一、前言:海洋委員會海巡署東部分署(以下簡稱本分署)為使同仁及相關資訊服務之廠商明確認知本分署資訊安全政策,以利本分署資通安全管理,並導入資訊安全管理系統(ISMS),特訂定資通安全政策,以建立安全及可信賴之電子化政府,確保資料、系統、設備及網路等數位資產機密、完整、可用及可歸責性之安全要求。
二、依據:行政院及所屬各機關資通安全管理要點及考量業務需求訂定,並以書面、電子或其他方式告知所屬員工及提供資訊服務之廠商共同遵行。
三、適用範圍:本分署業務處理相關之所有資訊資產、人員與廠商。
四、本分署資通安全目標如下(每年訂定衡量指標,以確保資通安全之有效性,衡量指標送本分署資通安全推動組核定):
(一)運用風險管理,規劃安全對策
(二)營造安全文化,提昇資安意識
(三)增強防護能量,防止機敏外洩
(四)健全通報機制,加強應變能力
(五)普及資安教育,動員全員防護
(六)強化資訊分享,加強區域聯防
五、資通安全組織:
(一)為統籌本分署各單位資通安全管理事項之協調及推動,由機關首長指派副首長兼任資訊安全長,召集成立跨部門資通安全推動組(以下簡稱本組),本組設置資通安全風險處理分組(以下簡稱風險處理分組)及資通安全稽核分組(以下簡稱稽核分組),各分組職責、分工原則參考本分署「資通安全推動組設置要點」。
(二)為加強本分署各單位落實資通安全政策及相關管理事項,由單位主官(管)指派副主官(管)(無副主官【管】由主官【管】)兼任資訊安全官,負責督導單位執行資通安全政策全般事宜,並定期、不定期稽核、追蹤所屬資通安全管理事項執行成效。
六、資通安全政策擬訂程序:
(一)應依實際業務推展及風險管理需求,訂定機關資通安全政策。
(二)訂定之資訊政策每年至少評估一次,以反映政府法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。
七、資通安全政策要點:
(一)人員管理及資通安全教育訓練
1.對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
2.針對管理、業務及資訊等不同工作類別之需求,定期辦理資通安全教育訓練及宣導,建立員工資通安全認知,提升資通安全水準。
3.負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。
(二)電腦系統安全管理
1.辦理資訊業務委外作業,應於事前研提資通安全需求,明訂廠商及施作人員之資通安全責任及保密規定,並列入契約,要求廠商及施作人員遵守並定期考核。
2.對系統變更作業,應建立控管制度,並建立紀錄,以備查考。
3.依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。
4.禁止安裝非公務使用及未合法授權之軟體。
5.網路位址(IP)及電子郵件(E-Mail)信箱配發應嚴格管制。
6.個人電腦使用權限應予以控管,防止使用者不當使用電腦。
(三)網路安全管理
1.開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
2.利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。
3.禁止非公發或未經核准之終端設備及可存取資料之設備連接本機關海巡資訊網路或電腦;另不同用途之網路亦不得私自串接。
4.無線存取網路在未訂定相關規範前禁止連接本署任何網路。
5.電子郵件或資料傳送機敏性資料時,應依國家機密保護法規定以國家認可加密機制傳送。
6.禁止使用點對點傳輸協定(Peer to Peer,P2P)及即時通訊軟體。
7.禁止以私人名義申租語音、數據線路意圖規避資通安全稽核進行通信及傳輸資料。
(四)系統存取控制
1.訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
2.離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
3.建立系統使用者註冊管理制度,加強使用者通行密碼管理,使用者通行密碼應定期更新。
4.原則禁止服務廠商以遠端登入方式進行系統維護,必要時應簽會「風險處理分組」同意,並加強安全控管及建立人員名冊,以課其相關安全保密責任。
5.各項資訊系統及資料存取應以海巡公開金鑰基礎建設(CGPKI)配合目錄服務(Directory Service)為基,建置單一登入(Single-Sign On)及資料安全權限控管機制。
6.機敏性資訊處理應採實體隔離資訊作業環境。
(五)應用系統開發及維護安全管理
1.自行或委外開發系統,應在系統生命週期之初始階段,即將資通安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
2.對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。
3.委託廠商建置及維護重要之軟硬體設施,應在本局相關人員監督及陪同下始得為之。
(六)資訊資產安全分級管理
1.建立與資訊系統有關的資訊資產目錄,訂定資訊資產的項目、擁有者及安全等級分類等。
2.依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規,建立資通安全等級之分類標準,以及相對應的保護措施。
3.已列入安全等級分類的資訊及系統之輸出資料,應標示適當的安全等級以利使用者遵循。
(七)實體及環境安全管理:就設備安置、周邊環境及人員進出管制等,訂定實體及環境安全管理措施。
(八)業務永續運作計畫之規劃與管理
1.各業務單位應訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。
2.建立資通安全事件緊急通報、處理機制,在發生資通安全事件時,應依規定之處理程序,立即向「風險處理分組」或各級資訊單位人員通報,採取反應措施,並依需要聯繫檢警調單位協助偵查。
3.依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資通安全措施。
4.應依法令及業務成長需求規劃儲存及備份系統,並應建立異地備援機制,並定期實施演練。
(九)資通安全稽核
1.本分署「稽核分組」應就本署業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或作業程序。
2.為使資通安全政策能落實,應定期或不定期進行資通安全內部及外部稽核作業。
3.為稽核資通安全政策是否落實執行,得於網路或使用者電腦架設各項稽核管理機制,以確保資產遭受危威脅或侵害時之可歸責性(accountability)。
八、違反資通安全政策懲處:本分署同仁違反資通安全政策者,應依「海岸巡防機關人員獎懲標準表」相關條文辦理懲處作業,委外人員違反資通安全政策者,應依合約條款或發函告知所屬企業或組織處理,細部懲處作業參考標準應由本分署「資通安全推動組」審議修訂。