基隆市政府主管法規共用系統

一、基隆市政府（以下簡稱本府）為強化資訊安全管理，確保資料、系統
    、設備及網路安全，特訂定本要點。

二、本要點所稱各機關指本府及所屬各機關。

三、各機關應遵循相關法規要求，考量施政目標，進行資訊安全風險評估
    ，確定各項資訊作業安全需求水準，採行適當及充足之資訊安全措施
    ，確保各機關資訊蒐集、處理、傳送、儲存及流通之安全。

四、本要點所定適當及充足之資訊安全措施，應綜合考量各項資訊資產之
    重要性及價值，以及因人為疏失、蓄意或自然災害等風險，致機關資
    訊資產遭不當使用、洩漏、竄改、破壞等情事，影響及危害機關業務
    之程度，採行與資訊資產價值相稱及具成本效益之管理、作業及技術
    等安全措施。

五、各機關辦理資安責任等級分級應依政府機關（構）資通安全責任等級
    分級作業規定。

六、本要點所稱資訊安全政策，指機關為達成資訊安全目標訂定之資訊安
    全管理作業規定、措施、標準、規範及行為準則等。

七、各機關得依實際業務需求，訂定機關資訊安全政策，並以書面、電子
    或其他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠
    商共同遵行。

八、各機關發生資訊安全事件時，應依國家資通安全通報應變作業綱要規
    定處理。

九、各機關得就下列事項訂定資訊安全管理相關規定：
 (一) 資訊安全組織。
 (二) 資訊安全責任。
 (三) 人員管理及資訊安全教育訓練。
 (四) 電腦系統安全管理。
 (五) 網路安全管理。
 (六) 系統存取控制。
 (七) 應用系統開發及維護安全管理。
 (八) 資訊資產安全管理。
 (九) 實體及環境安全管理。
 (十) 業務永續運作計畫之規劃與管理。
 (十一) 資訊安全稽核。

十、各機關資訊單位（或指派專人）應負責推動、協調及督導機關資訊安
    全相關事宜；業務單位應督導所屬之資訊作業安全事宜。

十一、各機關資料及資訊系統之安全需求研議、使用管理及保護等事項，
      由業務單位負責辦理。

十二、各機關得視需要成立資訊安全推行小組，統籌資訊安全政策、計畫
      、資源調度等事項之協調、研議。

十三、資訊機密維護及稽核使用管理事項，由各機關資訊單位及政風單位
      會同相關單位負責辦理；未設置資訊單位及政風單位，由機關首長
      指定適當單位及人員負責辦理。

十四、各機關對負責重要資訊系統之管理、維護、設計及操作之人員，應
      妥適分工，分散權責，並視需要建立制衡機制，實施人員輪調，建
      立人力備援制度。

十五、各機關辦理資訊業務委外作業，應於事前研提資訊安全需求，明訂
      廠商之資訊安全責任及保密規定，要求廠商遵守並定期考核。

十六、各機關對電腦作業系統變更作業，應建立控管制度，並建立紀錄，
      以備查考。

十七、使用軟體應遵守智慧財產權相關法令及契約規定。

十八、各機關應採行必要的事前預防及保護措施，偵測及防制電腦病毒及
      其他惡意軟體，確保系統正常運作。

十九、各機關採購資訊軟硬體設施，應研提資訊安全需求，並列入採購規
      格。

二十、各機關網路安全管理應遵守下列規定：
 (一) 開放外界連線作業之資訊系統，應視資料及系統之重要性及價值，
      採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不
      同安全等級之技術或措施，防止資料及系統被侵入、破壞、竄改、
      刪除及未經授權之存取。
 (二) 利用網際網路及全球資訊網公布及流通資訊，應實施資料安全等級
      評估，機密性、敏感性及未經當事人同意之個人隱私資料及文件，
      不得上網公布。
 (三) 訂定電子郵件使用規定，機密性資料及文件不得以電子郵件或其他
      電子方式傳送。

二十一、各機關系統存取控制應遵守下列規定：
 (一) 訂定系統存取流程及授權規定，並以書面、電子或其他方式告知員
      工及使用者之相關權限及責任。
 (二) 離（休）職人員，應取消各項資訊資源之所有權限，並列入離（休
      ）職之必要手續。人員職務調整及調動，應依系統存取授權規定，
      調整其權限。
 (三) 依資訊安全管理制度，加強使用者通行密碼管理，並應定期更新。
 (四) 對系統服務廠商以遠端登入方式進行系統維修者，應加強安全控管
      ，課其相關安全保密義務。

二十二、各機關自行或委外開發系統，應在系統生命週期之初始階段，即
        將資訊安全需求納入考量；系統之維護、更新、上線執行及版本
        異動作業，應予安全管制，避免不當軟體、後門及電腦病毒等危
        害系統安全。

二十三、各機關對廠商之軟硬體系統建置及維護人員，應規範及限制其可
        接觸之系統與資料範圍，並嚴禁核發長期性之系統辨識碼及通行
        密碼。
        各機關如基於實際作業需要，得核發短期性及臨時性之系統辨識
        及通行密碼供廠商使用，但使用完畢後應立即取消其使用權限。

二十四、委託廠商建置及維護重要之軟硬體設施，應在各機關相關人員監
        督及陪同下始得為之。

二十五、各機關資訊資產安全分級管理應遵守下列規定：
 (一) 建立與資訊系統有關資訊資產目錄，訂定資訊資產項目、擁有者及
      安全等級分類等。
 (二) 依據國家機密保護、個人資料保護及政府資訊公開等相關法規，建
      立資訊安全等級之分類標準，以及相對應保護措施。
 (三) 已列入安全等級分類之資訊及系統輸出資料，應標示適當安全等級
      以利使用者遵循。

二十六、各機關得就設備安置、周邊環境及人員進出管制等，訂定設備實
        體及環境安全管理措施。

二十七、各機關資訊安全稽核應遵守下列規定：
 (一) 就業務性質確立稽核項目及範圍，並訂定相關之稽核計畫或作業程
      序。
 (二) 為使資訊安全政策能落實，應定期或不定期進行資訊安全內部及外
      部稽核作業。
 (三) 本府及設有資訊單位之一級機關對所屬機關及單位資訊作業，應由
      資訊單位會同政風單位或相關稽核人員進行定期或不定期之資訊安
      全稽核。

二十八、本要點未規定事項，準用行政院及所屬各機關資訊安全管理要點
        規定辦理。

二十九、本要點經市務會議通過後函頒實施。