交通部公路總局臺北區監理所資訊安全管理作業規範
交通部公路總局臺北區監理所九十一年八月二十七日九一北監資字第九一三五八○一號函訂定
交通部公路總局臺北區監理所九十三年六月十八日北監資字第○九三○○三五一七九號函修正
交通部公路總局臺北區監理所九十四年七月二十五日北監資字第○九四○○三四九○二號函修正
交通部公路總局臺北區監理所九十六年九月三日北監資字第○九六一○一○九四四號函修正
壹、總則
一、依據:
電腦處理個人資料保護法、國家機密保護法、政風機構辦理資訊使用管理稽核作業要點與行政院暨所屬各機關資訊安全管理要點等有關規範辦理。
二、目的:
為確保本所監理業務電腦和個人電腦資訊資料、系統、設備及網路之安全,避免因人為疏失、蓄意破壞或自然災害等風險,遭致資訊資產不當使用、洩漏、竄改、破壞等情事,而影響電腦作業系統正常運轉或損及民眾權益,特訂頒本作業規範。
三、適用對象:
(一)人員
本所(含轄站)正式人員、約聘僱人員、臨時人員及使用本所(含轄站)資訊資源或資訊業務委外服務之廠商人員等。
(二)應用系統
二代公路監理系統、行政管理系統、網際網路應用系統等。
(三)硬體設備
各式主機、工作站、伺服器及個人電腦等。
(四)網路及其設施
本所(含轄站)辦公室之區域網路,及連接二代監理系統網路、網際網路之數據專線及相關網路設施。
貳、組織與權責
一、資訊安全組織
為統籌本所資訊安全管理事宜,應成立本所「資通安全處理小組」(以下簡稱本小組),由技術副所長擔任召集人,本所政風室、資訊室及各業務單位(電腦聯絡員)共同負責本所資訊安全管理工作。
二、權責分工
1、本所年度公務機密檢查及資訊安全之稽核事項由政風室會同相關單位負責辦理。
2、資訊系統安全控制技術事宜由資訊室負責辦理。
3、資料及資訊系統之安全使用及保護事宜由各業務單位負責辦理。
叁、規範內容
一、人員安全與管理
(一)人員安全管理
1、本所新進人員於報到時,需簽署保密切結書(如附件一)。保密切結書涵蓋期間包括從業期間與離職後,均有保密之責任,任何因未遵守本資訊安全管理規範導致之資訊安全意外事件將依相關規定懲處。
2、本所資訊業務委外服務之廠商人員,應於簽訂契約時同時簽署保密切結遵守本資訊安全管理規範之規範。(如附件二)
3、本所同仁離職或調任其他單位時,須依照人事室規定填寫離職單,並由資訊室撤銷帳號核章後,始完成離職程序。
4、電腦使用者如因職務異動而成為非授權使用者時,相關單位應主動通知資訊室系統管理人員撤銷該使用者帳號。
(二)教育訓練
1、本所新進人員應由業務單位施以適當的系統操作訓練,避免使用者不當之操作。
2、新系統上線時,應對其作業人員、維護人員及網路管理人員施以適當的教育訓練。
3、每年度應對所內同仁辦理資訊安全管理課程訓練,提升其危機意識與資訊安全觀念。課程中必須給予完整之軟體著作權與版權觀念,嚴禁非法使用軟體,自由軟體(freeware)與共享軟體(shareware)之安裝使用亦必須詳細了解並遵守其版權宣告。
4、每年度應針對所內資訊人員辦理或參加上級或其他機關所辦理之資訊安全管理及危機處理防護課程訓練。
5、應隨時注意資通安全最新訊息,參與資通安全相關訓練,並利用內部網站公告同仁知悉。
6、每年度應由政風室對員工施以電腦處理個人資料保護法、國家機密保護法及相關法令等之宣導、訓練或講習,提升其法治觀念。
二、電腦系統安全管理
(一)監理系統安全管理
1、資料檔案處理參照中華電信數據分公司編印各項監理業務電腦系統文件、交通部或公路總局各級主管單位相關規定及本所各項業務電腦系統相關規定辦理。
2、停電或電腦故障時即依公路總局訂頒交通部公路總局各監理所、站、分站停電或電腦故障監理業務緊急應變作業流程處理。
3、電腦系統作業時程(如cronfile)的設定,由系統管理人員負責管制,遇有新增及更動時,並知會相關單位或相關人員。
4、電腦系統及資料庫管理員之root及informix密碼,應定期(每三個月)或可能外洩時予以更換。
5、系統及應用程式每週執行一次備份,以確保系統資料的安全。
6、遇有系統作業技術問題,應即向電腦聯絡員申告處理,如未能解決再由電腦聯絡員聯繫本所資訊室處理。
7、其他單位外界系統欲與本所公路監理電腦系統連線或互傳資料,均須陳報公路總局,並以公路監理電腦系統中央資訊中心資訊為統一對外之窗口。
(二)資料安全管理
1、電腦資料鍵入、異動須依據各系統作業操作手冊,及其他相關規定辦理。
2、電腦操作員應確實核對報表,發現錯誤即時更正,主管課股長(或指派專人)應不定期抽查稽核。
3、電腦資料發生錯誤且無法經由終端機鍵入更正時,應填寫資料更正聯繫單,陳單位主管核准後,送交或傳真資訊室執行更正,資訊室相關系統負責人將更正步驟內容及時間記於聯繫單並保存備查,傳真之資料更正聯繫單應保存備查。
4、資料庫每日應執行一次備份,以確保資料的安全。
5、處理含個人資料時,應依據「電腦處理個人資料保護法」及相關規定審慎處理,不私自蒐集或洩漏業務資訊,非公務用途嚴禁調閱使用。
6、其他單位索取資料應有正式公文,業務單位應依據「電腦處理個人資料保護法」及相關規定予以審查,並簽奉所(站)長核准後始可提供資料。
7、提供治安、情報機關相關資料,應依據公路總局訂定之「交通部公路總局所屬監理單位提供治安情報機關車籍資料作業要點」規定辦理。
8、駕駛人或車輛所有人申請查詢或請求閱覽其個人資料或製給複製本時,應填寫申請書;如申請之資料已登載於駕駛執照、行車執照、拖車使用證及牌照登記書者,應請其依相關規定辦理申請。
9、個人申請提供他人車籍資料者,應持有債權憑證;持法院判決書、裁定書或支付命令確定證明書等,應填寫申請書,由業務單位發函逕提供資料予法院。
(三)電腦病毒及惡意軟體之防範
1、病毒防護軟體及系統回復軟體由資訊室統一進行定期規劃評估與建置安裝。
2、本所同仁應使用具合法版權軟體,避免上網下載來路不明之軟體。
3、與外部交換資料時,使用資料前應啟動病毒防護軟體偵測。
4、本所同仁應隨時更新病毒碼並下載修補系統漏洞。
5、本所同仁操作電腦系統如發現病毒時應立即清除,並通報資訊室病毒或惡意程式名稱。無法自行清除病毒時應通知資訊室派員協助處理。
(四)日常作業之安全管理
有關本所日常作業之「資料備份」、「系統錯誤事項之處理」及「電腦作業環境之監測」等事項均應遵循交通部公路總局訂頒之監理業務電腦化作業手冊之「值班作業規定」及「公路監理資訊資料庫備援制度」規定,確實執行,以維持業務之正常運作。
(五)電腦媒體之安全管理
1、應納入管理之電腦媒體包括儲存公務上應保密資料之可攜帶移動的磁帶、磁碟、光碟及其他儲存裝置、電腦列印之各式報表、作業程序目錄及系統文件等。
2、機密性之資料若需使用傳真設備傳送時,傳真設備必須有保護之措施,避免資料外洩。
3、電腦媒體應依保存規格要求,存放在安全的環境,非經簽奉所(站)長核准,不得攜離辦公場所。
4、媒體儲存的資料,不再繼續使用或逾保存年限時,應將儲存的內容消除;報廢時,應由專人以安全的方式處理,例如:燒毀、以碎紙機處理,或將資料從媒體中完全清除。
5、電腦媒體運送過程,應有妥善的安全措施,以防止資料遭竄改破壞、誤用或未經授權的取用。
6、電腦媒體運送,應慎選安全及可信賴的運送機構或人員,對於機密及敏感性的資料,應採取特別的安全保護措施,必要時加派人員運送。
三、網路安全管理
(一)網路安全規劃與管理
1、應設專人管理網路系統,維持網路(含備援設備)系統正常運作。
2、屬開放性網路系統應具有防火牆功能及安裝入侵偵測、防毒系統,以防止非法入侵破壞網路。
3、網路系統管理人員應負責製發帳號,提供取得權人員使用;除非有特殊情況,不得製發匿名或多人共享的帳號。
4、網路系統管理人員應負責監督網路資料使用情形,檢查有無違反資訊安全規定之事件發生。
5、區域網路架構,應適度做邏輯群組(如VLAN)之分割,以阻隔病毒擴散。
(二)網路使用者管理
1、本所員工經申請帳號後成為合法授權的網路使用者,並在授權範圍內存取網路資源。
2、本所網路使用者應遵循以下規定:
(1)不得將自己的登入身份識別帳號與密碼交付他人使用。
(2)不得使用他人的登入身份識別帳號與密碼。
(3)非經授權禁止以儀器設備或軟體工具讀取網路上的通訊資料。
(4)禁止下載未經授權使用的檔案或軟體。
(5)禁止將色情檔案建置在本所網路,亦不得在網路上散播不法、不當或違反善良風俗習慣的資料。
(6)禁止利用本所網路從事不法、不當之情事。
(7)不得散布電腦病毒或以其他任何手段蓄意干擾或妨害網
路系統的正常運作。
(8)除因公務需要且經權責主管核可外,同仁不得使用點對點(Peer-to-Peer,P2P)分享軟體,並將不定期派員檢視稽核。
(三)電子郵件安全管理
1、電子郵件收送依據本所處理電子郵件作業要點辦理,並由專人負責每日定時收送電子郵件,必要時得隨時收送電子郵件。
2、敏感性資料經加密作業處理得以電子郵件傳送;機密等以上公文及資料,不得以電子郵件傳送。
3、來路不明的電子郵件,不宜隨意打開,以免啟動惡意執行檔(病毒檔),使網路系統遭到破壞。
4、禁止以電子郵件騷擾他人、發送匿名郵件、偽造他人名義發送郵件或惡意發送大量不當郵件。
5、電子郵件之使用與停用申請,均應確實依人員之任離職及工作執掌變動情形填列申請單,以利進行帳號管制。
6、電子郵件伺服器應安裝郵件防毒軟體,加強過濾病毒、蠕蟲等惡意程式,以防隨電子郵件夾帶進入。
7、為防止郵件伺服器遭非法利用轉寄信件,應取消郵件伺服器轉信(relay)功能。
(四)網際網路應用之安全管理
1、本所同仁使用的電腦,應安裝防毒軟體以對下載的檔案做病毒掃描。
2、應在瀏覽器上自訂安全等級,並採取適當的安全防護措施防止網際網路上的應用程式任意更改檔案系統以維護內部網路安全。
3、應考量網際網路新技術的可能安全弱點,並採取適當的防護措施以確保內部網路安全。
(五)網路入侵處理
1、發現網路入侵之處理步驟
網路使用者發現網路入侵之情事時應立即通知資訊室,資訊室接獲通知後,應採取下述之適當措施以防止災害繼續擴大:
(1)當確定本所網路安全被突破時,被入侵之應用系統應暫時設定為「拒絕任何存取」,並切斷入侵者的網路連接,如無法切斷則必須關閉網路連線。
(2)如入侵者己被資訊室嚴密監控,在不危害內部網路安全的前題下,得適度有條件地允許入侵者存取動作,以利追查入侵者。一旦入侵者危害到內部網路安全,則必須立即切斷入侵者的連接。
(3)應正式紀錄入侵的情形及評估影響的層面。
(4)立即向權責主管人員報告入侵情形。
(5)向機關內部或外部之電腦安全緊急處理小組反應,以獲取必要之協助。
2、網路入侵之追蹤調查
(1)檢視記錄檔中是否有不尋常的來源位置或不尋常的操作動作。檢查登入時間、程序的執行記錄以及系統日誌所做的記錄等,以防止入侵者修改記錄檔來隱藏行蹤。
(2)對入侵者的追查,除利用稽核檔案提供的資料外,得使用系統指令執行反向查詢,並聯合相關單位(如網路服務公司等)追蹤入侵者。
(3)當檢查機器是否被入侵時,必須檢查所有區域網路上的機器。如一台機器被入侵,同一網段的其它機器也有可能已被入侵;或是入侵者利用其它機器為窗口來入侵本所網路。
3、網路入侵的事後處理
(1)入侵者之行為若觸犯法律規定,構成犯罪事實,由政風室查處,並立即告知檢警調單位,請其處理入侵者之犯罪事實調查。
(2)資訊室應全面檢討網路安全措施及修正防火牆的設定,尋求適當之解決辦法,以防禦類似的入侵與攻擊。
(六)網路安全稽核
1、網路系統管理人員應不定時檢視系統登錄紀錄,並視需要產生報表。如發現異常狀況應立即通報單位主管,情節重大時應專案簽報並知會政風室。
2、應視需要建立警示系統,讓網路系統管理人員在特定的網路安全事件發生時,及時獲得警示性的訊號,俾利採取有效的防範措施,減少網路安全事件的發生。
四、系統存取控制
1、依執行業務之需求,視個案逐項考量賦予使用者系統存取權限;系統存取權限之配賦,應以執行業務及職務所必要者為限。
2、應用系統操作人員均各自擁有自己的使用者代碼和密碼,不同的使用者代碼各有不同的作業範圍和權限,密碼必須加以保密,避免洩密遭人盜用,並應定期更改通行密碼。
3、使用者代碼新增、刪除或修正作業範圍和權限,應填寫終端機操作人員使用者代碼異動聯繫單,陳單位主管核備後,由資訊室或各站之電腦聯絡員執行管制。
4、使用人員領取使用者代碼後應立即自行設定密碼,密碼長度少應由六位長度組成;如遺忘密碼應填寫終端機使用代碼異動聯繫單,由機房電腦聯絡員清除密碼後,再由操作人自行設定密碼。
5、終端機使用人員離職,人事單位應知會資訊室或電腦聯絡員,其原屬單位應填寫終端機使用者代碼異動聯繫單,陳單位主管核章後,由資訊室或各站之電腦管理員立即撤銷其使用權限。
6、閒置不用的識別碼不應重新配賦給其他的使用者,並應不定期實施稽核。
7、人員因故離開座位暫停作業時,必須登出系統或使用畫面鎖定保護,防止帳號被盜用或資料被竊取。下班或公出離開辦公室前,必須關閉電腦設備,避免有心人士竊取機密資料或侵入系統。
五、資訊資產之安全管理
1、建立資訊系統有關資訊資產目錄,明列資訊資產的項目、管理(負責)人及安全等級分類,如有變更應詳細記載。
2、機關資訊安全分類依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規,區分為機密性敏感性及一般性等三類。
3、資訊資產實體設備故障應通知資訊室資產管理(負責)人,並由管理(負責)人依規定提出請修申請,並登錄設備故障月報表及送修進出時間表。
4、資訊資產實體設備報廢,由財產管理人員依規定辦理。
5、含有儲存媒體的設備,應在報廢處理前詳加檢查,以確保機密性、敏感性之資料及有版權之軟體已被移除。
六、系統發展與維護之安全管理
(一)公路監理電腦系統
1、公路監理電腦系統由中華電信數據通信分公司統一開發與維護。
2、應用系統程式之更新,由資訊室各應用系統負責人員配合中華電信數據通信分公司執行。
3、因應業務需求之系統功能新增或異動,應由需求單位應填具業務聯繫單,由單位主管核可後,送資訊室處理;惟如涉及全國一致性之作業需求,業務單位應循行政體系陳報公路總局核可後,再轉請中華電信數據通信分公司配合辦理。
(二)行政電腦系統
1、本所一般行政業務電腦化系統由公路總局統一開發與維護。
2、應用系統程式之更新,由資訊室各應用系統負責人員配合公路總局執行。
3、因應業務需求,應由需求單位提出需求計畫書,資訊室得視人力、技術、成本及資訊安全考量提出可行性方案及意見(或辦理情形)回覆原需求單位。
(三)委外作業之安全管理
1、資訊業務委外時,應於事前審慎評估可能的潛在安全風險,並與廠商簽定適當的資訊安全協定,及課以相關的安全管理責任,納入契約條款,必要時並應不定期派員監督、管理委外廠商實際作業情形。
2、委外作業承包之工作人員,如需進入相關系統作業,由委外業務之主管單位依規定申請使用者代碼,並於委外業務完成後立刻依規定撤銷。
3、委外作業鍵入之資料由主管單位指派專人核對以確保資料之正確性,委外資訊廠商除安全管理責任外,尚應落實保密作為。
4、系統委外開發承包商應提供系統建置(含規格及軟體程式)之完整、詳細說明文件。
5、自行管理的設備應安置在特定區域,並與資訊服務提供者管理的設備分開。
七、實體及環境安全管理
(一)電腦設備安全管理
1、專人負責,並制定資訊室電腦設備開關機操作程序。
2、定期維護保養,確保設備的完整性及可以持續使用。
3、電腦設備、資料或軟體,未經管理人員同意下,不得被帶離辦公室。
(二)電源供應系統的管理
1、相關電腦設備之電源使用應依據製造廠商提供規格設置、並需防止斷電或電力不正常導致的傷害。
2、緊急供電系統暨不斷電系統應由專人負責管理及制定開關機操作程序,並定期維護保養及測試。
3、謹慎使用電腦延長線,避免電力無法負荷導致火災等危害安全事情。
4、電腦專用電源除電腦相關設備外,其他任何電器均不得使用。
(三)電腦機房消防系統的設置管理
1、專人負責。
2、定期維護保養及測試,確保設備的完整性及可以持續使用。
3、電腦機房消防安全緊急處理作業程序以書面記載,並定期演練及測試。
(四)其他安全管理
1、電腦機房實施門禁安全控管。
2、資訊支援或維護服務人員需由資訊室人員或電腦聯絡員陪同或是備授權並經登記,始得進出管制區域。
3、備援媒體應存放在安全距離以外之地點。
4、個人電腦及終端機不使用時,應關閉結束作業或設定通行螢幕等控制措施保護。
5、嚴禁安裝或下載未經授權使用或來路不明之軟體。
6、電腦機房及各項電腦軟、硬體設備應強化設(放)置處、所防護措施,避免遭致水患、風災、火災等災害,造成損失。
八、業務永續運作計畫之規劃及管理
(一)備援與回復作業
1、本所公路監理資訊系統及資料庫之備援(備份)及復原作業,應遵循交通部公路總局訂頒之監理業務電腦化作業手冊「檔案與資料之管理」及「公路監理資訊資料庫備援制度」之規定,確實執行,以維持業務之持續運作。
2、個人電腦中之重要資料備份應由同仁定期自行進行備份,並應選擇乾燥密閉之環境保管。
3、監理電腦系統遇有停電、線路或機件故障、或重大天然災害時,應遵循交通部公路總局訂頒之監理業務電腦化作業手冊「監理電腦作業停電、故障緊急處置實施要點」、「交通部公路總局各監理所、站、分站停電或電腦故障監理業務緊急應變作業流程」及「交通公路總局台北區監理所災害緊急應變防護手冊」之規定,做妥善之應變處置。
4、每年應進行資訊安全風險評估及作業檢討,並據以修正本所「資訊安全管理作業規範」,確保資訊安全實務作業之有效性。
5、每年應進行備援、回復作業程式及機制之測試演練。
(二)資訊安全事件通報處理機制
1、本所業務如因資訊安全事件(包括系統有安全漏洞、遭受非法入侵及破壞、遭遇阻斷服務攻擊及功能不正常事件等),致電腦系統無法運作或影響執行效率時,相關人員應視其狀況嚴重程度及影響層面,循序向各權責主管報告。
2、本所員工發現有資訊安全事件時,應迅速通報權責主管單位及人員處理。
3、資訊室相關人員接獲通報後應紀錄相關的訊息,並應依『行政院資通安全危機通報及應變作業計畫』規定向上通報。
4、資訊室相關人員應立即停止使用受影響之電腦系統或設備,並保留現況。
5、系統管理人員處理後,應向直屬業務主管回報處理結果,並作成紀錄。
九、資訊安全稽核
1、資訊機密維護及稽核使用管理事項,由政風室會同資訊室及相關單位組成安全稽核小組負責辦理,並得併同本所公務機密維護檢查辦理。
2、稽核之結果應填寫紀錄表完整記錄。
3、資訊安全稽核之結果,除特殊原因得簽奉核可不公開外,應彙整相關單位之優缺點及綜合改進建議,簽奉核可後提供相關單位改進。
4、安全稽核小組為因應突發性、專案性或特殊性之資訊安全稽核需要,得不定期針對特定目的之項目、單位或人員進行資訊安全專案稽核工作。
5、專案稽核之重點以因應特殊目的為主,稽核內容則應審視稽核項目是否已按規定辦理。
6、專案稽核之結果,應即時檢討各項優缺點及綜合改進建議,簽奉核可後提供相關單位改進,並例入下年度稽核時追蹤。
肆、附則
一、本所員工、委外管理人員及委外服務人員違反本規範之作業規定者,視其情節輕重,依相關規定予以處分,或依法追究其民、刑事責任。
二、本規範如有未盡事宜得隨時修正。
三、本規範未訂定之事項得依行政院所頒訂之「行政院所屬各機關資訊安全管理規範」及相關規定辦理。
四、本規範經簽奉所長核定後實施,修正時亦同。
|