http://www.cga.gov.tw:443/GipOpen/wSite/ 資通安全政策 資通安全政策 南巡局上稿

一、前言:行政院海岸巡防署(以下簡稱本署)為使同仁及相關資訊服務之廠商明確認知本署資通安全目標,及藉由資訊安全管理系統(ISMS)應用風險管理過程,保持資料、系統、設備及網路等數位資產機密性、完整性、可用性及可歸責性之安全要求,並就已適切管理風險,賦予利害相關團體信心,特訂定本署資通安全政策。

二、依據:行政院88年9月15日台88經字第34735號函訂頒行政院及所屬各機關資通安全管理要點及考量本署業務需求訂定,並以書面、電子或其他方式告知所屬員工、廠商及需要遵守的其他單位共同遵行。

三、適用範圍:處理本署業務相關之所有人員(正式員工、約聘雇人員及替代役人員)與廠商。

四、資訊安全管理系統之適用範圍:組織透過全景分析、訂定資訊安全管理系統之建置及應用範圍。

五、本署資通安全目標如下(每年訂定衡量指標,以確保資通安全之有效性,衡量指標送本署資通安全推動組核定並適用於所有層級,藉由以下之說明及執行規劃達成):

(一)運用風險管理,規劃安全對策

(二)營造安全文化,提升資安意識

(三)增強防護能量,防止機敏外洩

(四)健全通報機制,加強應變能力

(五)普及資安教育,動員全員防護

(六)強化資訊分享,加強區域聯防

(七)完善維運基礎,降低服務風險

六、資通安全組織:

(一)為統籌本署各機關資通安全管理事項之協調及推動,由機關首長指派副首長兼任資訊安全長,召集成立跨部門資通安全推動組(以下簡稱本組),本組設置資通安全風險處理分組(以下簡稱風險處理分組)及資通安全稽核分組(以下簡稱稽核分組),各分組職責、分工原則參考「行政院海岸巡防署資通安全推動組設置要點」。

資通安全推動組召集人應確保以下事項:

1.建立之資訊安全政策及資訊安全目標,並與本署資訊安全管理策略方向相容。

2.資訊安全管理系統要求事項整合入組織之各項過程。

3.資訊安全管理系統所需之資源可取得。

4.傳達有效之資料安全管理的重要性,以及符合資訊安全管理系統要求事項之重要性。

5.資訊安全管理系統達成其預期成果。

6.指導及支援人員,以促進資訊安全管理系統之有效性。

7.宣導持續改進。

8.當適用其他相關管理角色之責任範圍時,加以支持以展現其領導權。

(二)為加強本署各單位落實資通安全政策及相關管理事項,由單位主官(管)指派副主官(管)(無副主官【管】由主官【管】)兼任資訊安全官,負責督導單位執行資通安全政策全盤事宜,並定期、不定期稽核、追蹤所屬資通安全管理事項執行成效,以達到持續改進資訊安全管理系統之承諾及確保其要求整合於資訊安全管理系統。

七、資通安全政策擬訂程序:

(一)各機關應依實際業務推展及風險管理需求,訂定機關資通安全政策。

(二)各機關訂定之資訊政策每年至少評估一次或發生重大變更(如:組織環境、適用法律規範或資訊技術改變)時進行評估,以反映政府法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。

八、資通安全政策要點:

(一)人員管理及資通安全教育訓練

1.對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。

2.針對管理、業務及資訊等不同工作類別之需求,定期辦理資通安全教育訓練及宣導,建立員工資通安全認知,提升資通安全水準。

3.負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。

(二)電腦系統安全管理

1.辦理資訊業務委外作業,應於事前研提資通安全需求,明訂廠商及施作人員之資通安全責任及保密規定,並列入契約,要求廠商及施作人員遵守並定期考核。

2.對系統變更作業,應建立控管制度,並建立紀錄,以備查考。

3.依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。

4.禁止安裝非公務使用及未合法授權之軟體。

5.網路位址(IP)及電子郵件(E-Mail)信箱配發應嚴格管制。

6.個人電腦使用權限應予以控管,防止使用者不當使用電腦。

(三)網路安全管理

1.開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。

2.利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。

3.禁止非公發或未經核准之終端設備及可存取資料之設備連接本署海巡資訊網路或電腦;另不同用途之網路亦不得私自串接。

4.無線存取網路在未訂定相關規範前禁止連接本署任何網路。

5.電子郵件或資料傳送機敏性資料時,應依國家機密保護法規定以國家認可加密機制傳送。

6.禁止使用點對點傳輸協定(Peer to Peer,P2P)及即時通訊軟體。

7.禁止以私人名義申租語音、數據線路意圖規避資通安全稽核進行通信及傳輸資料。

(四)系統存取控制

1.訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。

2.離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。

3.建立系統使用者註冊管理制度,加強使用者通行密碼管理,使用者通行密碼應定期更新。

4.原則禁止服務廠商以遠端登入方式進行系統維護,必要時應簽會「風險處理分組」同意,並加強安全控管及建立人員名冊,以課其相關安全保密責任。

5.本署各項資訊系統及資料存取應以海巡公開金鑰基礎建設(CGPKI)配合目錄服務(Directory Service)為基,建置單一登入(Single-Sign On)及資料安全權限控管機制。

6.機敏性資訊處理應採實體隔離資訊作業環境。

(五)應用系統開發及維護安全管理

1.自行或委外開發系統,應在系統生命週期之初始階段,即將資通安全需求納入考量:

(1)程式開發階段:應設計系統各項防護措施符合系統的需求,並避免已知的漏洞或錯誤;避免在系統操作的過程中,洩漏系統環境、預設參數及作業程序的設定資訊;必須有適當的保護措施,以防止洩漏系統內的機敏性資料。

(2)系統測試階段:應依據系統各項控管機制與防護措施,進行攻擊模擬與安全測試,並留存相關紀錄;若與其他既有系統進行界接或資料交換,應檢測既有系統保護措施執行成效及受影響的範圍,並留存相關紀錄。

(3)系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。

2.對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。

3.委託廠商建置及維護重要之軟硬體設施,應在本署相關人員監督及陪同下始得為之。

(六)資訊資產安全分級管理

1.建立與資訊系統有關的資訊資產目錄,訂定資訊資產的項目、擁有者及安全等級分類等。

2.依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規,建立資通安全等級之分類標準,以及相對應的保護措施。

3.已列入安全等級分類的資訊及系統之輸出資料,應標示適當的安全等級以利使用者遵循。

(七)實體及環境安全管理:就設備安置、周邊環境及人員進出管制等,訂定實體及環境安全管理措施。

(八)專案資訊安全管理: 不論專案之類型,在專案管理方法中應將資訊安全納入考量,以確保識別並處理資訊安全風險作為專案管理的一部分。

(九)業務永續運作計畫之規劃與管理

1.各業務單位應訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。

2.建立資通安全事件緊急通報、處理機制,在發生資通安全事件時,應依規定之處理程序,立即向「風險處理分組」或各級資訊單位人員通報,採取反應措施,並依需要聯繫檢警調單位協助偵查。

3.依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資通安全措施。

4.應依法令及業務成長需求規劃儲存及備份系統,並應建立異地備援機制,並定期實施演練。

(十)資通安全稽核

1.本署「稽核分組」應就本署業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或作業程序。

2.為使資通安全政策能落實,應定期或不定期進行資通安全內部及外部稽核作業。

3.為稽核資通安全政策是否落實執行,得於網路或使用者電腦架設各項稽核管理機制,以確保資產遭受危威脅或侵害時之可歸責性accountability)。

(十一)委外廠商管理

應依照委外廠商所提供之產品與服務類型,識別存取本署資訊或資訊處理設施之各項資訊安全要求,及明訂合約及協議中,同時應定期審查合約及協議所要求之內容,是否已反映本署對資訊保護之需求。

九、違反資通安全政策懲處:本署同仁違反本署資通安全政策者,應依本署「海岸巡防機關人員獎懲標準表」相關條文辦理懲處作業,委外人員違反本署資通安全政策者,應依合約條款或發函告知所屬企業或組織處理,細部懲處作業參考標準應由本署「資通安全推動組」審議修訂。

十、資通安全目標有效性量測:相關目標達成有效性之測量項目與方法,需經資通安全推動組會議討論訂定,並依「績效管理作業程序書」規範辦理。

十一、政策發布:本政策應陳本署資訊安全長核准,且對所有員工及相關外部各方公布及傳達。資通安全推動組統籌規劃政策之溝通,透過各項會議、書面文件及教育訓練等方式傳達,使內部及外部關注者全盤瞭解本政策。

南部分署 2018-04-02 00:00:00.0 文字 文字 1E0 170,F00 I20,I40,I61
9991 cp zh-TW content_rwd styles/RWD 南部分署全球資訊網 Group.sourceCode LogoPic.Name 南部分署全球資訊網 TitlePic.File LogoPic.File public/LayoutDesign/1523846977971.png Func.sourceCode TitlePic.Name blockTitle Header Search.sourceCode

常用關鍵字搜尋 出海申請 線上申辦 艦艇 人才招募 海巡機關

sourceCode
字體
  • 小
  • 中
  • 大
blockTitle 字體大小
Google Map Key headline foot
Google Map Key (www5) ct?xItem=12035&ctNode=1375&mp=9991 ABQIAAAAaN9tQ0X0W-vqAHpHxr2ngxTzK43wJyXENiczc7HdupiE_J8XGBTboT4WbizCO3AuTDWaOYzk_wTUFA
左方目錄樹(設定好再開) 9227 static 99 allOn 服務據點 np?ctNode=9237&mp=9991&idPath=9227_9237 9237 9227 9227_9237 海巡署 lp?ctNode=9390&mp=9991&idPath=9227_9237_9390 9390 9237 9227_9237_9390 金馬澎分署 lp?ctNode=9391&mp=9991&idPath=9227_9237_9391 9391 9237 9227_9237_9391 艦隊分署 lp?ctNode=9392&mp=9991&idPath=9227_9237_9392 9392 9237 9227_9237_9392 北部分署 lp?ctNode=9393&mp=9991&idPath=9227_9237_9393 9393 9237 9227_9237_9393 中部分署 lp?ctNode=9394&mp=9991&idPath=9227_9237_9394 9394 9237 9227_9237_9394 南部分署 lp?ctNode=9395&mp=9991&idPath=9227_9237_9395 9395 9237 9227_9237_9395 東部分署 lp?ctNode=9396&mp=9991&idPath=9227_9237_9396 9396 9237 9227_9237_9396 便民資訊 np?ctNode=9238&mp=9991&idPath=9227_9238 9238 9227 9227_9238 海洋委員會109年暑期海洋體驗營 np?ctNode=11085&mp=9991&idPath=9227_9238_11085 11085 9238 9227_9238_11085 海洋委員會109年海洋學生體驗營(大專院校暨國高中職學生) np?ctNode=11410&mp=9991&idPath=9227_9238_11085_11410 11410 11085 9227_9238_11085_11410 活動介紹--國高中(職) np?ctNode=11086&mp=9991&idPath=9227_9238_11085_11086 11086 11085 9227_9238_11085_11086 報名專區--國高中(職) np?ctNode=11102&mp=9991&idPath=9227_9238_11085_11102 11102 11085 9227_9238_11085_11102 活動介紹--大專院校 np?ctNode=11408&mp=9991&idPath=9227_9238_11085_11408 11408 11085 9227_9238_11085_11408 報名專區--大專院校 np?ctNode=11409&mp=9991&idPath=9227_9238_11085_11409 11409 11085 9227_9238_11085_11409 線上申辦 np?ctNode=9920&mp=9991&idPath=9227_9238_9920 9920 9238 9227_9238_9920 GOV線上服務專區 lp?ctNode=9921&mp=9991&idPath=9227_9238_9920_9921 9921 9920 9227_9238_9920_9921 鐵馬補給 np?ctNode=9325&mp=9991&idPath=9227_9238_9325 9325 9238 9227_9238_9325 常見問答FAQ lp?ctNode=9326&mp=9991&idPath=9227_9238_9326 9326 9238 9227_9238_9326 射擊通報 lp?ctNode=9327&mp=9991&idPath=9227_9238_9327 9327 9238 9227_9238_9327 各單位聯絡方式 lp?ctNode=9331&mp=9991&idPath=9227_9238_9331 9331 9238 9227_9238_9331 海域氣象 http://www.cwb.gov.tw/V7/observe/marine/ 9332 9238 9227_9238_9332 免費上網 np?ctNode=9333&mp=9991&idPath=9227_9238_9333 9333 9238 9227_9238_9333 本分署熱點查詢 np?ctNode=9334&mp=9991&idPath=9227_9238_9333_9334 9334 9333 9227_9238_9333_9334 行政資訊 np?ctNode=9239&mp=9991&idPath=9227_9239 9239 9227 9227_9239 海巡醫療照護園地 lp?ctNode=11138&mp=9991&idPath=9227_9239_11138 11138 9239 9227_9239_11138 公職人員及關係人補助交易身分關係公開及查詢平臺 https://cfcmweb.cy.gov.tw/cfcm_w 11322 9239 9227_9239_11322 原住民QA專區 lp?ctNode=10991&mp=9991&idPath=9227_9239_10991 10991 9239 9227_9239_10991 行政院公報資訊網 https://gazette.nat.gov.tw/egFront/ 9338 9239 9227_9239_9338 為民服務 lp?ctNode=9339&mp=9991&idPath=9227_9239_9339 9339 9239 9227_9239_9339 就業情報站 https://www.taiwanjobs.gov.tw 9340 9239 9227_9239_9340 遊說法專區 np?ctNode=9341&mp=9991&idPath=9227_9239_9341 9341 9239 9227_9239_9341 受理登記聯絡資訊 np?ctNode=9342&mp=9991&idPath=9227_9239_9341_9342 9342 9341 9227_9239_9341_9342 本署近5年遊說案件 np?ctNode=9343&mp=9991&idPath=9227_9239_9341_9343 9343 9341 9227_9239_9341_9343 遊說申請表格 lp?ctNode=9344&mp=9991&idPath=9227_9239_9341_9344 9344 9341 9227_9239_9341_9344 友站活動 lp?ctNode=9397&mp=9991&idPath=9227_9239_9397 9397 9239 9227_9239_9397 網網相連 lp?ctNode=9398&mp=9991&idPath=9227_9239_9398 9398 9239 9227_9239_9398 政府資訊公開 np?ctNode=9431&mp=9991&idPath=9227_9239_9431 9431 9239 9227_9239_9431 服務導覽 np?ctNode=9432&mp=9991&idPath=9227_9239_9431_9432 9432 9431 9227_9239_9431_9432 政府資訊公開問答集 lp?ctNode=492&mp=999&xq_xCat=05&mp=999 9433 9431 9227_9239_9431_9433 保有個資公開 np?ctNode=9434&mp=9991&idPath=9227_9239_9431_9434 9434 9431 9227_9239_9431_9434 開放資料平台 http://www.cga.gov.tw/GipOpen/wSite/lp?ctNode=8453&mp=999&idPath=1168_8448_8453&idPath=9227_9239_9431_9435 9435 9431 9227_9239_9431_9435 右方相關資訊(設定好再開) 9229 static 99 allOn 分署長專欄 lp?ctNode=9250&mp=9991&idPath=9229_9250 9250 9229 9229_9250 民意信箱 np?ctNode=9251&mp=9991&idPath=9229_9251 9251 9229 9229_9251 海巡機關 lp?ctNode=9252&mp=9991&idPath=9229_9252 9252 9229 9229_9252 互動專區 lp?ctNode=9253&mp=9991&idPath=9229_9253 9253 9229 9229_9253 影音專區 np?ctNode=9254&mp=9991&idPath=9229_9254 9254 9229 9229_9254 影片專區 lp?ctNode=9255&mp=9991&idPath=9229_9254_9255 9255 9254 9229_9254_9255 活動花絮 lp?ctNode=9256&mp=9991&idPath=9229_9254_9256 9256 9254 9229_9254_9256 中央內容區塊(設定好再開) 1585 static 99 allOn 海域執法 np?ctNode=1593&mp=9991&idPath=1585_1593 1593 1585 1585_1593 海事服務 np?ctNode=1594&mp=9991&idPath=1585_1594 1594 1585 1585_1594 海洋事務 np?ctNode=1595&mp=9991&idPath=1585_1595 1595 1585 1585_1595 海巡新聞 lp?ctNode=1586&mp=9991&idPath=1585_1586 1586 1585 1585_1586 最新公告 lp?ctNode=1587&mp=9991&idPath=1585_1587 1587 1585 1585_1587 查緝成效資訊 lp?ctNode=8148&mp=9991&idPath=1585_8148 8148 1585 1585_8148 救生救難資訊 lp?ctNode=8149&mp=9991&idPath=1585_8149 8149 1585 1585_8149 環保生態資訊 lp?ctNode=8150&mp=9991&idPath=1585_8150 8150 1585 1585_8150 上方功能區塊(設定好再開) 790 static 99 allOn 本局簡介 np?ctNode=910&mp=9991&idPath=790_910 910 790 790_910 緣起 np?ctNode=1126&mp=9991&idPath=790_910_1126 1126 910 790_910_1126 組織架構 np?ctNode=923&mp=9991&idPath=790_910_923 923 910 790_910_923 業務職掌 lp?ctNode=1128&mp=9991&idPath=790_910_1128 1128 910 790_910_1128 執法範圍 np?ctNode=925&mp=9991&idPath=790_910_925 925 910 790_910_925 歷年重大事紀摘要 lp?ctNode=926&mp=9991&idPath=790_910_926 926 910 790_910_926 轄區特色 np?ctNode=911&mp=9991&idPath=790_911 911 790 790_911 東沙群島 np?ctNode=1129&mp=9991&idPath=790_911_1129 1129 911 790_911_1129 南海明珠_東沙 np?ctNode=8306&mp=9991&idPath=790_911_1129_8306 8306 1129 790_911_1129_8306 壹、遙想東沙 np?ctNode=8288&mp=9991&idPath=790_911_1129_8288 8288 1129 790_911_1129_8288 一、地理位置 np?ctNode=8291&mp=9991&idPath=790_911_1129_8288_8291 8291 8288 790_911_1129_8288_8291 二、環礁特色 np?ctNode=8292&mp=9991&idPath=790_911_1129_8288_8292 8292 8288 790_911_1129_8288_8292 三、氣候簡介 np?ctNode=8294&mp=9991&idPath=790_911_1129_8288_8294 8294 8288 790_911_1129_8288_8294 四、生態資源 np?ctNode=8295&mp=9991&idPath=790_911_1129_8288_8295 8295 8288 790_911_1129_8288_8295 五、歷史沿革 np?ctNode=8296&mp=9991&idPath=790_911_1129_8288_8296 8296 8288 790_911_1129_8288_8296 貳、東沙萬象 np?ctNode=8289&mp=9991&idPath=790_911_1129_8289 8289 1129 790_911_1129_8289 一、交通方式 np?ctNode=8297&mp=9991&idPath=790_911_1129_8289_8297 8297 8289 790_911_1129_8289_8297 二、郵政通訊 np?ctNode=8298&mp=9991&idPath=790_911_1129_8289_8298 8298 8289 790_911_1129_8289_8298 三、遠距醫療 np?ctNode=8299&mp=9991&idPath=790_911_1129_8289_8299 8299 8289 790_911_1129_8289_8299 四、心靈信仰 np?ctNode=8309&mp=9991&idPath=790_911_1129_8289_8309 8309 8289 790_911_1129_8289_8309 五、民生需求 np?ctNode=8301&mp=9991&idPath=790_911_1129_8289_8301 8301 8289 790_911_1129_8289_8301 六、住居生活 np?ctNode=8302&mp=9991&idPath=790_911_1129_8289_8302 8302 8289 790_911_1129_8289_8302 參、南海屏障 np?ctNode=8290&mp=9991&idPath=790_911_1129_8290 8290 1129 790_911_1129_8290 一、海域執法 np?ctNode=8303&mp=9991&idPath=790_911_1129_8290_8303 8303 8290 790_911_1129_8290_8303 二、海上救難 np?ctNode=8304&mp=9991&idPath=790_911_1129_8290_8304 8304 8290 790_911_1129_8290_8304 三、生態保育 np?ctNode=8305&mp=9991&idPath=790_911_1129_8290_8305 8305 8290 790_911_1129_8290_8305 南沙群島 np?ctNode=1130&mp=9991&idPath=790_911_1130 1130 911 790_911_1130 南疆鎖鑰_南沙 np?ctNode=8138&mp=9991&idPath=790_911_1130_8138 8138 1130 790_911_1130_8138 壹、太平島環境與天然資源 np?ctNode=8139&mp=9991&idPath=790_911_1130_8139 8139 1130 790_911_1130_8139 一、地理位置 np?ctNode=8140&mp=9991&idPath=790_911_1130_8139_8140 8140 8139 790_911_1130_8139_8140 二、群島地形 np?ctNode=8141&mp=9991&idPath=790_911_1130_8139_8141 8141 8139 790_911_1130_8139_8141 三、氣候簡介 np?ctNode=8145&mp=9991&idPath=790_911_1130_8139_8145 8145 8139 790_911_1130_8139_8145 四、生態資源 np?ctNode=8146&mp=9991&idPath=790_911_1130_8139_8146 8146 8139 790_911_1130_8139_8146 五、歷史沿革 np?ctNode=8147&mp=9991&idPath=790_911_1130_8139_8147 8147 8139 790_911_1130_8139_8147 貳、駐島風情 np?ctNode=8156&mp=9991&idPath=790_911_1130_8156 8156 1130 790_911_1130_8156 一、交通運輸 np?ctNode=8158&mp=9991&idPath=790_911_1130_8156_8158 8158 8156 790_911_1130_8156_8158 二、郵政通訊 np?ctNode=8159&mp=9991&idPath=790_911_1130_8156_8159 8159 8156 790_911_1130_8156_8159 三、遠距醫療 np?ctNode=8160&mp=9991&idPath=790_911_1130_8156_8160 8160 8156 790_911_1130_8156_8160 四、心靈信仰 np?ctNode=8161&mp=9991&idPath=790_911_1130_8156_8161 8161 8156 790_911_1130_8156_8161 五、低碳節能 np?ctNode=8162&mp=9991&idPath=790_911_1130_8156_8162 8162 8156 790_911_1130_8156_8162 六、住居生活 np?ctNode=8163&mp=9991&idPath=790_911_1130_8156_8163 8163 8156 790_911_1130_8156_8163 參、經略成果 np?ctNode=8157&mp=9991&idPath=790_911_1130_8157 8157 1130 790_911_1130_8157 一、海域執法 np?ctNode=8164&mp=9991&idPath=790_911_1130_8157_8164 8164 8157 790_911_1130_8157_8164 二、保育成效 np?ctNode=8165&mp=9991&idPath=790_911_1130_8157_8165 8165 8157 790_911_1130_8157_8165 三、南沙研習 np?ctNode=8166&mp=9991&idPath=790_911_1130_8157_8166 8166 8157 790_911_1130_8157_8166 四、海上救難 np?ctNode=8872&mp=9991&idPath=790_911_1130_8157_8872 8872 8157 790_911_1130_8157_8872 施政績效 np?ctNode=912&mp=9991&idPath=790_912 912 790 790_912 海巡署施政績效 https://www.cga.gov.tw/2011gpr.htm 8689 912 790_912_8689 行政院政府施政績效 https://www.ey.gov.tw/cp.aspx?n=6C692915AE263916 8690 912 790_912_8690 施政績效 /GipOpen/wSite/np?ctNode=603&mp=999&idPath=600_603 9191 912 790_912_9191 海巡統計 np?ctNode=913&mp=9991&idPath=790_913 913 790 790_913 海巡署主管統計 /GipOpen/wSite/np?ctNode=604&mp=999 8857 913 790_913_8857 海岸巡防統計月報 http://www.cga.gov.tw/GipOpen/wSite/np?ctNode=8653&mp=9996&idPath=790_913_8813 8813 913 790_913_8813 海岸巡防統計年報 http://www.cga.gov.tw/GipOpen/wSite/np?ctNode=8654&mp=9996&idPath=790_913_8814 8814 913 790_913_8814 海巡法規 np?ctNode=2748&mp=9991&idPath=790_2748 2748 790 790_2748 法規訊息 http://www.cga.gov.tw/wralawgip/ 2749 2748 790_2748_2749 法規命令 lp?ctNode=2752&mp=9991&idPath=790_2748_2752 2752 2748 790_2748_2752 行政規則 lp?ctNode=2753&mp=9991&idPath=790_2748_2753 2753 2748 790_2748_2753 本局辦理國家賠償事件處理情形統計 lp?ctNode=2755&mp=9991&idPath=790_2748_2755 2755 2748 790_2748_2755 海洋活動 http://www.cga.gov.tw/GipOpen/wSite/np?ctNode=5802&mp=999&idPath=600_5802 9141 790 790_9141 sourceCode
blockTitle 大專院校暑期觀摩
9226 static 4 allOn 本分署簡介 np?ctNode=9231&mp=9991&idPath=9226_9231 9231 9226 9226_9231 緣起 np?ctNode=9264&mp=9991&idPath=9226_9231_9264 9264 9231 9226_9231_9264 組織架構 np?ctNode=9265&mp=9991&idPath=9226_9231_9265 9265 9231 9226_9231_9265 業務職掌 lp?ctNode=9266&mp=9991&idPath=9226_9231_9266 9266 9231 9226_9231_9266 執法範圍 np?ctNode=9267&mp=9991&idPath=9226_9231_9267 9267 9231 9226_9231_9267 歷年重大事紀摘要 lp?ctNode=9268&mp=9991&idPath=9226_9231_9268 9268 9231 9226_9231_9268 重大政策 np?ctNode=10754&mp=9991&idPath=9226_10754 10754 9226 9226_10754 行政院重大政策 lp?ctNode=10755&mp=9991&idPath=9226_10754_10755 10755 10754 9226_10754_10755 本署重大政策 lp?ctNode=10756&mp=9991&idPath=9226_10754_10756 10756 10754 9226_10754_10756 施政績效 np?ctNode=9233&mp=9991&idPath=9226_9233 9233 9226 9226_9233 海巡署施政績效 https://www.cga.gov.tw/2011gpr.htm 9312 9233 9226_9233_9312 年度施政績效報告 http://www.cga.gov.tw/GipOpen/wSite/np?ctNode=862&mp=999 9362 9233 9226_9233_9362 海巡統計 np?ctNode=9234&mp=9991&idPath=9226_9234 9234 9226 9226_9234 海巡署統計 /GipOpen/wSite/np?ctNode=604&mp=999 9315 9234 9226_9234_9315 海巡法規 np?ctNode=9235&mp=9991&idPath=9226_9235 9235 9226 9226_9235 法規訊息 http://www.cga.gov.tw/wralawgip/ 9318 9235 9226_9235_9318 本分署辦理國家賠償事件處理情形統計 lp?ctNode=9321&mp=9991&idPath=9226_9235_9321 9321 9235 9226_9235_9321 海洋活動 http://www.cga.gov.tw/GipOpen/wSite/np?ctNode=5802&mp=999&idPath=600_5802 9322 9226 9226_9322 便民服務 9238 static 99 allOn 海洋委員會109年暑期海洋體驗營 np?ctNode=11085&mp=9991&idPath=9238_11085 11085 9238 9238_11085 海洋委員會109年海洋學生體驗營(大專院校暨國高中職學生) np?ctNode=11410&mp=9991&idPath=9238_11085_11410 11410 11085 9238_11085_11410 活動介紹--國高中(職) np?ctNode=11086&mp=9991&idPath=9238_11085_11086 11086 11085 9238_11085_11086 報名專區--國高中(職) np?ctNode=11102&mp=9991&idPath=9238_11085_11102 11102 11085 9238_11085_11102 活動介紹--大專院校 np?ctNode=11408&mp=9991&idPath=9238_11085_11408 11408 11085 9238_11085_11408 報名專區--大專院校 np?ctNode=11409&mp=9991&idPath=9238_11085_11409 11409 11085 9238_11085_11409 線上申辦 np?ctNode=9920&mp=9991&idPath=9238_9920 9920 9238 9238_9920 GOV線上服務專區 lp?ctNode=9921&mp=9991&idPath=9238_9920_9921 9921 9920 9238_9920_9921 鐵馬補給 np?ctNode=9325&mp=9991&idPath=9238_9325 9325 9238 9238_9325 常見問答FAQ lp?ctNode=9326&mp=9991&idPath=9238_9326 9326 9238 9238_9326 射擊通報 lp?ctNode=9327&mp=9991&idPath=9238_9327 9327 9238 9238_9327 各單位聯絡方式 lp?ctNode=9331&mp=9991&idPath=9238_9331 9331 9238 9238_9331 海域氣象 http://www.cwb.gov.tw/V7/observe/marine/ 9332 9238 9238_9332 免費上網 np?ctNode=9333&mp=9991&idPath=9238_9333 9333 9238 9238_9333 本分署熱點查詢 np?ctNode=9334&mp=9991&idPath=9238_9333_9334 9334 9333 9238_9333_9334 行政資訊 9239 static 1 onOff 海巡醫療照護園地 lp?ctNode=11138&mp=9991&idPath=9239_11138 11138 9239 9239_11138 公職人員及關係人補助交易身分關係公開及查詢平臺 https://cfcmweb.cy.gov.tw/cfcm_w 11322 9239 9239_11322 原住民QA專區 lp?ctNode=10991&mp=9991&idPath=9239_10991 10991 9239 9239_10991 行政院公報資訊網 https://gazette.nat.gov.tw/egFront/ 9338 9239 9239_9338 為民服務 lp?ctNode=9339&mp=9991&idPath=9239_9339 9339 9239 9239_9339 就業情報站 https://www.taiwanjobs.gov.tw 9340 9239 9239_9340 遊說法專區 np?ctNode=9341&mp=9991&idPath=9239_9341 9341 9239 9239_9341 友站活動 lp?ctNode=9397&mp=9991&idPath=9239_9397 9397 9239 9239_9397 網網相連 lp?ctNode=9398&mp=9991&idPath=9239_9398 9398 9239 9239_9398 政府資訊公開 np?ctNode=9431&mp=9991&idPath=9239_9431 9431 9239 9239_9431 blockTitle sourceCode 服務據點_圖_區塊 headline foot np?ctNode=993&mp=9991 np?ctNode=993&mp=9991
2019東沙體驗營網頁宣傳橫幅 ct?xItem=134546&ctNode=993&mp=9991 public/Data/f1595301280888.jpg 2019/03/21
服務據點 ct?xItem=5434&ctNode=993&mp=9991 public/Data/f1522457935291.png 服務據點 2009/11/15
stitle 標題 資通安全政策 資通安全政策 xbody 內文

一、前言:海洋委員會海巡署(以下簡稱本署)為使同仁及相關資訊服務之廠商明確認知本署資通安全目標,及藉由資訊安全管理系統(ISMS)應用風險管理過程,保持資料、系統、設備及網路等數位資產機密性、完整性、可用性及可歸責性之安全要求,並就已適切管理風險,賦予利害相關團體信心,特訂定本署資通安全政策。

二、依據:行政院88年9月15日台88經字第34735號函訂頒行政院及所屬各機關資通安全管理要點及考量本署業務需求訂定,並以書面、電子或其他方式告知所屬員工、廠商及需要遵守的其他單位共同遵行。

三、適用範圍:處理本署業務相關之所有人員(正式員工、約聘雇人員及替代役人員)與廠商。

四、資訊安全管理系統之適用範圍:組織透過全景分析、訂定資訊安全管理系統之建置及應用範圍。

五、本署資通安全目標如下(每年訂定衡量指標,以確保資通安全之有效性,衡量指標送本署資通安全推動組核定並適用於所有層級,藉由以下之說明及執行規劃達成):

(一)運用風險管理,規劃安全對策

(二)營造安全文化,提升資安意識

(三)增強防護能量,防止機敏外洩

(四)健全通報機制,加強應變能力

(五)普及資安教育,動員全員防護

(六)強化資訊分享,加強區域聯防

(七)完善維運基礎,降低服務風險

六、資通安全組織:

(一)為統籌本署各機關資通安全管理事項之協調及推動,由機關首長指派副首長兼任資訊安全長,召集成立跨部門資通安全推動組(以下簡稱本組),本組設置資通安全風險處理分組(以下簡稱風險處理分組)及資通安全稽核分組(以下簡稱稽核分組),各分組職責、分工原則參考「行政院海岸巡防署資通安全推動組設置要點」。

資通安全推動組召集人應確保以下事項:

1.建立之資訊安全政策及資訊安全目標,並與本署資訊安全管理策略方向相容。

2.資訊安全管理系統要求事項整合入組織之各項過程。

3.資訊安全管理系統所需之資源可取得。

4.傳達有效之資料安全管理的重要性,以及符合資訊安全管理系統要求事項之重要性。

5.資訊安全管理系統達成其預期成果。

6.指導及支援人員,以促進資訊安全管理系統之有效性。

7.宣導持續改進。

8.當適用其他相關管理角色之責任範圍時,加以支持以展現其領導權。

(二)為加強本署各單位落實資通安全政策及相關管理事項,由單位主官(管)指派副主官(管)(無副主官【管】由主官【管】)兼任資訊安全官,負責督導單位執行資通安全政策全盤事宜,並定期、不定期稽核、追蹤所屬資通安全管理事項執行成效,以達到持續改進資訊安全管理系統之承諾及確保其要求整合於資訊安全管理系統。

七、資通安全政策擬訂程序:

(一)各機關應依實際業務推展及風險管理需求,訂定機關資通安全政策。

(二)各機關訂定之資訊政策每年至少評估一次或發生重大變更(如:組織環境、適用法律規範或資訊技術改變)時進行評估,以反映政府法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。

八、資通安全政策要點:

(一)人員管理及資通安全教育訓練

1.對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。

2.針對管理、業務及資訊等不同工作類別之需求,定期辦理資通安全教育訓練及宣導,建立員工資通安全認知,提升資通安全水準。

3.負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。

(二)電腦系統安全管理

1.辦理資訊業務委外作業,應於事前研提資通安全需求,明訂廠商及施作人員之資通安全責任及保密規定,並列入契約,要求廠商及施作人員遵守並定期考核。

2.對系統變更作業,應建立控管制度,並建立紀錄,以備查考。

3.依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。

4.禁止安裝非公務使用及未合法授權之軟體。

5.網路位址(IP)及電子郵件(E-Mail)信箱配發應嚴格管制。

6.個人電腦使用權限應予以控管,防止使用者不當使用電腦。

(三)網路安全管理

1.開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。

2.利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。

3.禁止非公發或未經核准之終端設備及可存取資料之設備連接本署海巡資訊網路或電腦;另不同用途之網路亦不得私自串接。

4.無線存取網路在未訂定相關規範前禁止連接本署任何網路。

5.電子郵件或資料傳送機敏性資料時,應依國家機密保護法規定以國家認可加密機制傳送。

6.禁止使用點對點傳輸協定(Peer to Peer,P2P)及即時通訊軟體。

7.禁止以私人名義申租語音、數據線路意圖規避資通安全稽核進行通信及傳輸資料。

(四)系統存取控制

1.訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。

2.離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。

3.建立系統使用者註冊管理制度,加強使用者通行密碼管理,使用者通行密碼應定期更新。

4.原則禁止服務廠商以遠端登入方式進行系統維護,必要時應簽會「風險處理分組」同意,並加強安全控管及建立人員名冊,以課其相關安全保密責任。

5.本署各項資訊系統及資料存取應以海巡公開金鑰基礎建設(CGPKI)配合目錄服務(Directory Service)為基,建置單一登入(Single-Sign On)及資料安全權限控管機制。

6.機敏性資訊處理應採實體隔離資訊作業環境。

(五)應用系統開發及維護安全管理

1.自行或委外開發系統,應在系統生命週期之初始階段,即將資通安全需求納入考量:

(1)程式開發階段:應設計系統各項防護措施符合系統的需求,並避免已知的漏洞或錯誤;避免在系統操作的過程中,洩漏系統環境、預設參數及作業程序的設定資訊;必須有適當的保護措施,以防止洩漏系統內的機敏性資料。

(2)系統測試階段:應依據系統各項控管機制與防護措施,進行攻擊模擬與安全測試,並留存相關紀錄;若與其他既有系統進行界接或資料交換,應檢測既有系統保護措施執行成效及受影響的範圍,並留存相關紀錄。

(3)系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。

2.對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。

3.委託廠商建置及維護重要之軟硬體設施,應在本署相關人員監督及陪同下始得為之。

(六)資訊資產安全分級管理

1.建立與資訊系統有關的資訊資產目錄,訂定資訊資產的項目、擁有者及安全等級分類等。

2.依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規,建立資通安全等級之分類標準,以及相對應的保護措施。

3.已列入安全等級分類的資訊及系統之輸出資料,應標示適當的安全等級以利使用者遵循。

(七)實體及環境安全管理:就設備安置、周邊環境及人員進出管制等,訂定實體及環境安全管理措施。

(八)專案資訊安全管理: 不論專案之類型,在專案管理方法中應將資訊安全納入考量,以確保識別並處理資訊安全風險作為專案管理的一部分。

(九)業務永續運作計畫之規劃與管理

1.各業務單位應訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。

2.建立資通安全事件緊急通報、處理機制,在發生資通安全事件時,應依規定之處理程序,立即向「風險處理分組」或各級資訊單位人員通報,採取反應措施,並依需要聯繫檢警調單位協助偵查。

3.依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資通安全措施。

4.應依法令及業務成長需求規劃儲存及備份系統,並應建立異地備援機制,並定期實施演練。

(十)資通安全稽核

1.本署「稽核分組」應就本署業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或作業程序。

2.為使資通安全政策能落實,應定期或不定期進行資通安全內部及外部稽核作業。

3.為稽核資通安全政策是否落實執行,得於網路或使用者電腦架設各項稽核管理機制,以確保資產遭受危威脅或侵害時之可歸責性accountability)。

(十一)委外廠商管理

應依照委外廠商所提供之產品與服務類型,識別存取本署資訊或資訊處理設施之各項資訊安全要求,及明訂合約及協議中,同時應定期審查合約及協議所要求之內容,是否已反映本署對資訊保護之需求。

九、違反資通安全政策懲處:本署同仁違反本署資通安全政策者,應依本署「海岸巡防機關人員獎懲標準表」相關條文辦理懲處作業,委外人員違反本署資通安全政策者,應依合約條款或發函告知所屬企業或組織處理,細部懲處作業參考標準應由本署「資通安全推動組」審議修訂。

十、資通安全目標有效性量測:相關目標達成有效性之測量項目與方法,需經資通安全推動組會議討論訂定,並依「績效管理作業程序書」規範辦理。

十一、政策發布:本政策應陳本署資訊安全長核准,且對所有員工及相關外部各方公布及傳達。資通安全推動組統籌規劃政策之溝通,透過各項會議、書面文件及教育訓練等方式傳達,使內部及外部關注者全盤瞭解本政策。

一、前言:海洋委員會海巡署(以下簡稱本署)為使同仁及相關資訊服務之廠商明確認知本署資通安全目標,及藉由資訊安全管理系統(ISMS)應用風險管理過程,保持資料、系統、設備及網路等數位資產機密性、完整性、可用性及可歸責性之安全要求,並就已適切管理風險,賦予利害相關團體信心,特訂定本署資通安全政策。

二、依據:行政院88年9月15日台88經字第34735號函訂頒行政院及所屬各機關資通安全管理要點及考量本署業務需求訂定,並以書面、電子或其他方式告知所屬員工、廠商及需要遵守的其他單位共同遵行。

三、適用範圍:處理本署業務相關之所有人員(正式員工、約聘雇人員及替代役人員)與廠商。

四、資訊安全管理系統之適用範圍:組織透過全景分析、訂定資訊安全管理系統之建置及應用範圍。

五、本署資通安全目標如下(每年訂定衡量指標,以確保資通安全之有效性,衡量指標送本署資通安全推動組核定並適用於所有層級,藉由以下之說明及執行規劃達成):

(一)運用風險管理,規劃安全對策

(二)營造安全文化,提升資安意識

(三)增強防護能量,防止機敏外洩

(四)健全通報機制,加強應變能力

(五)普及資安教育,動員全員防護

(六)強化資訊分享,加強區域聯防

(七)完善維運基礎,降低服務風險

六、資通安全組織:

(一)為統籌本署各機關資通安全管理事項之協調及推動,由機關首長指派副首長兼任資訊安全長,召集成立跨部門資通安全推動組(以下簡稱本組),本組設置資通安全風險處理分組(以下簡稱風險處理分組)及資通安全稽核分組(以下簡稱稽核分組),各分組職責、分工原則參考「行政院海岸巡防署資通安全推動組設置要點」。

資通安全推動組召集人應確保以下事項:

1.建立之資訊安全政策及資訊安全目標,並與本署資訊安全管理策略方向相容。

2.資訊安全管理系統要求事項整合入組織之各項過程。

3.資訊安全管理系統所需之資源可取得。

4.傳達有效之資料安全管理的重要性,以及符合資訊安全管理系統要求事項之重要性。

5.資訊安全管理系統達成其預期成果。

6.指導及支援人員,以促進資訊安全管理系統之有效性。

7.宣導持續改進。

8.當適用其他相關管理角色之責任範圍時,加以支持以展現其領導權。

(二)為加強本署各單位落實資通安全政策及相關管理事項,由單位主官(管)指派副主官(管)(無副主官【管】由主官【管】)兼任資訊安全官,負責督導單位執行資通安全政策全盤事宜,並定期、不定期稽核、追蹤所屬資通安全管理事項執行成效,以達到持續改進資訊安全管理系統之承諾及確保其要求整合於資訊安全管理系統。

七、資通安全政策擬訂程序:

(一)各機關應依實際業務推展及風險管理需求,訂定機關資通安全政策。

(二)各機關訂定之資訊政策每年至少評估一次或發生重大變更(如:組織環境、適用法律規範或資訊技術改變)時進行評估,以反映政府法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。

八、資通安全政策要點:

(一)人員管理及資通安全教育訓練

1.對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。

2.針對管理、業務及資訊等不同工作類別之需求,定期辦理資通安全教育訓練及宣導,建立員工資通安全認知,提升資通安全水準。

3.負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。

(二)電腦系統安全管理

1.辦理資訊業務委外作業,應於事前研提資通安全需求,明訂廠商及施作人員之資通安全責任及保密規定,並列入契約,要求廠商及施作人員遵守並定期考核。

2.對系統變更作業,應建立控管制度,並建立紀錄,以備查考。

3.依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。

4.禁止安裝非公務使用及未合法授權之軟體。

5.網路位址(IP)及電子郵件(E-Mail)信箱配發應嚴格管制。

6.個人電腦使用權限應予以控管,防止使用者不當使用電腦。

(三)網路安全管理

1.開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。

2.利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。

3.禁止非公發或未經核准之終端設備及可存取資料之設備連接本署海巡資訊網路或電腦;另不同用途之網路亦不得私自串接。

4.無線存取網路在未訂定相關規範前禁止連接本署任何網路。

5.電子郵件或資料傳送機敏性資料時,應依國家機密保護法規定以國家認可加密機制傳送。

6.禁止使用點對點傳輸協定(Peer to Peer,P2P)及即時通訊軟體。

7.禁止以私人名義申租語音、數據線路意圖規避資通安全稽核進行通信及傳輸資料。

(四)系統存取控制

1.訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。

2.離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。

3.建立系統使用者註冊管理制度,加強使用者通行密碼管理,使用者通行密碼應定期更新。

4.原則禁止服務廠商以遠端登入方式進行系統維護,必要時應簽會「風險處理分組」同意,並加強安全控管及建立人員名冊,以課其相關安全保密責任。

5.本署各項資訊系統及資料存取應以海巡公開金鑰基礎建設(CGPKI)配合目錄服務(Directory Service)為基,建置單一登入(Single-Sign On)及資料安全權限控管機制。

6.機敏性資訊處理應採實體隔離資訊作業環境。

(五)應用系統開發及維護安全管理

1.自行或委外開發系統,應在系統生命週期之初始階段,即將資通安全需求納入考量:

(1)程式開發階段:應設計系統各項防護措施符合系統的需求,並避免已知的漏洞或錯誤;避免在系統操作的過程中,洩漏系統環境、預設參數及作業程序的設定資訊;必須有適當的保護措施,以防止洩漏系統內的機敏性資料。

(2)系統測試階段:應依據系統各項控管機制與防護措施,進行攻擊模擬與安全測試,並留存相關紀錄;若與其他既有系統進行界接或資料交換,應檢測既有系統保護措施執行成效及受影響的範圍,並留存相關紀錄。

(3)系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。

2.對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。

3.委託廠商建置及維護重要之軟硬體設施,應在本署相關人員監督及陪同下始得為之。

(六)資訊資產安全分級管理

1.建立與資訊系統有關的資訊資產目錄,訂定資訊資產的項目、擁有者及安全等級分類等。

2.依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規,建立資通安全等級之分類標準,以及相對應的保護措施。

3.已列入安全等級分類的資訊及系統之輸出資料,應標示適當的安全等級以利使用者遵循。

(七)實體及環境安全管理:就設備安置、周邊環境及人員進出管制等,訂定實體及環境安全管理措施。

(八)專案資訊安全管理: 不論專案之類型,在專案管理方法中應將資訊安全納入考量,以確保識別並處理資訊安全風險作為專案管理的一部分。

(九)業務永續運作計畫之規劃與管理

1.各業務單位應訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。

2.建立資通安全事件緊急通報、處理機制,在發生資通安全事件時,應依規定之處理程序,立即向「風險處理分組」或各級資訊單位人員通報,採取反應措施,並依需要聯繫檢警調單位協助偵查。

3.依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資通安全措施。

4.應依法令及業務成長需求規劃儲存及備份系統,並應建立異地備援機制,並定期實施演練。

(十)資通安全稽核

1.本署「稽核分組」應就本署業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或作業程序。

2.為使資通安全政策能落實,應定期或不定期進行資通安全內部及外部稽核作業。

3.為稽核資通安全政策是否落實執行,得於網路或使用者電腦架設各項稽核管理機制,以確保資產遭受危威脅或侵害時之可歸責性accountability)。

(十一)委外廠商管理

應依照委外廠商所提供之產品與服務類型,識別存取本署資訊或資訊處理設施之各項資訊安全要求,及明訂合約及協議中,同時應定期審查合約及協議所要求之內容,是否已反映本署對資訊保護之需求。

九、違反資通安全政策懲處:本署同仁違反本署資通安全政策者,應依本署「海岸巡防機關人員獎懲標準表」相關條文辦理懲處作業,委外人員違反本署資通安全政策者,應依合約條款或發函告知所屬企業或組織處理,細部懲處作業參考標準應由本署「資通安全推動組」審議修訂。

十、資通安全目標有效性量測:相關目標達成有效性之測量項目與方法,需經資通安全推動組會議討論訂定,並依「績效管理作業程序書」規範辦理。

十一、政策發布:本政策應陳本署資訊安全長核准,且對所有員工及相關外部各方公布及傳達。資通安全推動組統籌規劃政策之溝通,透過各項會議、書面文件及教育訓練等方式傳達,使內部及外部關注者全盤瞭解本政策。

xurl 網址 xnewWindow 另開視窗 xpostDate 張貼日 2018/04/02 2018/04/02 topCat 資料大類 xkeyword 關鍵字詞 ximportant 重要性 0 0 deptname 單位 南部分署 南部分署 ieditor 編修人員 south01 south01 deditDate 編修日期 2018/04/03 2018/04/03 icreator 建檔人員 蘇建宇 蘇建宇 createdDate 建檔日期 2018/04/02 2018/04/02
資通安全政策 5047 OnlyDateCpRwd Footer.Content

海洋委員會海巡署 南部分署 版權所有 Copyright 2009
地址:852高雄市茄萣區崎漏里正遠路1號
總機代表號:07-6986011 緊急救難服務專線:118 督察申訴、檢舉專線:0800700003
E-Mail:southmaster@cga.gov.tw 傳真號碼:07-6989407
建議使用 IE6.0 或 Firefox2.0 以上瀏覽器,最佳瀏覽解析度 1024x768
若您無法讀取PDF格式文件,請點選下載 Acrobat Reader 安裝程式

通過AA無障礙網頁檢測 我的e政府

blockTitle Footer FooterFunc.sourceCode
303ms
:::

資通安全政策

    一、前言:海洋委員會海巡署(以下簡稱本署)為使同仁及相關資訊服務之廠商明確認知本署資通安全目標,及藉由資訊安全管理系統(ISMS)應用風險管理過程,保持資料、系統、設備及網路等數位資產機密性、完整性、可用性及可歸責性之安全要求,並就已適切管理風險,賦予利害相關團體信心,特訂定本署資通安全政策。

    二、依據:行政院88年9月15日台88經字第34735號函訂頒行政院及所屬各機關資通安全管理要點及考量本署業務需求訂定,並以書面、電子或其他方式告知所屬員工、廠商及需要遵守的其他單位共同遵行。

    三、適用範圍:處理本署業務相關之所有人員(正式員工、約聘雇人員及替代役人員)與廠商。

    四、資訊安全管理系統之適用範圍:組織透過全景分析、訂定資訊安全管理系統之建置及應用範圍。

    五、本署資通安全目標如下(每年訂定衡量指標,以確保資通安全之有效性,衡量指標送本署資通安全推動組核定並適用於所有層級,藉由以下之說明及執行規劃達成):

    (一)運用風險管理,規劃安全對策

    (二)營造安全文化,提升資安意識

    (三)增強防護能量,防止機敏外洩

    (四)健全通報機制,加強應變能力

    (五)普及資安教育,動員全員防護

    (六)強化資訊分享,加強區域聯防

    (七)完善維運基礎,降低服務風險

    六、資通安全組織:

    (一)為統籌本署各機關資通安全管理事項之協調及推動,由機關首長指派副首長兼任資訊安全長,召集成立跨部門資通安全推動組(以下簡稱本組),本組設置資通安全風險處理分組(以下簡稱風險處理分組)及資通安全稽核分組(以下簡稱稽核分組),各分組職責、分工原則參考「行政院海岸巡防署資通安全推動組設置要點」。

    資通安全推動組召集人應確保以下事項:

    1.建立之資訊安全政策及資訊安全目標,並與本署資訊安全管理策略方向相容。

    2.資訊安全管理系統要求事項整合入組織之各項過程。

    3.資訊安全管理系統所需之資源可取得。

    4.傳達有效之資料安全管理的重要性,以及符合資訊安全管理系統要求事項之重要性。

    5.資訊安全管理系統達成其預期成果。

    6.指導及支援人員,以促進資訊安全管理系統之有效性。

    7.宣導持續改進。

    8.當適用其他相關管理角色之責任範圍時,加以支持以展現其領導權。

    (二)為加強本署各單位落實資通安全政策及相關管理事項,由單位主官(管)指派副主官(管)(無副主官【管】由主官【管】)兼任資訊安全官,負責督導單位執行資通安全政策全盤事宜,並定期、不定期稽核、追蹤所屬資通安全管理事項執行成效,以達到持續改進資訊安全管理系統之承諾及確保其要求整合於資訊安全管理系統。

    七、資通安全政策擬訂程序:

    (一)各機關應依實際業務推展及風險管理需求,訂定機關資通安全政策。

    (二)各機關訂定之資訊政策每年至少評估一次或發生重大變更(如:組織環境、適用法律規範或資訊技術改變)時進行評估,以反映政府法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。

    八、資通安全政策要點:

    (一)人員管理及資通安全教育訓練

    1.對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。

    2.針對管理、業務及資訊等不同工作類別之需求,定期辦理資通安全教育訓練及宣導,建立員工資通安全認知,提升資通安全水準。

    3.負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。

    (二)電腦系統安全管理

    1.辦理資訊業務委外作業,應於事前研提資通安全需求,明訂廠商及施作人員之資通安全責任及保密規定,並列入契約,要求廠商及施作人員遵守並定期考核。

    2.對系統變更作業,應建立控管制度,並建立紀錄,以備查考。

    3.依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。

    4.禁止安裝非公務使用及未合法授權之軟體。

    5.網路位址(IP)及電子郵件(E-Mail)信箱配發應嚴格管制。

    6.個人電腦使用權限應予以控管,防止使用者不當使用電腦。

    (三)網路安全管理

    1.開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。

    2.利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。

    3.禁止非公發或未經核准之終端設備及可存取資料之設備連接本署海巡資訊網路或電腦;另不同用途之網路亦不得私自串接。

    4.無線存取網路在未訂定相關規範前禁止連接本署任何網路。

    5.電子郵件或資料傳送機敏性資料時,應依國家機密保護法規定以國家認可加密機制傳送。

    6.禁止使用點對點傳輸協定(Peer to Peer,P2P)及即時通訊軟體。

    7.禁止以私人名義申租語音、數據線路意圖規避資通安全稽核進行通信及傳輸資料。

    (四)系統存取控制

    1.訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。

    2.離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。

    3.建立系統使用者註冊管理制度,加強使用者通行密碼管理,使用者通行密碼應定期更新。

    4.原則禁止服務廠商以遠端登入方式進行系統維護,必要時應簽會「風險處理分組」同意,並加強安全控管及建立人員名冊,以課其相關安全保密責任。

    5.本署各項資訊系統及資料存取應以海巡公開金鑰基礎建設(CGPKI)配合目錄服務(Directory Service)為基,建置單一登入(Single-Sign On)及資料安全權限控管機制。

    6.機敏性資訊處理應採實體隔離資訊作業環境。

    (五)應用系統開發及維護安全管理

    1.自行或委外開發系統,應在系統生命週期之初始階段,即將資通安全需求納入考量:

    (1)程式開發階段:應設計系統各項防護措施符合系統的需求,並避免已知的漏洞或錯誤;避免在系統操作的過程中,洩漏系統環境、預設參數及作業程序的設定資訊;必須有適當的保護措施,以防止洩漏系統內的機敏性資料。

    (2)系統測試階段:應依據系統各項控管機制與防護措施,進行攻擊模擬與安全測試,並留存相關紀錄;若與其他既有系統進行界接或資料交換,應檢測既有系統保護措施執行成效及受影響的範圍,並留存相關紀錄。

    (3)系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。

    2.對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。

    3.委託廠商建置及維護重要之軟硬體設施,應在本署相關人員監督及陪同下始得為之。

    (六)資訊資產安全分級管理

    1.建立與資訊系統有關的資訊資產目錄,訂定資訊資產的項目、擁有者及安全等級分類等。

    2.依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規,建立資通安全等級之分類標準,以及相對應的保護措施。

    3.已列入安全等級分類的資訊及系統之輸出資料,應標示適當的安全等級以利使用者遵循。

    (七)實體及環境安全管理:就設備安置、周邊環境及人員進出管制等,訂定實體及環境安全管理措施。

    (八)專案資訊安全管理: 不論專案之類型,在專案管理方法中應將資訊安全納入考量,以確保識別並處理資訊安全風險作為專案管理的一部分。

    (九)業務永續運作計畫之規劃與管理

    1.各業務單位應訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。

    2.建立資通安全事件緊急通報、處理機制,在發生資通安全事件時,應依規定之處理程序,立即向「風險處理分組」或各級資訊單位人員通報,採取反應措施,並依需要聯繫檢警調單位協助偵查。

    3.依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資通安全措施。

    4.應依法令及業務成長需求規劃儲存及備份系統,並應建立異地備援機制,並定期實施演練。

    (十)資通安全稽核

    1.本署「稽核分組」應就本署業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或作業程序。

    2.為使資通安全政策能落實,應定期或不定期進行資通安全內部及外部稽核作業。

    3.為稽核資通安全政策是否落實執行,得於網路或使用者電腦架設各項稽核管理機制,以確保資產遭受危威脅或侵害時之可歸責性accountability)。

    (十一)委外廠商管理

    應依照委外廠商所提供之產品與服務類型,識別存取本署資訊或資訊處理設施之各項資訊安全要求,及明訂合約及協議中,同時應定期審查合約及協議所要求之內容,是否已反映本署對資訊保護之需求。

    九、違反資通安全政策懲處:本署同仁違反本署資通安全政策者,應依本署「海岸巡防機關人員獎懲標準表」相關條文辦理懲處作業,委外人員違反本署資通安全政策者,應依合約條款或發函告知所屬企業或組織處理,細部懲處作業參考標準應由本署「資通安全推動組」審議修訂。

    十、資通安全目標有效性量測:相關目標達成有效性之測量項目與方法,需經資通安全推動組會議討論訂定,並依「績效管理作業程序書」規範辦理。

    十一、政策發布:本政策應陳本署資訊安全長核准,且對所有員工及相關外部各方公布及傳達。資通安全推動組統籌規劃政策之溝通,透過各項會議、書面文件及教育訓練等方式傳達,使內部及外部關注者全盤瞭解本政策。

    • 資料來源:南部分署
    • 更新日期:2018/04/03