臺北市政府資訊安全管理手冊

一、 前言：

   近年來由於電子化政府的推動，政府許多行政業務逐漸步向自動
 化、電腦化及資訊化，並運用網路來進行資訊交換，快速的處理日常
 作業，不但改進為民服務的績效，同時亦提昇了整體行政效率；但衍
 生而來的資訊安全問題，卻是未來資訊作業極為重要且應注意的工
 作。因為在資訊化作業的過程裡，稍有差池極易造成資料的誤謬或洩
 密情形，而影響民眾的權益，甚至於國家社會的安危，政府在運用資
 訊科技的同時應該把資訊安全納入整體考量，以防範於未然。

   本府各單位資訊化的程度亦愈來愈深，依賴電腦處理的業務亦已有
 相當深度，加強資訊安全的建置已刻不容緩，為便於各單位在推動資
 訊安全管理時有所依據，遂整理彙編實際運作之重要工作事項及相關
 法規，臚列於后，提供參考。

二、 資訊安全重要基本事項

   各機關除應依相關規定辦理資訊安全相關業務外，平時應就下列基
 本安全項目確實遵守辦理，必要時得配合資訊單位會同政風機關查
 核。
 (一)電腦安全
    1. 各機關電腦設備須指定專人管理，非經核准不得任意使用、
       拆卸及更動週邊設備。
    2. 個人電腦、主機伺服器皆須設定密碼。
    3. 不使用未經授權及來路不明之軟硬體。
    4. 除因公務需要且經權責主管核可外，同仁不得使用點對點
       (Peer-to-Peer,P2P)分享軟體，權責管理單位應不定期派員
       檢視稽核。
 (二)系統安全
    1. 主機系統使用者須設定通行密碼，並限制使用權限。
    2. 主機系統須有事件紀錄管理設施，定期清檢。
    3. 系統作業須訂定明確作業程序管制。
    4. 須維護各階段發展之系統文件及程式說明。
 (三)資料安全
   1. 重要資料須作定期備份。
   2. 重要資料須區分機密等級並依權限使用。
   3. 須安裝防毒措施。
   4. 重要資料交換須有加密及電子簽章的機制。
 (四)網路安全
   1. 網路設備須有專人管理，隨時監測網路的狀況。
   2. 連外網路須安裝安全防護措施，注意可能的漏洞。
   3. 撥接網路須有設定密碼及使用範圍。
   4. 網路主機應關閉非必要的服務程式，隨時更新程式版本。
   5. 禁止利用IM(Instant manager)如MSN等軟體傳輸檔案。
  (五)環境安全
   1. 主機作業環境須有門禁管理。
   2. 主機作業環境須有不斷電措施。
   3. 主機作業環境須有防火防震安全措施。
三、 資訊安全相關法規及辦法

   (一) 行政院及所屬各機關資訊安全管理要點

   (二) 行政院及所屬各機關資訊安全管理規範

   (三) 電腦處理個人資料保護法

   (四) 電腦處理個人資料保護法施行細則

   (五) 政府所屬各級行政機關電腦軟體管理作業要點

   (六) 行政機關電子資料流通實施要點

   (七) 國家機密保護法