:::

資通安全政策

    一、前言:海洋委員會海巡署(以下簡稱本署)為使同仁及相關資訊服務之廠商明確認知本署資通安全目標,及藉由資訊安全管理系統(ISMS)應用風險管理過程,保持資料、系統、設備及網路等數位資產機密性、完整性、可用性及可歸責性之安全要求,並就已適切管理風險,賦予利害相關團體信心,特訂定本署資通安全政策。

    二、依據:行政院88年9月15日台88經字第34735號函訂頒行政院及所屬各機關資通安全管理要點及考量本署業務需求訂定,並以書面、電子或其他方式告知所屬員工、廠商及需要遵守的其他單位共同遵行。

    三、適用範圍:處理本署業務相關之所有人員(正式員工、約聘雇人員及替代役人員)與廠商。

    四、資訊安全管理系統之適用範圍:組織透過全景分析、訂定資訊安全管理系統之建置及應用範圍。

    五、本署資通安全目標如下(每年訂定衡量指標,以確保資通安全之有效性,衡量指標送本署資通安全推動組核定並適用於所有層級,藉由以下之說明及執行規劃達成):

    (一)運用風險管理,規劃安全對策

    (二)營造安全文化,提升資安意識

    (三)增強防護能量,防止機敏外洩

    (四)健全通報機制,加強應變能力

    (五)普及資安教育,動員全員防護

    (六)強化資訊分享,加強區域聯防

    (七)完善維運基礎,降低服務風險

    六、資通安全組織:

    (一)為統籌本署各機關資通安全管理事項之協調及推動,由機關首長指派副首長兼任資訊安全長,召集成立跨部門資通安全推動組(以下簡稱本組),本組設置資通安全風險處理分組(以下簡稱風險處理分組)及資通安全稽核分組(以下簡稱稽核分組),各分組職責、分工原則參考「行政院海岸巡防署資通安全推動組設置要點」。

    資通安全推動組召集人應確保以下事項:

    1.建立之資訊安全政策及資訊安全目標,並與本署資訊安全管理策略方向相容。

    2.資訊安全管理系統要求事項整合入組織之各項過程。

    3.資訊安全管理系統所需之資源可取得。

    4.傳達有效之資料安全管理的重要性,以及符合資訊安全管理系統要求事項之重要性。

    5.資訊安全管理系統達成其預期成果。

    6.指導及支援人員,以促進資訊安全管理系統之有效性。

    7.宣導持續改進。

    8.當適用其他相關管理角色之責任範圍時,加以支持以展現其領導權。

    (二)為加強本署各單位落實資通安全政策及相關管理事項,由單位主官(管)指派副主官(管)(無副主官【管】由主官【管】)兼任資訊安全官,負責督導單位執行資通安全政策全盤事宜,並定期、不定期稽核、追蹤所屬資通安全管理事項執行成效,以達到持續改進資訊安全管理系統之承諾及確保其要求整合於資訊安全管理系統。

    七、資通安全政策擬訂程序:

    (一)各機關應依實際業務推展及風險管理需求,訂定機關資通安全政策。

    (二)各機關訂定之資訊政策每年至少評估一次或發生重大變更(如:組織環境、適用法律規範或資訊技術改變)時進行評估,以反映政府法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。

    八、資通安全政策要點:

    (一)人員管理及資通安全教育訓練

    1.對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。

    2.針對管理、業務及資訊等不同工作類別之需求,定期辦理資通安全教育訓練及宣導,建立員工資通安全認知,提升資通安全水準。

    3.負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。

    (二)電腦系統安全管理

    1.辦理資訊業務委外作業,應於事前研提資通安全需求,明訂廠商及施作人員之資通安全責任及保密規定,並列入契約,要求廠商及施作人員遵守並定期考核。

    2.對系統變更作業,應建立控管制度,並建立紀錄,以備查考。

    3.依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。

    4.禁止安裝非公務使用及未合法授權之軟體。

    5.網路位址(IP)及電子郵件(E-Mail)信箱配發應嚴格管制。

    6.個人電腦使用權限應予以控管,防止使用者不當使用電腦。

    (三)網路安全管理

    1.開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。

    2.利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。

    3.禁止非公發或未經核准之終端設備及可存取資料之設備連接本署海巡資訊網路或電腦;另不同用途之網路亦不得私自串接。

    4.無線存取網路在未訂定相關規範前禁止連接本署任何網路。

    5.電子郵件或資料傳送機敏性資料時,應依國家機密保護法規定以國家認可加密機制傳送。

    6.禁止使用點對點傳輸協定(Peer to Peer,P2P)及即時通訊軟體。

    7.禁止以私人名義申租語音、數據線路意圖規避資通安全稽核進行通信及傳輸資料。

    (四)系統存取控制

    1.訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。

    2.離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。

    3.建立系統使用者註冊管理制度,加強使用者通行密碼管理,使用者通行密碼應定期更新。

    4.原則禁止服務廠商以遠端登入方式進行系統維護,必要時應簽會「風險處理分組」同意,並加強安全控管及建立人員名冊,以課其相關安全保密責任。

    5.本署各項資訊系統及資料存取應以海巡公開金鑰基礎建設(CGPKI)配合目錄服務(Directory Service)為基,建置單一登入(Single-Sign On)及資料安全權限控管機制。

    6.機敏性資訊處理應採實體隔離資訊作業環境。

    (五)應用系統開發及維護安全管理

    1.自行或委外開發系統,應在系統生命週期之初始階段,即將資通安全需求納入考量:

    (1)程式開發階段:應設計系統各項防護措施符合系統的需求,並避免已知的漏洞或錯誤;避免在系統操作的過程中,洩漏系統環境、預設參數及作業程序的設定資訊;必須有適當的保護措施,以防止洩漏系統內的機敏性資料。

    (2)系統測試階段:應依據系統各項控管機制與防護措施,進行攻擊模擬與安全測試,並留存相關紀錄;若與其他既有系統進行界接或資料交換,應檢測既有系統保護措施執行成效及受影響的範圍,並留存相關紀錄。

    (3)系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。

    2.對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。

    3.委託廠商建置及維護重要之軟硬體設施,應在本署相關人員監督及陪同下始得為之。

    (六)資訊資產安全分級管理

    1.建立與資訊系統有關的資訊資產目錄,訂定資訊資產的項目、擁有者及安全等級分類等。

    2.依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規,建立資通安全等級之分類標準,以及相對應的保護措施。

    3.已列入安全等級分類的資訊及系統之輸出資料,應標示適當的安全等級以利使用者遵循。

    (七)實體及環境安全管理:就設備安置、周邊環境及人員進出管制等,訂定實體及環境安全管理措施。

    (八)專案資訊安全管理: 不論專案之類型,在專案管理方法中應將資訊安全納入考量,以確保識別並處理資訊安全風險作為專案管理的一部分。

    (九)業務永續運作計畫之規劃與管理

    1.各業務單位應訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。

    2.建立資通安全事件緊急通報、處理機制,在發生資通安全事件時,應依規定之處理程序,立即向「風險處理分組」或各級資訊單位人員通報,採取反應措施,並依需要聯繫檢警調單位協助偵查。

    3.依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資通安全措施。

    4.應依法令及業務成長需求規劃儲存及備份系統,並應建立異地備援機制,並定期實施演練。

    (十)資通安全稽核

    1.本署「稽核分組」應就本署業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或作業程序。

    2.為使資通安全政策能落實,應定期或不定期進行資通安全內部及外部稽核作業。

    3.為稽核資通安全政策是否落實執行,得於網路或使用者電腦架設各項稽核管理機制,以確保資產遭受危威脅或侵害時之可歸責性accountability)。

    (十一)委外廠商管理

    應依照委外廠商所提供之產品與服務類型,識別存取本署資訊或資訊處理設施之各項資訊安全要求,及明訂合約及協議中,同時應定期審查合約及協議所要求之內容,是否已反映本署對資訊保護之需求。

    九、違反資通安全政策懲處:本署同仁違反本署資通安全政策者,應依本署「海岸巡防機關人員獎懲標準表」相關條文辦理懲處作業,委外人員違反本署資通安全政策者,應依合約條款或發函告知所屬企業或組織處理,細部懲處作業參考標準應由本署「資通安全推動組」審議修訂。

    十、資通安全目標有效性量測:相關目標達成有效性之測量項目與方法,需經資通安全推動組會議討論訂定,並依「績效管理作業程序書」規範辦理。

    十一、政策發布:本政策應陳本署資訊安全長核准,且對所有員工及相關外部各方公布及傳達。資通安全推動組統籌規劃政策之溝通,透過各項會議、書面文件及教育訓練等方式傳達,使內部及外部關注者全盤瞭解本政策。

    • 資料來源:南部分署
    • 更新日期:2018/04/03