列印時間:107.05.22 15:56

函頒「基隆市政府資訊安全管理要點」,並自即日起實施,請查照。

主管機關: 基隆市政府研考處
發文機關: 基隆市政府
發文日期: 106.12.26
發文字號: 中華民國106年12月26日基府研資貳字第1060257478號 函
異動性質: 訂定
旨: 函頒「基隆市政府資訊安全管理要點」,並自即日起實施,請查照。
法規名稱: 基隆市政府資訊安全管理要點
法規內文:

一、基隆市政府(以下簡稱本府)為強化資訊安全管理,確保資料、系統
    、設備及網路安全,特訂定本要點。

二、本要點所稱各機關指本府及所屬各機關。

三、各機關應遵循相關法規要求,考量施政目標,進行資訊安全風險評估
    ,確定各項資訊作業安全需求水準,採行適當及充足之資訊安全措施
    ,確保各機關資訊蒐集、處理、傳送、儲存及流通之安全。

四、本要點所定適當及充足之資訊安全措施,應綜合考量各項資訊資產之
    重要性及價值,以及因人為疏失、蓄意或自然災害等風險,致機關資
    訊資產遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務
    之程度,採行與資訊資產價值相稱及具成本效益之管理、作業及技術
    等安全措施。

五、各機關辦理資安責任等級分級應依政府機關(構)資通安全責任等級
    分級作業規定。

六、本要點所稱資訊安全政策,指機關為達成資訊安全目標訂定之資訊安
    全管理作業規定、措施、標準、規範及行為準則等。

七、各機關得依實際業務需求,訂定機關資訊安全政策,並以書面、電子
    或其他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠
    商共同遵行。

八、各機關發生資訊安全事件時,應依國家資通安全通報應變作業綱要規
    定處理。

九、各機關得就下列事項訂定資訊安全管理相關規定:
 (一) 資訊安全組織。
 (二) 資訊安全責任。
 (三) 人員管理及資訊安全教育訓練。
 (四) 電腦系統安全管理。
 (五) 網路安全管理。
 (六) 系統存取控制。
 (七) 應用系統開發及維護安全管理。
 (八) 資訊資產安全管理。
 (九) 實體及環境安全管理。
 (十) 業務永續運作計畫之規劃與管理。
 (十一) 資訊安全稽核。

十、各機關資訊單位(或指派專人)應負責推動、協調及督導機關資訊安
    全相關事宜;業務單位應督導所屬之資訊作業安全事宜。

十一、各機關資料及資訊系統之安全需求研議、使用管理及保護等事項,
      由業務單位負責辦理。

十二、各機關得視需要成立資訊安全推行小組,統籌資訊安全政策、計畫
      、資源調度等事項之協調、研議。

十三、資訊機密維護及稽核使用管理事項,由各機關資訊單位及政風單位
      會同相關單位負責辦理;未設置資訊單位及政風單位,由機關首長
      指定適當單位及人員負責辦理。

十四、各機關對負責重要資訊系統之管理、維護、設計及操作之人員,應
      妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建
      立人力備援制度。

十五、各機關辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂
      廠商之資訊安全責任及保密規定,要求廠商遵守並定期考核。

十六、各機關對電腦作業系統變更作業,應建立控管制度,並建立紀錄,
      以備查考。

十七、使用軟體應遵守智慧財產權相關法令及契約規定。

十八、各機關應採行必要的事前預防及保護措施,偵測及防制電腦病毒及
      其他惡意軟體,確保系統正常運作。

十九、各機關採購資訊軟硬體設施,應研提資訊安全需求,並列入採購規
      格。

二十、各機關網路安全管理應遵守下列規定:
 (一) 開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,
      採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不
      同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、
      刪除及未經授權之存取。
 (二) 利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級
      評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,
      不得上網公布。
 (三) 訂定電子郵件使用規定,機密性資料及文件不得以電子郵件或其他
      電子方式傳送。

二十一、各機關系統存取控制應遵守下列規定:
 (一) 訂定系統存取流程及授權規定,並以書面、電子或其他方式告知員
      工及使用者之相關權限及責任。
 (二) 離(休)職人員,應取消各項資訊資源之所有權限,並列入離(休
      )職之必要手續。人員職務調整及調動,應依系統存取授權規定,
      調整其權限。
 (三) 依資訊安全管理制度,加強使用者通行密碼管理,並應定期更新。
 (四) 對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管
      ,課其相關安全保密義務。

二十二、各機關自行或委外開發系統,應在系統生命週期之初始階段,即
        將資訊安全需求納入考量;系統之維護、更新、上線執行及版本
        異動作業,應予安全管制,避免不當軟體、後門及電腦病毒等危
        害系統安全。

二十三、各機關對廠商之軟硬體系統建置及維護人員,應規範及限制其可
        接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行
        密碼。
        各機關如基於實際作業需要,得核發短期性及臨時性之系統辨識
        及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。

二十四、委託廠商建置及維護重要之軟硬體設施,應在各機關相關人員監
        督及陪同下始得為之。

二十五、各機關資訊資產安全分級管理應遵守下列規定:
 (一) 建立與資訊系統有關資訊資產目錄,訂定資訊資產項目、擁有者及
      安全等級分類等。
 (二) 依據國家機密保護、個人資料保護及政府資訊公開等相關法規,建
      立資訊安全等級之分類標準,以及相對應保護措施。
 (三) 已列入安全等級分類之資訊及系統輸出資料,應標示適當安全等級
      以利使用者遵循。

二十六、各機關得就設備安置、周邊環境及人員進出管制等,訂定設備實
        體及環境安全管理措施。

二十七、各機關資訊安全稽核應遵守下列規定:
 (一) 就業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或作業程
      序。
 (二) 為使資訊安全政策能落實,應定期或不定期進行資訊安全內部及外
      部稽核作業。
 (三) 本府及設有資訊單位之一級機關對所屬機關及單位資訊作業,應由
      資訊單位會同政風單位或相關稽核人員進行定期或不定期之資訊安
      全稽核。

二十八、本要點未規定事項,準用行政院及所屬各機關資訊安全管理要點
        規定辦理。

二十九、本要點經市務會議通過後函頒實施。

立法理由:
資料來源:基隆市政府主管法規共用系統