台湾资讯安全手册.docx

《台湾资讯安全手册.docx》由会员分享，可在线阅读，更多相关《台湾资讯安全手册.docx（190页珍藏版）》请在三一办公上搜索。

1、 资 讯 安 全 手 册目 录 页 次 前言3壹、资通安全相关法令一、建立我国资通讯基础建设安全机制计划 7二、行政院国家资通安全会报设置要点(三版新增) 23三、行政院及所属各机关信息安全管理规范(三版新增) 25四、行政院及所属各机关信息安全管理要点(三版新增) 84贰、认识篇一、浅谈网络安全 86二、信息安全的范围 95三、认识病毒 98四、因特网常见的安全问题与防范104五、信息中心灾害回复的认识109六、简介BS7799 129七、有关网络安全二三事 129参、防范篇一、认识病毒码与扫瞄引擎 53二、认识防毒技术 57三、认识加解密技术 63四、站台安全的维护与管理 69五、灾害回复

2、的技术 77六、企业防火墙之建置须知 88七、后门之侦测与防治 166八、电子凭证管理中心 181九、风险评估(三版新增) 183十、企业内计算机安全上十大弱点 189肆、信息篇一、国内相关网站 111二、国外相关网站 112三、入侵信息网站国科会搜集 (三版新增) . 115伍、实战篇一、记黑客入侵之处理与加强措施 117二、信息安全简易检核表 120三、国内各机关信息安全调查统计报告(三版新增) 126四、资通安全稽核实务(三版新增) 133五、手动更新病毒码步骤(三版新增) 133卷末语 241前言 我们都同意这是一个网络时代。基本上，一个数据库服务器在因特网的角色是提供使用者存取正确的

3、数据，而数据库服务器暴露在网络上，谁能把握黑客不会侵入其中动手脚，尤其现在电子商务逐步成形，许多货品的单价、数量，甚至于信用卡签帐的密码、银行账号都可能在付费时曝光或被盗取，一旦为有心人攫取这些信息或将为非作歹，或将窜改运用，其衍生一连串困扰，尤其金融秩序势必遭受影响。是以，社会愈是信息化，信息安全愈是应受重视。早期，因为是专属主机集中化处理业务，纵使on-line实时系统也是以专线方式衔接远处终端机作业，在信息安全的领域偏重计算机中心的灾害回复计划，设立或寻求异地备援中心，制作备份文件以应紧急之需，使企业减少灾后的损失，加速复原速度。此外就是档案密码的内部管理了，预防内部人员侵越存取权限违法

4、攫取信息。今日，因特网发展迅速，电子商务风行，民众购物习惯逐渐融入其中，生活上食衣住行育乐的讯息也在其中，此皆拜开放性系统发展之赐。只是，开放性系统也提供有心人许多入口，于是病毒、黑客混杂其中，入侵网站，散布病毒、窜改网页、窃取机密、瘫痪系统、制造矛盾对立.等恶劣行径，形成信息化挥之不去的阴影。放毒的人由开机型病毒发展到特洛伊型电子邮件病毒，甚至于连.doc档案也不放过，未来更将益形猖獗；而黑客更发展口令密码测试软件，由程序自己去尝试入侵网站。信息业者也不甘坐以待毙，于是防火墙软硬件、防毒侦测程序、加密解密、认证方法等技术也纷纷出笼。彼此，道魔之间展开一场信息安全攻防战。世界各国鉴于波斯湾沙漠

5、风暴中，美国政府之所以能够真正作到运畴于帷幕之中(华府)，决胜于千里之外(波斯湾)之最高作战艺术，无非是借助信息网络之功。是以，信息战或网络战争或将为未来战争屈敌于无形的形式之一，纷纷投入其中之研究。在网络时代，信息安全的课题从入侵途径至数据库攫取数据止，共分四个步骤：（一）网络的通讯安全，（二）网站操作系统的安全，（三）网络伺服主机应用程序的安全，（四）数据文件或数据库的安全。在网络的通讯安全部分，以压缩档或加密的方法保障传输中的数据不被窥探和运用；在网站操作系统的安全部分，除了建立网络防火墙阻隔保护外，也隐藏网站地址以降低风险，以防毒常驻程序随时监督防范；在应用程序的安全上，加强使用者使用

6、权限分级制度，什么人有什么使用权限，并备有异动记录文件（log file）可以追踪何人何时进出存取数据库(文件)；在数据库(文件)的安全保护方面，以使用者等级区分，再以加密的方式存放数据或以只读方式允许使用者读取数据。近来国内偶有网站受侵扰之情事发生，大都以网页被窜改的情况居多，经复原后损害不大。本中心为未雨绸缪，仿Y2K教战手册模式编辑信息安全手册加强倡导，呼吁各政府机关和企业团体促使重视信息安全与防范的问题。本中心特搜集相关信息，如：认识病毒、因特网常见安全问题与防范、计算机中心灾害回复计划、.等文章，抛砖引玉，野人献曝，其目的在引发大家对信息安全的重视。我们也在此感谢趋势科技公司、远播信

7、息公司、台华科技，和诸位作者基于公益慨然授权转载他们的专题文章，丰富本手册内容。 行政院主计处电子处理数据中心主任 万镇欧 谨志 90.03.12壹、建立我國資通訊基礎建設安全機制計畫 一、建立我国资通讯基础建设安全机制计划（节录）中华民国九十年一月十七日行政院第二七一八次院会通过建立我国资通讯基础建设安全机制计划壹、 依据：一、奉总统八十九年八月卅日核定建立我国通信息基础建设安全机制案办理。二、依行政院秘书长八十九年九月十五日台八十九科字第二七一七九号函办理。三、依八十九年十二月廿九日行政院NII委员会通过办理。四、奉九十年一月九日院长核定同意办理。五、依九十年一月十七日行政院第二七一八次院

8、会通过办理。贰、前言：（略）为统筹强化我国信息安全能力，国家安全会议于八十九年五月奉总统指示研提建立我国通信息基础建设安全机制建议书，并经总统于八月卅日核定，转送行政院NII小组规划办理。行政院NII小组于八十九年九月份起经十二次召集各部会研讨相关规划作业，提出本计划具体可行方案，并于八十九年十二月廿九日之行政院NII委员会中提报，获得全体委员共识及支持，于九十年一月二日面报 院长，经 院长指导后，本计划之资通安全通报体系即依行政体制于九十年一月份起运作；配合本次院会将本计划内容中之任务目标、保护范畴、组织架构、人力需求、预算需求及时程管制等资料于会议中提报后，即转发各部会确遵执行。参、目的：

9、（略）通信息安全基础建设发展涵盖范围广泛，举凡政治、心理、经济、科技和商业等各领域，均涵括其中。为确实掌握我国政府机关（机构）及重要民间业者之信息及网络系统免遭受破坏或不当使用等紧急事故发生时，能迅速作必要之应变处置并在最短时间内回复正常运作，以降低该事故可能带来之损害；故有必要建立国家层级之通信息安全指挥机制，并结合内政、外交、国防、财政、教育、法务、经济、交通等部会及国家安全局，针对电力、电信、金融、交通等国家基础建设之安全防护，共同研析相关因应作为，为此行政院NII小组特协调各部会积极规划建立国家通信息系统通报及应变机制，以为我国通信息安全提供最佳之保障。肆、保护范畴：在通信息安全的保护

10、议题可概分为下列七个项目：一、安全管理政策。二、物理实体安全。三、人员管理安全。四、安全规章法律。五、硬设备安全。六、软件系统安全。七、网络通讯安全。此外，安全的通信息防护机制必须保护国家的利益与政府的正常运作，例如：金融体系、商务运作、政府服务、水、电、油、瓦斯等供给，紧急救援体系，交通、电信等的正常运作。在军事方面则包括军事的布署能力、运作能力、动员能力以及持久的能力等。在民间方面则能保证不影响民众的权利与日常生活。所以在信息战进行时，我国至少必须能维持下面体系的正常运作：一、政府的正常运作。二、救援体系的正常运作。三、人民日常生活必需品(电信、水、电、油、瓦斯、食物)的正常供给。四、金融

11、体系的正常运作。五、商业的继续进行。为确保通信息基础建设的安全性，主动性防御己成为先进国家通信息安全研究的重心之一，其目标在于：从确保通信息资源的合法存取，到在所有可能遭受通信息攻击的阶段，提供完整(Complete)、未中断的通信息系统运作。，其功能性典范(Functional Paradigm)可经由防护(Resistance)、识别(Recognition)、回复(Recovery)这三个措施着手。伍、计划目标：一、积极防卫通资设施，维护国家运行体制。 二、建立通资安全优势，提升国家竞争力量。 三、坚实通资安全建设，健全网络社群发展。 四、主动侦测安全威胁，降低实质危害因素。 五、建构安

12、全通报体系，强化事前预警机制。六、保障民众隐私权益，促进网络多元发展。 七、增强执法专业能力，有效遏止网络犯罪。陆、执行要点：一、编组专职人员统合推动通信息安全工作及协调组织。 二、律定通信息安全组织职掌及分工。 三、建立通信息安全危机事件通报及预警机制。 四、汇整及发布通报相关信息，供各机关参考运用及早作好预防措施。五、执行国家重要通信息基础设施之安全防护，建立主动侦防能力。六、策订重要通信息设施安全规范及回复重建措施。 七、检讨及增修订通信息安全相关法令、订定通信息安全技术标准及规范，建立产品检验及保证机制。 八、推动通信息安全学术研究及关键技术研发。 九、加强通信息安全人力培训及观念倡导

13、。十、提升执法机关之侦防能力及人力，建立跨国及区域性合作机制。 柒、运作体系架构及职掌：一、于行政院下设立国家资通安全会报，（以下简称资通安全会报），组织架构如附图一，资通安全会报由行政院院长兼任召集人，行政院副院长兼任副召集人，执行长由行政院NII小组总召集人兼任，副执行长二位，一位由总统府国家安全会议派员兼任，一位由行政院主计处电子处理数据中心主任兼任，资通安全会报委员十四员，并由NII小组负责幕僚作业，人员如附表一。二、资通安全会报下设技术服务与综合业务中心、标准规范工作组、稽核服务工作组、信息搜集工作组、网络犯罪工作组及通报应变工作组等六个工作组，分别由经济部、国科会、法务部、主计处及

14、NII小组等单位负责担任各工作组推动工作，定期于资通安全会报中提报及检讨工作执行情形。三、平常时期，技术服务与综合业务中心设立于富阳街，其余各组由主责单位负责编成及运作，组织架构如附图二。四、技术服务与综合业务中心规划编设人力三十七员（技术支持十五员、训练推广二员、技术研发十员、综合业务十员）人员均采专职作业方式，负责资通安全推广训练及技术服务等规划统筹工作，人员于行政院院会审议通过后即刻办理进驻作业。资通安全会报下各单位职掌：（一）、技术服务与综合业务中心（办理单位：小组主责、主计处、国防部、交通部、经济部、财政部、教育部、中科院、资策会、工研院配合协办）、统筹国家层级通信息安全基础建设规划

15、作业。、负责资通安全基础建设作业综合业务。、负责资通安全人力培训及筹组通信息安全技术服务团。、负责资通安全基础倡导及举办相关技术研讨会。、建置资通安全倡导及技术网站并搜集最新通信息安全相关技术。、编订资通安全基本作业手册并协助各机关订定操作系统安全等级。、推动资通安全关键技术研发及学术研究并协助发展我国通信息安全相关产业。、办理资通安全攻防模拟环境建置及相关训练等事项、提供各界资通安全技术咨询服务。（二）、标准规范工作组（办理单位：经济部主责、研考会、国防部、交通部、财政部配合协办）、订定资通安全技术标准。、订定各机关办理资通安全有关作业规范。、规划建置资通安全检测技术。、规划建置资通安全验证

16、方法、规划建置资通安全认证程序。（三）、稽核服务工作组（办理单位：主计处主责、国防部、交通部、经济部、财政部配合协办）、培训资通安全稽核人力。、筹组通资安全稽核服务团。、选定通资安全等级高之操作系统。、对重要系统不定期办理资通安全稽核。、汇编重要系统资通安全稽核报告。（四）、信息搜集工作组（办理单位：国科会主责、中科院、工研院、资策会、相关公协会及民间业者配合协办）、搜集国内外资通安全相关信息。、统计分析资通安全事件资料。、结合技术服务与综合业务中心，研拟并对外提供资通安全防范措施。（五）、网络犯罪工作组（办理单位：法务部主责、调查局、内政部、国防部、交通部配合协办）、指派人员负责资通安全犯罪

17、事件侦查工作。、培训执法人员办理资通安全有关侦防能力。、建立跨国及区域性合作侦防机制。、配合研修网络犯罪相关法规。（六）、危机通报工作组（办理单位：主计处主责、内政部、国防部、交通部、经济部、财政部、研考会配合协办）、建立资通安全事件通报处理程序。、建置资通安全事件通报网站。、建立资通安全事件危及公共安全、社会秩序有关紧急应变程序。、协调技术服务与综合业务中心，提供技术服务。技術服務與綜合業務中心運作規劃示意圖主任副主任管理考核技術服務訓練推廣綜合業務技術研發技術支援綜合業務行政管理推動企劃訓練推廣訓練推廣支援民間企業支援國防單位支援政府單位中華電信研究所學術界、民間企業工研院、資策會中山科學

18、研究院人才培訓推廣服務（科專計畫支持）、建立事前各项资通安全事项通报及预警机制。、统计发布我国资通安全事件及应变程序。 五、国家资通安全应变中心组织架构及运作：（一）、于国家资通安全会报下常态编设国家资通安全应变中心（以下简称资通应变中心），组织运作架构，资通应变中心系一任务编组，召集人由行政院NII小组总召集人兼任，副召集人两员由总统府国家安全会议派员兼任及行政院主计处电子中心主任兼任。（二）、资通安全等级概分为四级：级：影响公共安全、社会秩序、人民生命财产。级：系统停顿，业务无法运作。级：业务中断，影响系统效率。级：业务短暂停顿，可立即修复。（三）、除资通讯安全通报体系于平时依行政体制运作

19、外，紧急状况应变或任务需要时由危机通报工作组（主计处电子中心）负责筹划运作，并依需要进驻资通应变中心，资通应变中心下设危机通报分组、危机救灾分组、行政机关分组、事业机构分组、学术机构分组、国防体系分组、民营机构分组等七个分组，分别由主计处、内政部、研考会、教育部、国防部及交通部等单位担任各分组召集工作。（四）、影响等级级以下时，由主计处(电子中心)负责处理，依需要立即进驻通资应变中心，处理全般状况；当主计处回报影响等级达到级时，由资通应变中心召集人及副召集人，即刻进驻应变中心，处理全般状况。（五）、各分组每季定期召开会议检讨工作执行情形，并负责督导各体系之推动工作，以执行我国资通安全基础建设政

20、策。六、国家资通安全应变中心各分组职掌：主计处担任资通应变中心总召集单位，兼负中心幕僚作业并负责资通安全事前预警机制建立、汇总各分组有关资通安全事件通报、分析报告及协调技术服务组提供相关技术支持等事项。（一）危机通报分组：（主计处担任召集单位）负责规划通报应变作业计划、建立通报体系、办理通报倡导讲习、建立通报网站、汇整、发布通报信息及通资应变中心幕僚作业。（二）事业机构分组：（主计处担任召集单位）负责政府事业单位（如电力、石油、自来水、金融、证券、关贸、航管及瓦斯等）有关通信息安全危机事件通报及相关应变事项。（三）行政机关分组：（研考会担任召集单位）负责政府行政机关有关通信息安全危机事件通报及

21、相关应变事项。（四）学术机构分组：（教育部担任召集单位）负责学校及研究机构有关通信息安全危机事件通报及相关应变事项。（五）国防体系分组：（国防部担任召集单位）负责国防体系有关通信息安全危机事件通报及相关应变事项。（六）民营机构分组：（交通部负责召集单位）负责民营机构中电信网络业者有关通信息安全危机事件之通报及相关应变事项，并协调财政部（有关金融业者）、经济部（有关重点制造业者）对其主管重要目的事业办理通报及相关应变事宜。七、政府各机关（机构）应成立资通安全处理小组，亦属常态任务编组，负责处理安全预防及危机处理相关事宜，其组织架构及职掌如附图四。八、各机关资通处理小组职掌：（一）安全预防：负责搜

22、集资通安全信息、培训资通安全技术、订定各机关系统安全等级、建置资通安全措施、执行资通安全监控等事项。（二）危机处理：负责规划危机处理程序、查明危机事件原因、确定影响范围并作损失评估、执行紧急应变措施、办理危机通报、执行解决办法等事项。运作方式：一、危机通报工作组应建立资通安全通报联络网，由中央各部、会、行、处、局、署、院辖市及县（市）政府等机关指定联络人员，并将基本资料请依附表二格式填妥，径送各分组召集单位，汇整后由主计处汇整建档备用。二、国家资通安全应变中心，于各通资安全等级紧急状况应变时，由主计处负责编成运作，并负责协调技术服务中心与联系各部会、业务单位之安全处理小组通力合作，以解决危机事

23、件。三、各机关应将发生资通安全事件之事实、可能影响之范围、采取之应变措施等事项，实时填具资通安全事件通报单，如附表三，并透过上网、电话、传真或电子邮件等方式传送至国家资通安全应变中心及其主管机关；当系统回复正常运作时，亦需将解决办法透过资通安全事件通报单传送，以解除列管。四、各机关如因资通安全事故发且危及人员生命或设备遭到破坏等涉及民刑事案件时，应及时通报检调单位请求处理；如引发重大灾害时，同时并向危机救灾组或现行灾害防救体系提报，请求支持处理。五、国家资通安全应变中心（主计处电子中心）对于需要支持之单位，视需要项目，由危机通报工作组协调各工作组提供支持。六、国家资通安全应变中心（主计处电子中

24、心）应搜集汇整资通安全通报信息，主动于有关网站公告，并透过媒体对外发布有关讯息。七、技术服务与综合业务中心，负责技术支持各个通报及应变体系处理危机事件。八、国家资通安全会报应定期（每半年至少乙次）召开会议审核与评估通信息安全政策。九、危机通报工作组应依资通安全通报及应变作业流程，如附图五，汇总资通安全事件、分析报告，并评估相关通信息安全政策。附表二否通資訊安全事件解除列管辦理通資訊安全事件結案通報執行解決辦法（单位全衔）资通安全通报网联络人员调查表姓名职 称电话传真电话行动电话电子信箱附表三机关(机构)名称资通安全事件通报单洽询电话： 传真： e-mail: 或径送：台北市广州街二号填报时间：

25、 年 月 日 时 分编号：一、 发生资通安全之机关(机构)联络资料：机关(机构)名称： E-MAIL： 联络人：电话：传真：二、资通安全事件通报事项： 1.事件发生时间： 年 月 日 时 分 2.主机(服务器)数据： IP地址(IP Address)： 网域名称(Domain name)： 主机(服务器)厂牌、机型： 操作系统名称、版本、序号： 因特网信息地址(Web URL)： 已装置之安全机制： 3. 资通安全事件资料：安全等级：级；级；级；级影响等级：级：影响公共安全、社会秩序、人民生命财产。 级：系统停顿，业务无法运作。 级：业务中断，影响系统效率。 级：业务短暂停顿，可立即修复。 事

26、件说明： 可能影响范围及损失评估： 应变措施：三、期望支持项目：四、解决办法：五、已解决时间：年月日时分 資通訊安全事件通報及應變作業流程附图五發現資通訊安全事件確定影響範圍，評估可能損失，判斷是否需要支援啟動緊急應變措施辦理資通安全事件通報資通安全事件通報建檔yN需要支援重大災害通報災害防救體系yN協調資通技術服務組支援y重大事故納入列管通報檢調單位N辦理資通安全事件結案通報資安事件解除列管執行解決辦法國家資通安全會報組織運作架構國家資通安全會報召 集 人：行政院 院長兼副召集人：行政院 副院長兼委 員：相關部會首長及北高市長執 行 長：行政院NICI小組總召集人兼副 執 行 長：國家安全會

27、議派員兼行政院主計處電子處理資料中心主任兼國家安全會議顧問綜 合 業 務 組（NICI小組）國家資通安全應變中心網路犯罪工作組危機通報工作組技術服務中心資訊蒐集工作組稽核服務工作 組標準規範工作組危機通報分組等六組主計處(電子中心)內政部國防部交通部財政部經濟部教育部衛生署研考會.經濟部主計處國防部交通部財政部教育部中科院工研院電信研究所資策會民間業者法務部內政部國防部交通部 國科會中科院工研院資策會相關公協會民間業者主計處(電子中心)國防部交通部經濟部財政部 經濟部研考會國防部交通部財政部國家資通安全應變中心召 集 人：國家資通安全會報執行長兼副召集人：國家安全會議派員兼副召集人：國家資通安

28、全會報副執行長兼危機通報工作組（行政院主計處電子中心）危機通報分組召集單位：主計處行政機構分組召集單位：研考會事業機構分組召集單位：主計處學術機構分組召集單位：教育部民營機構分組召集單位：交通部國防體系分組召集單位：國防部一、規劃通報應變作業計畫二、建立通報體系三、辦理通報宣導研討會四、建立通報網站五、彙整及發布通報資訊負責國防體系資通安全危機事件通報及相關應變事項負責民營機構(網路通信業、金融業、證券業、電信重點製造業) 資通安全危機事件通報及相關應變事項負責學校及研究機關資通安全危機事件通報及相關應變事項負責政府事業機構(電力、石油、自來水、金融、證券、關貿、航管、瓦斯) 資通安全危機事件

29、通報及相關應變事項負責政府行政機關資通安全危機事件通報及相關應變事項政府各機關（機構）資通安全處理小組組織架構及職掌 國家資通安全應變中心各機關(機構) 資通安全處理小組危機處理安全預防一規劃危機處理程序二查明安全事件原因三確定影響範圍並作損失評估四執行緊急應變措施五辦理安全事件通報六執行解決辦法一蒐集資通安全資訊二培訓資通安全技術三訂定系統安全等級四建置資通安全措施五執行資通安全監控二、行政院国家资通安全会报设置要点 中华民国九十年十二月二十一日台九十经字第六九五七九一号一、行政院(以下简称本院)为积极推动国家信息通信安全政策，加速建构国家信息通信安全环境，提升国家竞争力，特设国家资通安全会

30、报（以下简称本会报）。二、本会报设综合业务组（本院国家信息通信发展推动小组负责）、标准规范工作组（经济部负责）、稽核服务工作组（本院主计处电子中心负责）、信息搜集工作组（本院国家科学委员会负责）、网络犯罪工作组（法务部负责）、危机通报工作组（本院主计处电子中心负责）及技术服务中心（经济部负责），负责下列事项之政策研究、协调、联系、策划、整合及推动：(一)提高资通安全决策层次，编组专职人员统合推动协调相关工作。 (二)强化政府资通安全防护，律定资通安全组织职掌及分工。 (三)建立资通安全危机事件通报及预警机制，建立全民防护体系。 (四)汇整及发布相关信息供各机关参考并妥采预防措施。 (五)执行国

31、家重要信息通信基础设施之安全防护，建立主动侦防能力。 (六)策订重要信息通信设施安全规范及回复重建措施。 (七)检讨及增修订资通安全相关法令、订定资通安全技术标准及规范，建立产品检验及保证机制。 (八)推动资通安全学术研究及关键技术研发，促进资通安全产业发展。 (九)加强资通安全人力培训及观念倡导。(十)提升执法机关之侦防能力及人力，建立跨国及区域性合作机制。(十一)推动国家凭证认证体系，建立安全及可信赖之认证环境。(十二)督导资通安全计划之执行。三、本会报置总召集一人，由本院院长兼任；副总召集人一人，由本院副院长兼任；置委员十四人，由院长指派政务委员或有关机关首长兼任。四、本会报置执行长一人

32、，由本院国家信息通信发展推动小组总召集人兼任，承总召集人之命，综理本会报有关业务；置副执行长二人，分别由国家安全会议派员及本院主计处电子处理数据中心主任兼任，襄助执行长综理本会报有关业务；本会报幕僚作业，由综合业务组负责。五、各工作组得置召集人一人，由主责机关之委员担任之，并依需要订定各组作业规范。六、本会报为广征产学研各界学者专家意见，得设国家资通安全技术咨询委员会，以有效推动资通安全技术相关工作，其作业注意事项另定之。七、本会报总召集人、副总召集人、执行长、副执行长、委员及各组召集人，均为无给职。八、本会报应定期（每半年至少一次）召开会议，审核及评估通资安全政策；有重大议题时，得视业务需要

33、召开临时会议。三、行政院及所属各机关信息安全管理规范 88/11/16行政院研考会（88）会讯字第05787号函颁 壹、信息安全政策制定及评估一、信息安全政策制定 （一）应依据计算机处理个人数据保护法、国家机密保护办法与行政院及所属各机关信息安全管理要点等有关法令，衡酌机关业务需求，参考本规范订定信息安全政策，研订信息作业之安全水平，并以书面、电子或其它方式通知员工及与机关连线作业之有关机关（构）、厂商。（二）制订信息安全政策，应至少包括下列事项：1、信息安全之定义、信息安全之目标及信息安全之范围等。 2、信息安全政策之解释及说明，信息安全之原则、标准，以及员工应遵守之规定，包括： （1）政府

34、法令及契约对机关信息安全之要求及规定。 （2）信息安全教育及训练之要求。 （3）计算机病毒防范之要求。 （4）业务永续运作计划。 3、推行信息安全工作之组织、权责及分工。 4、员工应负的一般性及特定的信息安全责任。 5、发生信息安全事件之紧急通报程序、处理流程、相关规定及说明。二、信息安全政策之评估 （一）制订之信息安全政策，应定期进行独立及客观的评估，以反映政府信息安全管理政策、法令、技术及机关业务之最新状况，确保信息安全之实务作业，确实遵守信息安全政策，以及确保信息安全实务作业之可行性及有效性。 （二）信息安全政策评估作业，可责由具有专业技术及知识之内部稽核单位、独立客观的资深主管人员，或

35、是委请公正超然的民间专业组织或团体，进行信息安全政策执行成果之评估。 （三）应定期对所属单位及人员进行信息系统及技术应用之安全评估，以确保其遵守信息安全政策及规定。 1、应列入信息安全评估的对象如下： （1）信息设施及系统提供者。 （2）信息及数据拥有者。 （3）使用者。 （4）管理者。 （5）系统维护者。 （6）其它有关人员。 2、信息系统拥有者应配合定期的信息安全评估，检讨相关人员是否遵守机关信息安全政策、规范及有关安全规定。 3、应定期检讨及评估各项软、硬设备的安全性，以确保其符合机关订定的安全标准；评估对象应包括操作系统之评估，以确保系统软件及硬件的安全措施，正确及有效地执行。 4、如

36、专业人力及经验不足，得委请民间专业组织团体或学者专家之协助。 5、系统安全评估应由具有专业知识及丰富经验的系统工程人员，在权责主管人员的监督下，以人工的方式执行，或是以自动化的软件工具执行安全检查，产生技术评估报告，以利日后解读分析。（四）信息安全政策及规定之宣达 1、信息安全政策及人员在信息安全应扮演之角色及责任等有关规定，应在工作说明书或有关作业手册中载明。 2、工作说明书或作业手册规定之信息安全政策、说明及规定，应包括执行及维护信息安全政策的一般性责任规定、保护特定信息资产的特别责任规定，以及执行特别安全程序及作为的特别责任规定。 3、员工如违反信息安全相关规定，应依纪律程序处理。 贰、

37、信息安全组织及权责信息安全组织 （一）应指定副首长或高层主管人员，负责推动、协调及督导下列信息安全管理事项： 1、信息安全政策之核定、核转及督导。 2、信息安全责任之分配及协调。 3、信息资产保护事项之监督。 4、信息安全事件之检讨及监督。 5、其它信息安全事项之核定。 （二）得视需要成立跨部门信息安全推行小组，推动下列事项： 1、跨部门信息安全事项权责分工之协调。 2、应采用之信息安全技术、方法及程序之协调研议。 3、整体信息安全措施之协调研议。 4、信息安全计划之协调研议。 5、其它重要信息安全事项之协调研议。 信息安全组织权责 （一）信息安全责任分配 1、 应订定保护个人信息资产及执行特

38、定信息安全作业，有关人员应负之责任。 2、 应订定有关人员在信息安全作业应扮演之角色，责任分配之一般性指导原则，以作为各单位之权责分工依据。3、 每一系统应指定系统拥有者，并课予必要的安全责任。4、 应明定每一管理者应负的信息安全责任。5、 应订定每一系统的信息资产项目，并订定必要的安全程序及措施。6、 应指定每一项信息资产及信息安全程序的管理人员，并以书面、电子或其它方式告知其责任。7、应订定信息安全之授权规定、授权等级及授权程序等，并以书面、电子或其它方式记录之。（二）信息安全分工原则 1、信息安全管理之分工原则如下： （1）信息安全相关政策、计划、措施及技术规范之研议，以及安全技术之研究

39、、建置及评估相关事项，由信息单位负责办理。 （2）数据及信息系统之安全需求研议、使用管理及保护等事项，由业务单位负责办理。 （3）信息机密维护及稽核使用管理事项，由政风单位会同相关单位负责办理。 2、设有稽核单位者，稽核使用管理事项由稽核单位会同政风单位办理。 3、未设置信息及政风单位者，由机关首长指定适当的单位及人员负责办理信息安全管理事项。 4、业务性质特殊者，得视实际需要由首长调整上述信息安全分工原则。（三）信息设施之使用授权 1、引进及启用新信息科技（如软件、硬件、通信及管理措施等），应于事前进行安全评估，了解新信息科技之安全保护措施及水平，并依行政程序经权责主管人员核淮，始得引用，以

40、免影响既有的信息安全措施。 2、新信息科技设施之使用，应依下列行政程序办理： （四）跨机关之合作及协调 1、信息安全管理人员应与外部的信息安全专家或顾问加强协调联系，相互合作，分享经验，以评估机关可能面临的信息安全威胁，据以研拟及推动信息安全实务措施。 2、应与业务密切相关的机关、执法机关、信息服务提供者及通信机构等，建立及维持适当的互动管道，以便在发生信息安全事件时，能迅速获得外部的资源协助，实时解决相关问题。 3、记载信息安全事项之有关文件或信息，在提供外界使用及进行经验交流时，应予适当的限制，以防止载有信息安全细节的敏感性信息，遭未经授权的人员取用。（五）信息安全顾问及咨询 1、信息安全

41、人力、能力及经验，如有不足之处，得委请外界的学者专家或民间专业组织及团体，提供信息安全顾问咨询服务。 2、对委请信息安全顾问，或负责信息安全之人员，各单位及人员应予必要的协助及支持。参、人员安全管理及教育训练一、人员进用之评估 （一）人员进用之安全评估 1、进用之人员，如其工作职责须使用处理敏感性、机密性信息的科技设施，或须处理机密性及敏感性信息者，应经适当的安全评估程序。 2、人员进用之安全评估参考项目如下： （1）个人性格。 （2）申请者之经历。 （3）学术及专业能力及资格。 （4）人员身分之确认。 （5）财物及信用状况。（二）机密维护之责任约定 1、员工使用信息科技设施，应依相关法令课予机密维护责任，并应尽可能签署书面约定，以明责任。 2、当人员任用及约聘雇条件或契约有所变更时，尤其是人员离职或是约聘雇用契约终止时，应重新检讨机密维护责任约定之妥适性。二、使用者信息安全教育训练 （一）信息安全教育训练 1、应定期对员工进行信息安全教育及训练，促使员工了解信息安全的重要性，各种可能的安全风险，以提高员工信息安全意识，促其遵守信息安全规定。 2、应以人员角色及职能为基础，针