高雄市政府政風處(以下簡稱本處)為保護本機關相關資訊資產、維護網路資訊系統的正常運作,及保障民眾權益,避免因外在威脅或內人員不當的管理,遭受洩密、破壞或遺失等風險,並保障本處電腦處理資料之機密性與完整性,特制訂本政策。本處所有同仁均應共同遵循,並義務協助推動各項資訊安全政策。
本處資訊安全管理目標
- 維持資訊系統持續運作。
- 防止駭客、病毒等入侵及破壞。
- 防止人為意圖不當及不法使用。
- 避免人為疏失意外。
- 維護實體環境安全。
包含
本處資訊安全範圍應包含「人員管理及資訊安全教育訓練」、「電腦系統安全管理」、「網路安全管理」、「系統存取控制」、「應用系統開發及維護安全管理」及「資訊安全稽核」。
人員管理及資訊安全教育訓練
- 各科室主管人員應負責督導所屬員工落實資訊安全工作,防範不法及不當行為。
- 針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升資訊安全水準及資訊安全意識。
電腦系統安全管理
- 資訊業務委外作業應明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
- 建立軟體使用管理制度,並依相關法規複製或使用軟體。
- 採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。
- 採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府資訊安全規範,並列入採購規格。
網路安全管理
- 為確保市府及本處資通安全防護,本處申請市府電子郵件帳號使用者須保持至少每三個月更新一次市府電子郵件帳號之密碼。
- 使用者應隨時注意電腦作業系統最新漏洞修補程式公告並即時更新,以防駭客病毒藉未修補之漏洞入侵破壞本處網路系統。
- 使用者若發現系統安全有任何缺陷應儘速報告網路管理單位,或資通危安事故時應立即(最遲不得超過三十分鐘)向「資通安全處理小組」反應事實或請求支援,完成內部通報流程。
- 使用者應善用電腦與網路,避免造成電腦資源之過度負荷或網路的壅塞,避免同時間於同一部電腦系統執行過多程式、於網路上傳送多份大型檔案。並不得以任何方式濫用網路資源,包括以電子郵件大量傳送廣告信、連鎖信或無用之信息,或以灌爆信箱、掠奪資源等方式,影響系統之正常運作。
系統存取控制
- 訂定系統存取及授權規定員工及使用者之相關權限及責任。
- 離(休)職人員,應立即取消各項資訊資源之所有權限。
- 建立系統使用者註冊管理制度,加強使用者通行密碼管理。
應用系統開發及維護安全管理
- 委外開發系統,應將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業時應避免電腦病毒等危害系統安全。
- 對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,委託廠商建置及維護重要之軟硬體設施,應在本處相關人員監督及陪同下始得為之。
資訊安全稽核
本處應依業務性質確立稽核項目及範圍,訂定相關之稽核計畫或作業程序,以定期或不定期方式進行資訊安全內部及外部稽核作業,落實資訊安全政策。