http://www.cga.gov.tw:443/GipOpen/wSite/ 資訊安全政策 資訊安全政策 瑄品 行政院海岸巡防署官方發佈相關訊息 海巡署 行政院海岸巡防署 2010-01-05 00:00:00.0 文字 文字 363000000C 與本署相關資訊 行政院海岸巡防署 中文 2012-01-01 行政院海岸巡防署 100 100 I00 9996 cp zh-TW content_rwd styles/RWD 金馬澎分署全球資訊網 Group.sourceCode LogoPic.Name 海洋委員會海巡署金馬澎分署 lastUpdate 2021年06月17日 TitlePic.File public/LayoutDesign/1451467263914.jpg LogoPic.File public/LayoutDesign/1523416474628.jpg Func.sourceCode TitlePic.Name blockTitle Header visitCount 14961676 Search.sourceCode

常用關鍵字搜尋 出海申請 線上申辦 艦艇 人才招募 海巡機關

sourceCode
字體
  • 小
  • 中
  • 大
blockTitle 字體大小
sourceCode

blockTitle 四季橫幅
圖書期刊 2676 dynamic 99 allOn 隱私權保護宣告 np?ctNode=2141&mp=9996 2141 2676 2676_2141 資通安全政策 np?ctNode=2142&mp=9996 2142 2676 2676_2142 政府網站資料開放宣告 np?ctNode=3282&mp=9996 3282 2676 2676_3282 政府資訊公開 2379 static 99 allOn 服務導覽 np?ctNode=2380&mp=9996&idPath=2379_2380 2380 2379 2379_2380 公開事項 np?ctNode=11059&mp=9996&idPath=2379_11059 11059 2379 2379_11059 開放資料平台 lp?ctNode=8871&mp=9996&idPath=2379_8871 8871 2379 2379_8871 為民服務 2375 dynamic 99 allOn 隱私權保護宣告 np?ctNode=2141&mp=9996 2141 2375 2375_2141 資通安全政策 np?ctNode=2142&mp=9996 2142 2375 2375_2142 政府網站資料開放宣告 np?ctNode=3282&mp=9996 3282 2375 2375_3282 法令規章 2680 static 99 allOn 最新法規訊息 lp?ctNode=2733&mp=9996&idPath=2680_2733 2733 2680 2680_2733 法律 lp?ctNode=2735&mp=9996&idPath=2680_2735 2735 2680 2680_2735 法規命令 lp?ctNode=2736&mp=9996&idPath=2680_2736 2736 2680 2680_2736 行政規則 lp?ctNode=2737&mp=9996&idPath=2680_2737 2737 2680 2680_2737 訴願決定書 lp?ctNode=2685&mp=9996&idPath=2680_2685 2685 2680 2680_2685 本總局及所屬機關辦理國家賠償事件處理情形統計 lp?ctNode=2681&mp=9996&idPath=2680_2681 2681 2680 2680_2681 8585 static 99 allOn 分署簡介 np?ctNode=11267&mp=9996&idPath=8585_11267 11267 8585 8585_11267 組織架構 np?ctNode=11269&mp=9996&idPath=8585_11267_11269 11269 11267 8585_11267_11269 業務職掌 np?ctNode=11270&mp=9996&idPath=8585_11267_11270 11270 11267 8585_11267_11270 執法範圍 np?ctNode=11271&mp=9996&idPath=8585_11267_11271 11271 11267 8585_11267_11271 重大政策 np?ctNode=10742&mp=9996&idPath=8585_10742 10742 8585 8585_10742 海洋委員會重大政策 lp?ctNode=11169&mp=9996&idPath=8585_10742_11169 11169 10742 8585_10742_11169 海巡署重大政策 lp?ctNode=10744&mp=9996&idPath=8585_10742_10744 10744 10742 8585_10742_10744 施政計畫與績效 np?ctNode=8589&mp=9996&idPath=8585_8589 8589 8585 8585_8589 海巡署施政計畫 np?ctNode=10884&mp=9996&idPath=8585_8589_10884 10884 8589 8585_8589_10884 海巡署施政績效 /GipOpen/wSite/np?ctNode=603&mp=999&idPath=600_603 10747 8589 8585_8589_10747 海巡法規 np?ctNode=8590&mp=9996&idPath=8585_8590 8590 8585 8585_8590 法規命令 /wralawgip/lawCatalogue.jsp?lawClass2=3&lawClass=3&tabindex=5002#5002&mp=9996 10916 8590 8585_8590_10916 行政規則 /wralawgip/lawCatalogue.jsp?lawClass2=4&lawClass=4&tabindex=5003#5003&mp=9996 10917 8590 8585_8590_10917 訴願決定書 lp?ctNode=8681&mp=9996&idPath=8585_8590_8681 8681 8590 8585_8590_8681 國家賠償事件統計報表 lp?ctNode=8682&mp=9996&idPath=8585_8590_8682 8682 8590 8585_8590_8682 保有個人資料檔案資訊公開 lp?ctNode=10983&mp=9996&idPath=8585_8590_10983 10983 8590 8585_8590_10983 海巡統計 /GipOpen/wSite/np?ctNode=604&mp=999 11273 8585 8585_11273 世界海洋日 lp?ctNode=8593&mp=9996&idPath=8585_8593 8593 8585 8585_8593 服務據點 headline foot np?ctNode=11133&mp=9996 np?ctNode=11133&mp=9996 便民資訊 2186 static 2 allOn 為民服務 np?ctNode=2375&mp=9996&idPath=2186_2375 2375 2186 2186_2375 線上申辦 /GipOpen/wSite/np?ctNode=2774&mp=9996 10888 2375 2186_2375_10888 政令及預防犯罪宣導 lp?ctNode=10922&mp=9996&idPath=2186_2375_10922 10922 2375 2186_2375_10922 政府資訊公開 np?ctNode=2379&mp=9996&idPath=2186_2379 2379 2186 2186_2379 服務導覽 np?ctNode=2380&mp=9996&idPath=2186_2379_2380 2380 2379 2186_2379_2380 公開事項 np?ctNode=11059&mp=9996&idPath=2186_2379_11059 11059 2379 2186_2379_11059 開放資料平台 lp?ctNode=8871&mp=9996&idPath=2186_2379_8871 8871 2379 2186_2379_8871 檔案應用服務 np?ctNode=2362&mp=9996&idPath=2186_2362 2362 2186 2186_2362 服務須知 np?ctNode=2364&mp=9996&idPath=2186_2362_2364 2364 2362 2186_2362_2364 常見問答 lp?ctNode=2366&mp=9996&idPath=2186_2362_2366 2366 2362 2186_2362_2366 交通資訊 np?ctNode=2367&mp=9996&idPath=2186_2362_2367 2367 2362 2186_2362_2367 射擊通報 lp?ctNode=10999&mp=9996&idPath=2186_10999 10999 2186 2186_10999 問題說明 9082 static 2 allOn 海域遊憩活動法令資訊統合平臺 https://rocean.oac.gov.tw/oacmap/ 11312 9082 9082_11312 公職人員及關係人補助交易身分關係公開及查詢平臺 https://cfcmweb.cy.gov.tw/cfcm_w 11323 9082 9082_11323 海巡醫療照護園地 lp?ctNode=11137&mp=9996&idPath=9082_11137 11137 9082 9082_11137 英語學習資源 lp?ctNode=11058&mp=9996&idPath=9082_11058 11058 9082 9082_11058 原住民QA專區 lp?ctNode=10992&mp=9996&idPath=9082_10992 10992 9082 9082_10992 就業情報站 https://www.taiwanjobs.gov.tw 11003 9082 9082_11003 巡防問答 lp?ctNode=9084&mp=9996&idPath=9082_9084 9084 9082 9082_9084 人事事宜 lp?ctNode=9085&mp=9996&idPath=9082_9085 9085 9082 9082_9085 網網相連 lp?ctNode=9090&mp=9996&idPath=9082_9090 9090 9082 9082_9090 友站活動 lp?ctNode=9091&mp=9996&idPath=9082_9091 9091 9082 9082_9091 資訊圖像化專區 lp?ctNode=11146&mp=9996&idPath=9082_11146 11146 9082 9082_11146 118緊急救難服務專線 headline foot np?ctNode=11135&mp=9996 np?ctNode=11135&mp=9996
118專區 mp?mp=118 public/Data/f1556074623001.gif 2019/04/24
sourceCode

blockTitle 粉專嵌入
資通安全政策

一、前言:
海洋委員會海巡署金馬澎分署全球資訊網(以下簡稱本分署)為使同仁及相關資訊服務之廠商明確認知本分署資訊安全政策,及藉由資訊安全管理系統(ISMS)應用風險管理過程,保持資料、系統、設備及網路等數位資產機密、完整、可用及可歸責性之安全要求,並就已適切管理風險,賦予利害相關團體信心,特訂定本分署資通安全政策。

二、依據:
行政院88 年9 月15 日台88 經字第34735 號函訂頒行政院及所屬各機關資通安全管理要點及考量本分署業務需求訂定,並以書面、電子或其他方式告知所屬員工、廠商及需要遵守的其他單位共同遵行。

三、適用範圍:
處理本分署業務相關之所有人員(正式員工、約聘雇人員及替代役人員)與廠商。

四、資訊安全管理系統之適用範圍:
組織透過全景分析、訂定資訊安全管理系統之建置及應用範圍。

五、本分署資通安全目標如下(每年訂定衡量指標,以確保資通安全之有效性,衡量指標送本分署資通安全推動組核定並適用於所有層級,藉由以下之說明及執行規劃達成):
(一)運用風險管理,規劃安全對策。
(二)營造安全文化,提昇資安意識。
(三)增強防護能量,防止機敏外洩。
(四)健全通報機制,加強應變能力。
(五)普及資安教育,動員全員防護。
(六)強化資訊分享,加強區域聯防。
(七)完善維運基礎,降低服務風險。

六、資通安全組織:
(一)為統籌本分署各單位資通安全管理事項之協調及推動,由機關首長指派副首長兼任資訊安全長,召集成立跨部門資通安全推動組(以下簡稱本組),本組設置資通安全風險處理分組(以下簡稱風險處理分組)及資通安全稽核分組(以下簡稱稽核分組),各分組職責、分工原則參考「海洋委員會海巡署金馬澎分署資通安全推動組設置規定」。
資通安全推動組召集人應確保以下事項:
1.建立之資訊安全政策及資訊安全目標,並與本署資訊安全管理策略方向相容。
2.資訊安全管理系統要求事項整合入組織之各項過程。
3.資訊安全管理系統所需之資源可取得。
4.傳達有效之資料安全管理的重要性,以及符合資訊安全管理系統要求事項之重要性。
5.資訊安全管理系統達成其預期成果。
6.指導及支援人員,以促進資訊安全管理系統之有效性。
7.宣導持續改進。
8.當適用其他相關管理角色之責任範圍時,加以支持以展現其領導權。

 
(二)為加強本分ㄕㄨ各單位落實資通安全政策及相關管理事項,由單位主官(管)指派副主官(管)(無副主官【管】由主官【管】)兼任資訊安全官,負責督導單位執行資通安全政策全般事宜,並定期、不定期稽核、追蹤所屬資通安全管理事項執行成效,以達到持續改進資訊安全管理系統之承諾及確保其要求整合於資訊安全管理系統。

七、資通安全政策擬訂程序:
(一)各機關應依實際業務推展及風險管理需求,訂定機關資通安全政策。
(二)各機關訂定之資訊政策每年至少評估一次或發生重大變更(如:組織環境、適用法律規範或資訊技術改變)時進行評估,以反映政府法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。

八、資通安全政策要點:
(一)人員管理及資通安全教育訓練
1. 對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
2. 針對管理、業務及資訊等不同工作類別之需求,定期辦理資通安全教育訓練及宣導,建立員工資通安全認知,提升資通安全水準。
3. 負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。

 
(二)電腦系統安全管理
1. 辦理資訊業務委外作業,應於事前研提資通安全需求,明訂廠商及施作人員之資通安全責任及保密規定,並列入契約,要求廠商及施作人員遵守並定期考核。
2. 對系統變更作業,應建立控管制度,並建立紀錄,以備查考。
3. 依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。
4. 禁止安裝非公務使用及未合法授權之軟體。
5. 網路位址(IP)及電子郵件(E-Mail)信箱配發應嚴格管制。
6. 個人電腦使用權限應予以控管,防止使用者不當使用電腦。

 
(三)網路安全管理
1. 開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
2. 利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。
3. 禁止非公發或未經核准之終端設備及可存取資料之設備連接本分署海巡資訊網路或電腦;另不同用途之網路亦不得私自串接。
4. 無線存取網路在未訂定相關規範前禁止連接本分署任何網路。
5. 電子郵件或資料傳送機敏性資料時,應依國家機密保護法規定以國家認可加密機制傳送。
6. 禁止使用點對點傳輸協定(Peer to Peer,P2P)及即時通訊軟體。
7. 禁止以私人名義申租語音、數據線路意圖規避資通安全稽核進行通信及傳輸資料。

 
(四)系統存取控制
1. 訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
2. 離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
3. 建立系統使用者註冊管理制度,加強使用者通行密碼管理,使用者通行密碼應定期更新。
4. 原則禁止服務廠商以遠端登入方式進行系統維護,必要時應簽會「風險處理分組」同意,並加強安全控管及建立人員名冊,以課其相關安全保密責任。
5. 本分署各項資訊系統及資料存取應以海巡公開金鑰基礎建設(CGPKI)配合目錄服務(Directory Service)為基,建置單一登入(Single-Sign On)及資料安全權限控管機制。
6. 機敏性資訊處理應採實體隔離資訊作業環境。

 
(五)應用系統開發及維護安全管理
1. 自行或委外開發系統,應在系統生命週期之初始階段,即將資通安全需求納入考量。
(1)程式開發階段:應設計系統各項防護措施符合系統的需求,並避免已知的漏洞或錯誤;避免在系統操作的過程中,洩漏系統環境、預設參數及作業程序的設定資訊;必須有適當的保護措施,以防止洩漏系統內的機敏性資料。
(2)系統測試階段:應依據系統各項控管機制與防護措施,進行攻擊模擬與安全測試,並留存相關紀錄;若與其他既有系統進行界接或資料交換,應檢測既有系統保護措施執行成效及受影響的範圍,並留存相關紀錄。
(3)系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。

2. 對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。

3. 委託廠商建置及維護重要之軟硬體設施,應在本分署相關人員監督及陪同下始得為之。

 
(六)資訊資產安全分級管理
1. 建立與資訊系統有關的資訊資產目錄,訂定資訊資產的項目、擁有者及安全等級分類等。
2. 依據國家機密保護、個人資料保護及政府資訊公開等相關法規,建立資通安全等級之分類標準,以及相對應的保護措施。
3. 已列入安全等級分類的資訊及系統之輸出資料,應標示適當的安全等級以利使用者遵循。

 
(七)實體及環境安全管理
就設備安置、周邊環境及人員進出管制等,訂定實體及環境安全管理措施。

(八)專案資訊安全管理
不論專案之類型,在專案管理方法中應將資訊安全納入考量,以確保識別並處理資訊安全風險作為專案管理的一部分。

(九)業務永續運作計畫之規劃與管理
1. 各業務單位應訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。
2. 建立資通安全事件緊急通報、處理機制,在發生資通安全事件時,應依規定之處理程序,立即向「風險處理分組」或各級資訊單位人員通報,採取反應措施,並依需要聯繫檢警調單位協助偵查。
3. 依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資通安全措施。
4. 應依法令及業務成長需求規劃儲存及備份系統,並應建立異地備援機制,並定期實施演練。

 
(十)資通安全稽核
1. 本分署「稽核分組」應就本分署業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或作業程序。
2. 為使資通安全政策能落實,應定期或不定期進行資通安全內部及外部稽核作業。
3. 為稽核資通安全政策是否落實執行,得於網路或使用者電腦架設各項稽核管理機制,以確保資產遭受危威脅或侵害時之可歸責性(accountability)。

 
(十一)委外廠商管理
應依照委外廠商所提供之產品與服務類型,識別存取本分署資訊或資訊處理設施之各項資訊安全要求,及明訂合約及協議中,同時應定期審查合約及協議所要求之內容,是否已反映本分署對資訊保護之需求。

九、違反資通安全政策懲處:
本分署同仁違反資通安全政策者,應依「海岸巡防機關人員獎懲標準表」相關條文辦理懲處作業,委外人員違反本分署資通安全政策者,應依合約條款或發函告知所屬企業或組織處理,細部懲處作業參考標準應由本分署「資通安全推動組」審議修訂。

十、資通安全目標有效性量測:
相關目標達成有效性之測量項目與方法,需經資通安全推動組會議討論訂定,並依「績效管理作業程序書」規範辦理。

十一、政策發布:
本政策應陳本分署資訊安全長核准,且對所有員工及相關外部各方公布及傳達。資通安全推動組統籌規劃政策之溝通,透過各項會議、書面文件及教育訓練等方式傳達,使內部及外部關注者全盤瞭解本政策。
 

 

2020/03/13 中華民國109年03月13日 14:50:11 2016/03/10 中華民國105年03月10日 00:00:00 金馬澎分署 cpdg_資訊安全政策
資通安全政策 910 Footer.Content

海洋委員會海巡署金馬澎分署版權所有 © Copyright 2010
地址:23578新北市中和區秀峰街129號 電話:(02)2940-6341
E-Mail:kmpbmaster@cga.gov.tw 傳真:(02)2949-2650
緊急救難服務專線:118、海巡署廉政檢舉專線:(02)2239-9241
建議使用 IE6.0 或 Firefox2.0 以上瀏覽器,最佳瀏覽解析度 1024x768
若您無法讀取PDF格式文件,請點選下載 Acrobat Reader 安裝程式

通過AA無障礙網頁檢測 我的e政府

blockTitle Footer FooterFunc.sourceCode
315ms
:::

資通安全政策

  • 點閱數:6264
  • 資料來源:金馬澎分署
  • 更新日期:2016/03/10

一、前言:
海洋委員會海巡署金馬澎分署全球資訊網(以下簡稱本分署)為使同仁及相關資訊服務之廠商明確認知本分署資訊安全政策,及藉由資訊安全管理系統(ISMS)應用風險管理過程,保持資料、系統、設備及網路等數位資產機密、完整、可用及可歸責性之安全要求,並就已適切管理風險,賦予利害相關團體信心,特訂定本分署資通安全政策。

二、依據:
行政院88 年9 月15 日台88 經字第34735 號函訂頒行政院及所屬各機關資通安全管理要點及考量本分署業務需求訂定,並以書面、電子或其他方式告知所屬員工、廠商及需要遵守的其他單位共同遵行。

三、適用範圍:
處理本分署業務相關之所有人員(正式員工、約聘雇人員及替代役人員)與廠商。

四、資訊安全管理系統之適用範圍:
組織透過全景分析、訂定資訊安全管理系統之建置及應用範圍。

五、本分署資通安全目標如下(每年訂定衡量指標,以確保資通安全之有效性,衡量指標送本分署資通安全推動組核定並適用於所有層級,藉由以下之說明及執行規劃達成):
(一)運用風險管理,規劃安全對策。
(二)營造安全文化,提昇資安意識。
(三)增強防護能量,防止機敏外洩。
(四)健全通報機制,加強應變能力。
(五)普及資安教育,動員全員防護。
(六)強化資訊分享,加強區域聯防。
(七)完善維運基礎,降低服務風險。

六、資通安全組織:
(一)為統籌本分署各單位資通安全管理事項之協調及推動,由機關首長指派副首長兼任資訊安全長,召集成立跨部門資通安全推動組(以下簡稱本組),本組設置資通安全風險處理分組(以下簡稱風險處理分組)及資通安全稽核分組(以下簡稱稽核分組),各分組職責、分工原則參考「海洋委員會海巡署金馬澎分署資通安全推動組設置規定」。
資通安全推動組召集人應確保以下事項:
1.建立之資訊安全政策及資訊安全目標,並與本署資訊安全管理策略方向相容。
2.資訊安全管理系統要求事項整合入組織之各項過程。
3.資訊安全管理系統所需之資源可取得。
4.傳達有效之資料安全管理的重要性,以及符合資訊安全管理系統要求事項之重要性。
5.資訊安全管理系統達成其預期成果。
6.指導及支援人員,以促進資訊安全管理系統之有效性。
7.宣導持續改進。
8.當適用其他相關管理角色之責任範圍時,加以支持以展現其領導權。

 
(二)為加強本分ㄕㄨ各單位落實資通安全政策及相關管理事項,由單位主官(管)指派副主官(管)(無副主官【管】由主官【管】)兼任資訊安全官,負責督導單位執行資通安全政策全般事宜,並定期、不定期稽核、追蹤所屬資通安全管理事項執行成效,以達到持續改進資訊安全管理系統之承諾及確保其要求整合於資訊安全管理系統。

七、資通安全政策擬訂程序:
(一)各機關應依實際業務推展及風險管理需求,訂定機關資通安全政策。
(二)各機關訂定之資訊政策每年至少評估一次或發生重大變更(如:組織環境、適用法律規範或資訊技術改變)時進行評估,以反映政府法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。

八、資通安全政策要點:
(一)人員管理及資通安全教育訓練
1. 對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
2. 針對管理、業務及資訊等不同工作類別之需求,定期辦理資通安全教育訓練及宣導,建立員工資通安全認知,提升資通安全水準。
3. 負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。

 
(二)電腦系統安全管理
1. 辦理資訊業務委外作業,應於事前研提資通安全需求,明訂廠商及施作人員之資通安全責任及保密規定,並列入契約,要求廠商及施作人員遵守並定期考核。
2. 對系統變更作業,應建立控管制度,並建立紀錄,以備查考。
3. 依相關法規或契約規定複製及使用軟體,並建立軟體使用管理制度。
4. 禁止安裝非公務使用及未合法授權之軟體。
5. 網路位址(IP)及電子郵件(E-Mail)信箱配發應嚴格管制。
6. 個人電腦使用權限應予以控管,防止使用者不當使用電腦。

 
(三)網路安全管理
1. 開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
2. 利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。
3. 禁止非公發或未經核准之終端設備及可存取資料之設備連接本分署海巡資訊網路或電腦;另不同用途之網路亦不得私自串接。
4. 無線存取網路在未訂定相關規範前禁止連接本分署任何網路。
5. 電子郵件或資料傳送機敏性資料時,應依國家機密保護法規定以國家認可加密機制傳送。
6. 禁止使用點對點傳輸協定(Peer to Peer,P2P)及即時通訊軟體。
7. 禁止以私人名義申租語音、數據線路意圖規避資通安全稽核進行通信及傳輸資料。

 
(四)系統存取控制
1. 訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
2. 離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
3. 建立系統使用者註冊管理制度,加強使用者通行密碼管理,使用者通行密碼應定期更新。
4. 原則禁止服務廠商以遠端登入方式進行系統維護,必要時應簽會「風險處理分組」同意,並加強安全控管及建立人員名冊,以課其相關安全保密責任。
5. 本分署各項資訊系統及資料存取應以海巡公開金鑰基礎建設(CGPKI)配合目錄服務(Directory Service)為基,建置單一登入(Single-Sign On)及資料安全權限控管機制。
6. 機敏性資訊處理應採實體隔離資訊作業環境。

 
(五)應用系統開發及維護安全管理
1. 自行或委外開發系統,應在系統生命週期之初始階段,即將資通安全需求納入考量。
(1)程式開發階段:應設計系統各項防護措施符合系統的需求,並避免已知的漏洞或錯誤;避免在系統操作的過程中,洩漏系統環境、預設參數及作業程序的設定資訊;必須有適當的保護措施,以防止洩漏系統內的機敏性資料。
(2)系統測試階段:應依據系統各項控管機制與防護措施,進行攻擊模擬與安全測試,並留存相關紀錄;若與其他既有系統進行界接或資料交換,應檢測既有系統保護措施執行成效及受影響的範圍,並留存相關紀錄。
(3)系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。

2. 對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。

3. 委託廠商建置及維護重要之軟硬體設施,應在本分署相關人員監督及陪同下始得為之。

 
(六)資訊資產安全分級管理
1. 建立與資訊系統有關的資訊資產目錄,訂定資訊資產的項目、擁有者及安全等級分類等。
2. 依據國家機密保護、個人資料保護及政府資訊公開等相關法規,建立資通安全等級之分類標準,以及相對應的保護措施。
3. 已列入安全等級分類的資訊及系統之輸出資料,應標示適當的安全等級以利使用者遵循。

 
(七)實體及環境安全管理
就設備安置、周邊環境及人員進出管制等,訂定實體及環境安全管理措施。

(八)專案資訊安全管理
不論專案之類型,在專案管理方法中應將資訊安全納入考量,以確保識別並處理資訊安全風險作為專案管理的一部分。

(九)業務永續運作計畫之規劃與管理
1. 各業務單位應訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。
2. 建立資通安全事件緊急通報、處理機制,在發生資通安全事件時,應依規定之處理程序,立即向「風險處理分組」或各級資訊單位人員通報,採取反應措施,並依需要聯繫檢警調單位協助偵查。
3. 依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資通安全措施。
4. 應依法令及業務成長需求規劃儲存及備份系統,並應建立異地備援機制,並定期實施演練。

 
(十)資通安全稽核
1. 本分署「稽核分組」應就本分署業務性質確立稽核項目及範圍,並訂定相關之稽核計畫或作業程序。
2. 為使資通安全政策能落實,應定期或不定期進行資通安全內部及外部稽核作業。
3. 為稽核資通安全政策是否落實執行,得於網路或使用者電腦架設各項稽核管理機制,以確保資產遭受危威脅或侵害時之可歸責性(accountability)。

 
(十一)委外廠商管理
應依照委外廠商所提供之產品與服務類型,識別存取本分署資訊或資訊處理設施之各項資訊安全要求,及明訂合約及協議中,同時應定期審查合約及協議所要求之內容,是否已反映本分署對資訊保護之需求。

九、違反資通安全政策懲處:
本分署同仁違反資通安全政策者,應依「海岸巡防機關人員獎懲標準表」相關條文辦理懲處作業,委外人員違反本分署資通安全政策者,應依合約條款或發函告知所屬企業或組織處理,細部懲處作業參考標準應由本分署「資通安全推動組」審議修訂。

十、資通安全目標有效性量測:
相關目標達成有效性之測量項目與方法,需經資通安全推動組會議討論訂定,並依「績效管理作業程序書」規範辦理。

十一、政策發布:
本政策應陳本分署資訊安全長核准,且對所有員工及相關外部各方公布及傳達。資通安全推動組統籌規劃政策之溝通,透過各項會議、書面文件及教育訓練等方式傳達,使內部及外部關注者全盤瞭解本政策。