能之產品,且應請廠商提出輸出許可或相關授權文件,以確保密碼
模組之安全性。
捌、系統存取控制
廿八、本院應依資訊安全政策,賦予各級人員必要之系統存取權限,並以
書面、電子或其他方式告知使用者相關之權限及責任。
廿九、本院人員之系統存取權限,應以執行法定任務所必要者為限。對被
賦予系統管理最高權限之人員及掌理重要技術與作業控制之特定人
員,應經審慎之授權評估。
三十、本院離(休)職人員,人事單位應通知資訊單位立即取消使用本院
各項資訊資源之所有權限,並列入人員離(休)職時之必要手續。
人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
卅一、本院應建立系統使用者註冊管理制度,加強使用者通行密碼管理,
並要求使用者定期更新;使用者通行密碼之更新周期,視作業系統
及安全管理需求決定,最長以不超過六個月為原則。
卅二、對院內外擁有系統存取特別權限之人員,應建立使用人員名冊,加
強安全控管,並縮短密碼更新周期。
卅三、本院開放外界連線作業,應事前簽訂契約或協定,明定其應遵守之
資訊安全規定、標準、程序及應負之責任。
卅四、系統服務廠商除緊急狀況外,不得以遠端登入方式,進行系統維修
。
卅五、緊急狀況開放遠端登入維修時,資訊單位應隨時監控其作業,並於
維修完成後,隨即解除其使用權限。
卅六、本院各單位重要資料委外建檔,不論在院內或院外執行,應採取適
切之安全管制措施,以防止資料遭竊取、竄改、販售、洩漏及不當
備份等情事發生。
玖、系統發展及維護安全管理
卅七、自行開發或委外發展系統,應在系統生命週期之初始階段,即將資
訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作
業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安
全。
卅八、軟體測試應採取系統及資料之安全措施,不得使用運作中之資料庫
或檔案進行測試。
卅九、對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系
統與資料範圍,並不得核發長期之系統識別碼及通行密碼。如因作
業需要核發短期性或臨時性之系統識別碼及通行密碼時,工作結束
後,應立即解除其使用權限。
四十、委託廠商建置及維護重要之軟硬體設施,應在相關人員監督及陪同
下始得為之。
拾、業務永續運作之規劃
四十一、本院資訊單位應訂定業務永續運作計畫,評估各種人為及天然災
害對機關正常業務運作之影響,明定緊急應變及回復作業程序及
相關人員之權責,並定期演練及調整更新計畫。
四十二、本院資訊單位應建立資訊安全事件緊急處理機制,在發生資訊安
全事件時,應依規定之處理程序,立即向權責主管單位或人員通
報,採取反應措施,並聯繫檢警調單位協助偵查。
四十三、本院各單位應依相關法規及資料安全等級,採取適當之資訊安全
措施。
拾壹、其他
四十四、本院資訊單位應就設備安置、週邊環境及人員進出管制等,訂定
妥善之實體及環境安全管理措施。
四十五、本要點奉核定後實施。