按Enter到主內容區
:::

臺中市政府數位發展局

查詢
:::
現在位置 首頁 > 資訊業務 > 資訊安全與基礎建設 > 資安宣導專區 > 資安政策
  • 友善列印
  • 回上一頁
分享

臺中市政府數位發展局資訊安全政策

壹、 目的


臺中市政府數位發展局 (以下簡稱本局) 資訊相關系統設備除提供內部人員作業處理外,亦透過電腦網路提供與市民互動之溝通管道,其相關資訊系統作業應用之持續性運作,攸關本局形象及市政業務推動,故訂定本資訊安全政策(以下簡稱本政策),作為資訊安全工作之指導方針,藉以降低資訊風險。


貳、 適用範圍


本政策適用於本局同仁、接觸本局資通訊業務及提供服務之廠商與第三方人員。


參、 作業內容


一、 政策聲明
(一) 為確保資訊系統安全及建立可信賴之環境,相關使用者需經過正常程序之申請授權,方能閱讀或存取授權範圍內之機敏資訊,期間並保障資訊於處理、傳輸、儲存之過程中皆能正確無誤之使用,及避免資訊與系統被無意或惡意之竄改或變更,並確保智慧財產權及個人資料都能得到妥適的保護,避免不當的使用。
(二) 對於個人資料之蒐集、處理及利用,將依相關法令之規定,僅就其特定目的之用,不會恣意對其他第三者揭露。
(三) 以簡單且容易記憶並符合資訊安全管理為原則,訂定本政策聲明口號:
機密資料保護好,資安管理不可少,持續服務為首要,養成習慣沒煩惱。
二、 目標
(一) 依據資訊安全管理系統 (Information Security Management System , ISMS) 之精神與要求,作為本局推廣資訊安全管理制度之基礎準則。
(二) 確保本局相關資訊系統之資料的機密性 (Confidentiality) 、完整性 (Integrity) 、可用性 (Availability)與法規/合約(Legal),以達正常持續運作之目標。
(三) 依據 PDCA (Plan、Do、Check、Action)流程模式,以循序漸進及週而復始的精神,確保本局資訊業務運作之有效性與持續性,並訂立資訊安全目標量測機制,期能不斷精進。
三、 作業流程執行與要求
(一) 高層支持:
推動資訊安全管理,必須由高層主管支持與參與。
(二) 政策先行:
列出優先實施範圍,逐步推廣與落實。
(三) 全體共識:
充分了解資訊安全管理制度的重要性,建立使命感。
(四) 教育訓練:
適度資訊安全教育訓練,加強資訊安全管理觀念與技能。
(五) 定期稽核:
透過稽核程序,發現資訊安全問題,提出改善建議,降低資安風險。
(六) 適時改善:
發生資訊安全問題,即時研商對策,謀求改善機制,健全資訊安全管理制度。
(七) 電腦病毒及惡意程式之防範:
1. 事前預防及保護措施,防制及偵測電腦病毒及惡意程式侵入。
2. 建立個人電腦使用規範及適當宣導,促使同仁正確認知電腦病毒及惡意程式的威脅並提升資訊安全警覺。
(八) 重要資訊備份:
1. 正確及完整的重要備份資料,除存放在主要的作業場所外,應另外存放在不同的安全場所,以防止主要作業場所發生災害時可能帶來的傷害。
2. 不定期測試並還原重要備份資料,以確保可用性與完整性。
3. 重要資料的保存時間,以及檔案的保存需求,由資料擁有者研提及控管。
(九) 資訊交換:
1. 資訊資料交換應有妥善安全措施,以防止資料遭破壞、誤用或未經授權存取。
2. 確保傳送過程中之實體媒體安全,不受未經授權的存取、誤用或毀損。
(十) 營運資訊保護:
使用辦公室電子設備(含影印機與傳真機),應注意資訊安全; 產出機敏性文件時,應全程監看並於產出後妥善收存。
(十一) 存取控制:
1. 訂定系統存取授權規定,並告知使用者相關之權限及責任。
2. 人員異動或職務調整時,應依系統存取授權規定,限期調整其權限。
3. 強化使用者通行密碼管理並定期更新。
4. 使用機敏性媒體應於離開座位時放置安全處所,避免未授權者取閱;電腦設施亦應設置螢幕保護機制並設定密碼保護,於離開操作後限定時間內啟動。
5. 除申請核准之事由外,不得攜帶可攜式之儲存裝置或個人筆記型電腦進入資訊機房,避免機敏資料外流。
6. 辦公桌面、伺服器及個人電腦螢幕應保持淨空,不置放機敏性文件。
(十二) 電腦網路服務的使用:
1. 被授權的電腦網路使用者,只能在授權範圍內存取電腦網路資源。
2. 訂定電子郵件使用規定,機敏性資料不宜以電子郵件方式傳送。
(十三) 行動通訊及遠距工作:
未經授權禁止於資訊機房內使用行動式通訊設備及以遠端連線方式存取本局之資訊資產。
四、 溝通或傳達
為使本局之政策、需求及目標能有效地傳達到與業務相關之關注方,將利用媒體、函文、會議、網頁、電子郵件及文宣等途徑,進行彼此關注議題討論及溝通,於必要時得邀請相關人員參與,並留存紀錄做為後續之依據。
五、 政策修訂
本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全管理實務作業之可行性及有效性。