按 Enter 到主內容區
:::

交通部運輸研究所Institute of Transportation, MOTC

:::
  • 小字級
  • 中字級
  • 大字級
  • 列印
  • facebook
  • plurk
  • twitter

資訊安全政策

交通部運輸研究所(以下簡稱本所)為強化資訊安全管理,特依據「行政院及所屬各機關資訊安全管理要點」,訂定本作業須知。

資訊安全管理之定義

所謂資訊安全管理係將管控程序及安全防護技術應用於各項資訊作業,以及作業執行時所使用之系統軟、硬體設備與存放資料之檔案媒體,以確保資訊蒐集、處理、傳送、儲存及流通之安全。

資訊安全管理之目標

確保電腦使用安全、維護資訊機密及加強作業管制,俾使整體資訊業務順利運作,永續營運,進而建立安全及可信賴之電子化政府。

資訊安全管理之範圍
  • 資訊安全政策訂定。
  • 資訊安全權責分工。
  • 人員管理及資訊安全教育訓練。
  • 電腦系統安全管理。
  • 網路安全管理。
  • 系統存取管制。
  • 系統發展及維護安全管理。
  • 資訊資產安全管理。
  • 實體及環境安全管理。
  • 資訊安全稽核。
資訊安全管理組織

本所資訊安全長由所長指派一名副所長擔任,並設「資通安全處理小組」,由資訊安全長擔任召集人,主任秘書擔任副召集人,運輸資訊組組長擔任執行長,港灣技術研究中心第三科科長擔任副執行長,小組成員由綜合技術組、運輸工程組、運輸計畫組、運輸經營管理組、運輸安全組、港灣技術研究中心、秘書室、人事室及會計室等9個組室主管擔任委員,負責制定與定期評估本所資訊安全政策,並統籌資訊安全計畫及資源調度等事項之協調與研議;本所運輸資訊組及港灣技術研究中心之資訊人員擔任組員,負責執行各項資訊安全業務。

電腦系統安全管理
  • 本所各單位辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
  • 本所各單位對系統變更作業,應建立控管制度,並建立紀錄,以備查考。
  • 本所各單位應依相關法規或契約規定,複製及使用軟體,並依據本所軟體管理作業須知相關規定辦理。
本所網路連線管理
  • 本所人員因業務需要須使用本所資訊服務(如:電子公文等),於填寫相關申請表後循申請程序提出申請,並於審查核可後,由系統管理者據以建立資訊服務對應之帳號及授與對應之使用權限
  • 同仁完成網路帳號登錄後方可使用網路之公共空間資源,並進行檔案交換及各項軟體安裝。
  • 離職人員之網路帳號,自離職日起由本所資訊人員取消使用。
  • 網路連線設定方式,請參閱本所登載於INTRANET之資訊安全計畫同仁注意事項。
  • 本所網路連線係屬政府網際服務網(GSN),該連線服務係作為機關網際網路環境連網公務使用,嚴禁本所同仁運用本所網路資源,從事任何非公務用途之行為。
  • 本所嚴禁同仁自行架設無線網路基地台主機(Access Point,AP),如確因業務需要,須經本所資訊人員測試,並簽奉核可後方可使用,以免造成網路安全漏洞,及影響同仁網路之使用。
  • 可介接本所現行已提供有線網路服務之資訊設備,禁止以其他各種連線方式(如3G、4G、iTaiwan、WiFi網路、ADSL、專線等)存取外界網路,若有其他連線需求須簽奉核可後方可使用。
電子郵件(E-Mail)管理
  • 本所人員若有電子郵件系統帳號之需求,需填列相關表格循申請程序提出申請,並於審查核可後,由本所電子郵件系統管理者據以進行帳號之建立、取消或調整等作業
  • 離職人員之E-Mail帳號,自離職日起兩週後,由本所資訊人員取消使用。
  • 同仁應依本須知第九點規定設定E-mail密碼並定期變更。
  • 本所電子郵件伺服器已對有附加檔之電子郵件先預作掃毒措施,但使用者仍應儘量避免讀取來歷不明的文件檔或含有巨集檔案之郵件,以防範病毒夾雜其中侵入。
  • 個人電腦掃毒軟體應啟動POP3郵件掃描功能。
  • 機密或敏感性資料以電子郵件傳送,應先加密處理再傳遞。
密碼、通行碼管理
  • 本所同仁所使用之個人電腦均應設定開機通行碼、區域網路通行碼,以及螢幕保護程式密碼。
  • 通行碼資料應自行妥為保管,不得明文寫下張貼於辦公室明顯處。
  • 密碼與通行碼應視為機密文件,且每半年至少更改一次。
  • 重要資料庫之通行碼或密碼,至少設定八碼以上,且必須由英文字母與數字符號混合構成。
  • 使用者三次登入通行碼失敗後,系統將採停止其使用或暫停一段時間之使用,並將全部錯誤資料收錄於紀錄檔(log)中,以便日後查詢,同仁若欲再使用,請洽本所資訊人員辦理。
防毒安全處理機制
  • 本所各項主機、個人電腦應全面安裝防毒軟體,防毒軟體應具備自動即時更新掃毒引擎及病毒碼之功能。
  • 有關病毒最新資訊,應由本所資訊人員登錄於INTRANET以供同仁確認掃毒引擎及病毒碼已更新至最新版本,若無法自動更新,請即洽本所資訊人員處理。
個人電腦使用規定及相關安全基本設定
  • 個人電腦瀏覽器應設定Java不啟動。
  • 個人電腦應設定Outlook Express電子郵件不要勾選自動傳送。
  • 個人電腦資料夾應儘量不要設資源分享,若必要設資源分享時,應設成唯讀且須密碼保護,並於連線完畢後即刻關閉資源分享。
  • 同仁應避免自網路下載電子遊戲軟體、螢幕保護程式與其他非法軟體,以防止中毒或被植入木馬程式。
  • 同仁每週至少應至微軟Windows Update網站更新一次作業系統軟體,或當瀏覽器自動通知有重大更新訊息時,應即刻更新以修補相關漏洞,確保安全。
  • 本所禁止同仁於公務電腦安裝使用P2P分享軟體。
  • 本所禁止同仁在家利用家用電腦辦理機敏業務。
系統存取控制管理
  • 本所對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。
  • 本所之重要資料委外建檔,不論在機關內外執行,均應採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
  • 本所應建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業;電腦系統中之稽核紀錄檔案,應禁止任意刪除及修改。
  • 本所電腦之登入,以授予一般使用者權限之帳號為原則,若有需更高權限之帳號,需經申請審查核可後,方能據以取得較高權限之帳號;平時作業以一般使用者權限之帳號登入為原則,必要時方以較高權限之帳號登入,以降低資安相關風險。
系統發展及維護安全管理
  • 本所自行開發或委外發展系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
  • 本所所開發及維護之網頁(Web)應用程式,須經原始碼檢測工具掃描檢測,其檢測結果均不得存在國際網頁應用程式安全組織OWASP最新公布前10大(T0P10)之弱點,若存在弱點之「深度分佈0~3」及「嚴重性分佈-高」者,亦不得上線;其餘檢出之次要弱點,限於上線後3個月內完成改善工作。
  • 本所對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。如因實際作業需要,得由系統管理人員核發短期性及臨時性之系統辨識及通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。
  • 本所委託廠商建置及維護重要之軟硬體設施,應在該系統相關承辦人員監督及陪同下始得為之。
  • 本所應建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依本所「資通安全事件通報程序」(附件一),立即向權責主管單位或人員通報,採取反應措施,並聯繫檢警調單位協助偵查。
  • 資訊系統進行開發、維護等階段之相關作業,皆應遵循本所應用資訊系統開發維護安全管理規範。
電腦機房(資訊中心)門禁管制措施
  • 電腦機房進出應設置機房進出登記簿,以進行人員管制。
  • 電腦機房應設置機房日誌以記錄異常狀況資料(其內容如:開機發現異常記載、發現非授權人試圖登入、溫度異常、掃毒結果記載、設備異常等記載),並由專人管理。
  • 電腦機房日誌應定期陳閱,並對記載續辦處理事項應賡續追蹤處理。
電腦教室使用規定

本所同仁如欲使用電腦教室舉辦電腦相關教育訓練,可洽本所資訊人員安排,並告知所需軟硬體規格,以利準備事宜。

本所人員管理
  • 本所應針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升資訊安全水準。
  • 本所每人每年之資安教育訓練(含實體或網路教學)學習時數依規定一般正副主管為 2 小時,資訊人員為 6 小時,資安人員為 12 小時,一般同仁為 3 小時。
  • 電子郵件社交工程攻擊演練結果之開啟惡意郵件、附加檔或點選連結人員,需再接受社交工程防範相關教育訓練。
  • 本所應加強資訊安全管理人力之培訓,提升資訊安全管理能力。資訊安全人力或經驗如有不足,得洽請學者專家或專業機關(構)提供顧問諮詢服務。
  • 資訊人員任用結束、約聘條件或契約終止時,應斟酌情形重新檢討資訊機密維護之妥適性。
  • 本所人員,如其工作職責須使用處理敏感性、機密性資訊科技設施,或須處理機密性及敏感性資訊者,應經適當之安全評估程序。
本所人員維護資訊安全及公務機密責任
  • 本須知均屬在本所服務之人員平時應注意事項,本所資訊安全相關規定應以書面、電子郵件、網站公告或其他方式告知,本所人員應遵守本須知訂定之規範及其他相關資訊安全規定,若違反資訊安全相關規定,得依情節輕重提送「資通安全處理小組」討論並建議懲處事宜。
  • 本所人員應遵守維護公務機密之相關法令規定;在職及離退職後,均不得洩漏所知悉之業務機密,或為不當之使用,否則得視其情節輕重予以處分或追究其民、刑事責任。

本所每季辦理一次電腦安全性設定自我查核檢視作業,本所人員依其使用之電腦(含個人電腦、筆記型電腦)就自我查核檢視表之項目,逐一進行查核檢視及填列,並經單位主管核章後,送交運資組進行彙整陳報本所資訊安全長。

本所可攜式設備與媒體(如:筆記型電腦、平板電腦、智慧型手機、隨身碟等)之使用,應依本所「可攜式設備與媒體管理作業注意事項」(附件二)辦理。

本須知提經本所所務會報通過後發布實施,修正時得提本所所務會報通過或簽請所長核准後實施。

回頁首