資訊安全政策 - 農業知識入口網

前言

配合行政院為推動各機關強化資訊安全管理， 建立安全及可信賴之電子化政府，確保資料、系統、 設備及網路安全，保障民眾權益。

目的

為確保資訊業務之永續運作，建立資料處理、傳送及儲存之安全環境，本部依據行政院最新核定「行政院所屬各機關資訊安全管理要點」、 國家機密保護法 、 個人資料保護法 、資訊機密維護準則及相關規定與法規，擬定本部之資訊安全管理計畫。

資訊安全政策

本部為達成資訊安全目標訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等，由資訊小組負責辦理 ，並參照「行政院所屬各機關資訊安全管理要點」，每年評估一次，以反映政府法令、技術及業務等最新發展狀況，確保資訊安全實務作業之有效性。 為落實資訊安全管理，本部相關的資訊安全管理，以書面或電子方式告知本部員工、連線作業之公私機構及提供資訊服務之廠商共同遵行。

1. 資訊安全之範圍
   資訊安全的範圍包括(1)管理制度、(2)作業流程、(3)人員、(4)軟體、(5)應用系統、(6)電腦作業系統、(7)硬體、(8)通訊設備、(9)資料、文件、媒體的儲存及(10)實體設施等。
2. 資訊安全管理之範圍
   本部資訊安全管理涵蓋9項資訊安全管理事項，以避免如因人為疏失、蓄意或天然災害等因素，遭致不當使用、洩漏、竄改、破壞等情事，而對本部可能帶來之風險及危害程度。其安全管理事項如下：
   1. 資訊安全組織。
   2. 人員安全與管理。
   3. 資產分類與控管。
   4. 實體與環境安全管理。
   5. 通訊與操作管理。
   6. 存取控制。
   7. 系統開發與維護。
   8. 永續經營管理。
   9. 內部稽查及其他。

資訊安全組織

1. 本部
   依據行政院於八十八年九月十七日核定「行政院所屬各機關資訊安全管理要點」肆、組織及權責規定成立本部資訊安全推行小組，由專責副主任委負責督導；資訊安全協調及推動、由本部資訊小組負責，並請各處室指派ㄧ人負責資訊安全工作。
   1. 資訊安全推行小組負責規劃、執行與控管資訊安全工作，辦理風險評估、安全分級、系統安全控管措施、監督資訊安全管理事項、進行資訊安全政策符合性檢查。
   2. 資訊機密維護及稽核使用管理事項，由本部政風處會同相關單位負責辦理。
2. 附屬單位
   依據(88)台會訊字第034414號函，附屬單位必須指派資訊或適當單位負責，並依本部規定辦理。
3. 委外與第三方[協力廠商]
   依據合約內容配合，本部資訊安全運作。

資產分類與控管

1. 資產可規則性
   1. 重要的資產(含資訊、軟體、實體)均指定專人負責。
   2. 建置資產清冊且隨時更新。
2. 資訊分類
   1. 資訊分級依(區分機密性、敏感性及一般性)並建立資訊安全等級之分類標準。
   2. 配合資訊分級，建立一套符合需要的資訊保護措施。
   3. 對於安全等級要求高的各類資訊，必須標示清楚。

人員安全與管理

1. 工作說明及資源分配安全
   1. 對於人員之進用及調派，進行適當之安全評估。
   2. 對於可存取機密性、敏感性資訊或系統之員工以及配賦系統存取特別權限之員工有妥適分工，分散權責，並實施人員輪調，建立人力備援制度。
   3. 訂定資訊安全員工須知手冊
2. 使用者訓練
   1. 員工必須瞭解單位之資訊安全政策。
   2. 依員工職務層級進行適當的資訊安全講習。
   3. 隨時公告資訊安全相關訊息。
   4. 不定期派員參與外界舉辦相關訓練、研討會、產品展示會。
3. 安全及失效事件反映及處理
   1. 訂定規範員工的資訊安全作業程序與權責(含經管使用設備及作業須知)。
   2. 訂定有關資訊安全狀況授權處理層級。

實體及環境安全管理

1. 安全區域
   1. 電腦機房及重要地區，對於進出人員必須由管理人員作必要之限制及監督其活動。
   2. 訂定電腦機房安全管理規定。
   3. 機密性工作站必須由專人管理。
2. 設備安全
   1. 設備之維護必須由授權之維護人員執行。
   2. 訂定設備安全管理規定。
   3. 需特別保護之設備必須與一般設備區隔。
   4. 對於員工的私人資訊設備作必要之安全控管程序。
   5. 資訊設備之設置必須作安全上之考量。
   6. 檢查及評估火、煙、水、灰塵、震動、化學效應、電力供應、電磁幅射等加諸於設備之危害。
   7. 各項安全設備必須定期檢查，員工必須施予適當的安全設備使用訓練。[陸.2]
3. 一般控制措施
   1. 攜帶型的電腦設備訂有嚴謹的保護措施(如設通行碼、檔案加密、專人看管)並落實執行。
   2. 對於資訊財產攜出辦公處所，訂有安全之攜出管理規則。

通訊與操作管理

1. 作業程序與責任
   1. 訂定各項資訊設備的安全作業程序。
   2. 訂定資訊安全事件通報程序並確實依規定通報。
   3. 資訊處理設備，訂有操作程序及管理責任。
   4. 建立系統變更之程序。
   5. 系統開發及正式作業必須在不同的處理器、不同的系統環境處理，並且使用不同的登入程序。
   6. 與業者簽訂適當的資訊安全協定，賦與相關的安全管理責任，並納入契約條款。
   7. 業務系統之使用、資料建檔、系統操作、網路管理、行政管理、系統發展維護、變更管理、安全管理等工作是必須權分由不同的人員執行。
   8. 對安全要求高的資訊業務必須將資訊安全管理及執行的責任分散。
   9. 伺服器及個人電腦採行必要的事前預防及保護措施。
   10. 資訊安全緊急應變處理程序，包含定期演練及測試。
   11. 訂定電腦當機及服務中斷後之緊急處理程序。
2. 系統規劃與驗收
3. 惡意軟體防範
   1. 定期對電腦系統及資料儲存媒體進行病毒掃瞄。
   2. 伺服器與個人電腦全面使用防毒軟體並即時更新病毒碼。
   3. 軟體授權規定：禁止使用未取得授權的軟體。
4. 日常事務處理
   1. 備份資料使用異地存放，存放於符合安全標準之電腦機房。
   2. 定期輪流測試各類型備份資料以確保備份資料之可用性。
   3. 對重要的資料及軟體定期作備份處理。
5. 網路管理
   1. 使用網路防火牆。
   2. 定期檢測網路運作環境之安全漏洞。
   3. 隨時公告有關電腦網路安全之事項。
   4. 定期檢討電腦網路安全控管事項之執行。
6. 儲存媒體的處理與安全
   1. 儲存媒體依保存規格要求存放在安全的環境。
   2. 對於敏感性資訊之傳送採取資料加密等保護措施。
   3. 指定專人處理內含機密性或敏感性資料的媒體報廢。
   4. 重要電腦資料媒體(含報表)設有專人負責運送並記錄運送時間及內容。
7. 資訊與軟體間交換
   1. 系統文件發送對象必須經由系統負責人的授權。
   2. 系統文件的存取，結合帳號密碼賦予適當的存取權限，保護系統文件的安全。
   3. 對於資料文件及軟體之交換使用，有詳細記載版本、數量及其他詳細相關資訊文件。
   4. 採行電子交換之資料交換須視資料之安全等級採行帳號密碼管制、電子資料加密或電子簽章認證等保護措施。
   5. 敏感性、機密性資料的處理過程均有嚴密的數位簽章、認證及加解密等，安全保護機制。

存取控制

1. 存取控制之營運要求
   1. 訂定開放給外單位作資料存取之程序。
   2. 開放給外單位作資料存取於契約中包含雙方權利義務及違約處分方式。
   3. 嚴格控管因業務需要開放給外單位之存取權限(含其他機關、上下游業者、顧問、維護廠商、委外承包商、臨僱人員)。
   4. 訂定資訊存取控制之政策及相關說明文件。
   5. 資訊存取控制政策符合資料保護等相關法令與契約規定，並依工作性質與職務分別訂定相關規定及原則，且將此資訊存取說明文件列入員工手冊中。
   6. 經過風險評估後才開放給外單位作資料存取。
2. 使用者存取管理
   1. 使用者存取權限的檢視，訂有嚴格管制程序。
   2. 對於使用者註冊資料，隨時更新並保留相關文件資料
   3. 定期檢查並刪除重覆或閒置的使用者帳號。
   4. 本部嚴格管制使用者初次登入電腦系統後必須立即更改預設之密碼。
   5. 對於忘記密碼之處理，有嚴格的身份確認程序。
   6. 對所有同仁宣導，避免使用與個人有關資料（如生日、身份證字號、單位簡稱、電話號碼等）當做密碼。
   7. 密碼的使用須依規定的期限或使用的次數變更密碼。
   8. 對於多人使用之資訊系統，須建立使用者註冊管理程序及紀錄。
   9. 使用者及外單位人員須取得本部正式存取授權。
3. 網路存取控製措施
   1. 本部依個別應用系統安全需求制定安全等級與分類。
   2. 本部依網路型態(Internet、Intranet、Extranet)訂定適當的存取權限管理方式。
   3. 資訊系統與服務儘量避免使用共同帳號。
   4. 明確界定網域的範圍與在該網域上可利用的網路連線服務。
   5. 網路服務須建立完整的使用授權程序。
   6. 規劃建置，專線或固定號碼撥接的使用者連線，使用資訊系統的方式。
   7. 規劃運作將特定輸出入埠(port)之使用者自動連線到指定的應用系統或安全閘道(Security Gateway)做認證或其他安全辨識的工作再進入系統。
   8. 依環境或業務需要，於網路防火牆作適當之設定。
   9. 依業務性質或任務分配來建置邏輯性網域的存取權限機制(如虛擬私有網路VPN或虛擬網路)。
   10. 對外連線須有使用密碼技術(Cryptographic based technique)、硬體符記(Hardware token)、挑戰/回應(Challenge/Response)協定或透過檢查專線用戶位址的設備等鑑別方法以找出連線作業的來源。
   11. 對外連線須有建置回撥(Dial-back)作業程序與控管措施及相關測試。
   12. 管制使用者的連線功能(如網路通訊閘道所設定的規則)
4. 作業系統存取控制措施
   1. 限制登入作業，在一定期間未操作時，即予中斷連線。
   2. 對於異常的登入程序，都留有紀錄(LOG FILE)，並有專人定期檢視。
   3. 系統須於登入作業完成後顯示前一次登入的日期與時間，或提供登入失敗的詳細資料。
   4. 使用者均有專屬的識別碼。
   5. 本部評估採用適當的加解密與生物測定技術提供身份辨別(Identification)鑑別。
   6. 軟體安裝完畢後須立即更新廠商所預設之密碼。
5. 應用系統存取控制措施
   1. 應用系統須具有作業結束後或在一定期間(ㄧ個小時)未操作時即自動登出之保護機制。
   2. 將密碼檔與應用系統的資料檔分開儲存在不同的地方。
   3. 必須經過身份認定程序才能使用系統公用程式。
   4. 系統公用程式與應用程式隔離存放。
   5. 訂定系統公用程式授權程序、授權等級、使用期限，保存系統公用程式使用紀錄。
   6. 須保存系統公用程式使用紀錄。
   7. 對風險性高的應用程式必須限制其連線作業需求
   8. 機密及敏感性資料的處理必須於獨立或專屬的電腦作業環境中執行。
6. 監控系統存取控制措施
   1. 例外事件及資訊安全事件必須建立紀錄。
   2. 事件之記錄內容必須包括使用者識別碼、登入登出系統之日期時間、電腦的識別資料或其網址及事件描述等事項。
   3. 對於系統存取異常時，須留有紀錄並作必要處置。
   4. 須查核系統存取特別權限的帳號使用及配置情形。
   5. 敏感性資料的存取情形須留有紀錄。
7. 行動式電腦作業

系統開發與維護

1. 系統之安全要求
   1. 更正作業系統[hotfix]依正當的授權程序辦理並檢查更正作業妥適與否，以確保更正作業未破壞系統原有的安控措施。
   2. 系統變更後，須主動公告異動的範圍、時間、可能的影響。
2. 應用系統之安全
   1. 應用系統變更後其相關控管措施與程序須檢查仍然有效。
   2. 應用系統在規劃分析時須將安全需求納入考量。
   3. 建立應用程式執行碼的更新紀錄。
   4. 版本更新須保留舊版軟體及系統文件。
   5. 應用程式執行碼更新作業須限定只能由授權的管理人員才可執行。
3. 密碼控制措施
   1. 對高敏感性的資料在傳輸或儲存過程中使用加密技術。
4. 系統檔案之安全
   1. 安全控管方式採用系統自動控管及人工控管兩種方式處理。
5. 開發作業系統的安全
   1. 委外開發合約中須對著作權之歸屬訂有規範內容。
   2. 開發、測試與正式作業須分開使用不同主機。
   3. 訂約時須簽訂履行條款與相關罰則。
6. 訂定軟體使用規範
   1. 修改套裝軟體須確認有無涉及廠商的版權問題。

永續經營管理

1. 訂有明確的緊急應變計畫
2. 擬訂關鍵性業務及其風險評估、衝擊影響、優先順序。
3. 檢討業務停頓的企業損失和備援措施。
4. 指定適當層級主管負責永續經營政策之執行與協調。
5. 定期作風險評估並調整永續經營政策。
6. 分析造成業務停擺的可能危機及損失。
7. 永續經營計畫須配合業務、組織及人員之變更而更新。
8. 建立資訊安全事件之通報作業程序及應變措施。
9. 緊急應變計畫須納入內部教育訓練。
10. 緊急應變計畫復原程序須測試無誤。
11. 永續經營管理須保持人員異動的取代更替。
12. 永續經營管理須隨法令更新。

內部稽查，法規及其他

1. 安全政策與技術符合性之考量
   1. 相關措施必須留下相關記錄檔案供內部稽核。
   2. 定期審閱資訊安全相關的記錄檔案。
   3. 須有專人負責管理與資訊安全相關的記錄檔案。
   4. 使用適當稽查軟體工具檢查所有個人電腦內使用之軟體。
   5. 訂定軟體使用記錄和資料的儲存、處理和報廢的規則。
2. 內部稽核考量
   1. 訂定本部內部稽核管理規定
   2. 定期稽查資訊安全事項辦理情形。
   3. 須訂有資訊安全作業稽查計畫(含稽查內容、範圍、程序、人員)，並公布。
   4. 稽查人員須經過訓練並作事前工作分配。
   5. 稽查時須要額外的資源支援。
   6. 稽查結果：
      1. 清查過系統內與資訊安全相關的記錄檔案
      2. 稽查結果包括背景描述、稽查項目、過程、結果、改進建議等內容。
3. 符合法規要求
   1. 指派專人負責有關個人資料保護法規、組織紀錄保護法、智慧財產權保護法、之蒐集、公告、實施作為。
   2. 訂定組織紀錄管理規定
   3. 資訊安全相關的記錄檔案須訂有保存規範。依照「個人資料保護法」規定辦理。