高雄市政府主計處(以下簡稱本處)為保護本機關相關資訊資產、維護網路資訊系統的正常運作,及保障民眾權益,避免因外在威脅或內人員不當的管理,遭受洩密、破壞或遺失等風險,並保障本處電腦處理資料之機密性與完整性,特制訂本政策。本處所有同仁均應共同遵循,並義務協助推動各項資訊安全政策。
本處資訊安全管理目標
- 維持資訊系統持續運作。
- 防止駭客、病毒等入侵及破壞。
- 防止人為意圖不當及不法使用。
- 避免人為疏失意外。
- 維護實體環境安全。
包含
本處資訊安全範圍應包含「資訊安全工作之組織、權責及分工」、「人員管理及資訊安全教育訓練」、「電腦系統安全管理」、「網路安全管理」、「系統存取控制」、「應用系統開發及維護安全管理」及「資訊安全稽核」。
推行資訊安全工作之組織、權責及分工
- 為統籌本處資訊安全管理事宜,本小組採常態任務編組,由負責資通安全業務之副處長為召集人,綜理監督事宜,統計專門委員為副召集人,襄助召集人處理監督事宜,另置執行秘書一人,由公務統計科科長兼任,資安聯絡人一人,由公務統計科股長兼任,並由各科及秘書室指派二人,其他室指派一人共同成立。
- 本小組應採取適當之措施以維護網路安全,並評估各種人為或天然災害對本機關之影響,訂定重要資訊資產及關鍵性業務之防災對策及災變復原計畫「高雄市政府主計處資通安全事件危機通報緊急應變作業計畫與程序」,以確保本機關可持續運作,並於發生重 大資通安全事件或其他災害涉及資通安全事件時,立即辦理。必要時,本小組得委請學者專家提供資訊安全顧問諮詢服務及技術支援協助,並依規定支給相關費用。
人員管理及資訊安全教育訓練
- 各科室主管人員應負責督導所屬員工落實資訊安全工作,防範不法及不當行為。
- 針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升資訊安全水準及資訊安全意識。
電腦系統安全管理
- 資訊業務委外作業應明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
- 建立軟體使用管理制度,並依相關法規複製或使用軟體。
- 採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。
- 採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府資訊安全規範,並列入採購規格。
網路安全管理
- 為確保市府及本處資通安全防護,本處申請市府電子郵件帳號使用者須保持至少每三個月更新一次市府電子郵件帳號之密碼,密碼長度至少需8碼以上,並且應具有文數字及符號。
- 機密性及敏感性的資料或文件,不得存放在對外開放的資訊系統中,機密性文件不得以電子郵件傳送。
- 使用者應隨時注意電腦作業系統最新漏洞修補程式公告並即時更新,並啟用防火牆控管外界與內部網路之資料傳輸及資源存取,以阻絕惡意程式入侵破壞本處網路系統。
- 使用者若發現系統安全有任何缺陷應儘速報告網路管理單位,或資通危安事故時應立即(最遲不得超過三十分鐘)向「資通安全處理小組」反應事實或請求支援,完成內部通報流程。
- 使用者應善用電腦與網路,避免造成電腦資源之過度負荷或網路的壅塞,避免同時間於同一部電腦系統執行過多程式、於網路上傳送多份大型檔案。並不得以任何方式濫用網路資源,包括以電子郵件大量傳送廣告信、連鎖信或無用之信息,或以灌爆信箱、掠奪資源等方式,影響系統之正常運作。
系統存取控制
- 訂定系統存取及授權規定員工及使用者之相關權限及責任。
- 對離(休、停)職人員,依據人員離(休、停)職之處理程序辦理,並立即取消使用各項系統資源所有權限。
- 建立系統使用者註冊管理制度,加強使用者通行密碼管理。
應用系統開發及維護安全管理
- 委外開發系統,應將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業時應避免電腦病毒等危害系統安全。
- 對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,委託廠商建置及維護重要之軟硬體設施,應在本處相關人員監督及陪同下始得為之
- 依據智慧財產權之相關規定,規範各種軟體之使用。
資訊安全稽核
本處應依業務性質確立稽核項目及範圍,訂定相關之稽核計畫或作業程序,以定期或不定期方式進行資訊安全內部及外部稽核作業,落實資訊安全政策。