網站地圖
回歡迎頁

一、目的
　　雪霸國家公園管理處（以下簡稱本處）為強化資訊安全管理，確保資料、系統、設備及 網路安全，建立安全及可信賴之
　　電子化政府，保障民眾權益，特訂定本政策。

二、責任
　（一）由本處最高管理階層訂定及審查本政策。
　（二）由資訊安全管理者透過適當的標準、程序及控制措施以實施本政策。
　（三）本處所有員工、委外服務廠商及第三方人員均須遵守依本政策所訂定之標準、程序 及控制措施，以落實本政策。
　（四）任何蓄意危及本處資訊安全之活動，本處將採取法律行動。

三、為統籌資訊安全管理等事項之協調及推動，成立跨部門之資訊安全推行小組 ...
　　（以下簡稱本小組），本小組之幕僚作業，由資訊單位負責。

四、依下列分工原則，配賦有關單位及人員權責：
　（一）資訊安全政策、計畫及技術規範之研議、建置及評估等事項，由資訊單位負責辦理。
　（二）資料及資訊系統之安全需求研議、管理及保護等事項，由業務單位負責辦理。
　（三）資訊機密維護及安全稽核等事項，由政風單位會同相關單位負責辦理。

五、本政策之範圍如下，有關單位及人員應就下列事項訂定相關管理規範或實施計畫，
　　..... 並定期評估實施成效：
　（一）人員管理及資訊安全教育訓練。
　（二）電腦系統安全管理。
　（三）網路安全管理。
　（四）系統存取控制。
　（五）系統發展及維護安全管理。
　（六）資訊資產安全管理。
　（七）實體及環境安全管理。
　（八）業務永續運作計畫之規劃與管理。

六、人員管理及資訊安全教育訓練
　（一）對資訊相關職務及工作，應進行安全評估，並於人員進用、工作及任務指派時，審 慎評估人員之適任性，並進行必
　　　　要的考核。
　（二）針對管理、業務及資訊等不同工作類別之需求，定期辦理資訊安全教育訓練及宣導， 建立員工資訊安全認知，提升
　　　　資訊安全水準。

七、電腦系統安全管理
　（一）辦理資訊業務委外作業，應於事前研提資訊安全需求，明訂廠商之資訊安全責任及 保密規定，並列入契約，要求廠
　　　　商遵守並定期考核。
　（二）依相關法規或契約規定複製及使用軟體，並建立軟體使用管理制度。
　（三）採行必要的事前預防及保護措施，偵測及防制電腦病毒及其他惡意軟體，確保系統 正常運作。
　（四）採購資訊軟硬體設施，應依國家標準或權責主管機關訂定之政府資訊安全規範，研 提資訊安全需求，並列入採購規
　　　　格。

八、網路安全管理
　（一）開放外界連線作業之資訊系統，應視資料及系統之重要性及價值，採用資料加密、 身分鑑別、電子簽章、防火牆及
　　　　安全漏洞偵測等不同安全等級之技術或措施，防止 資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
　（二）與外界網路連接之網點，應以防火牆及其他必要安全設施，控管外界與內部網路之 資料傳輸與資源存取。
　（三）利用網際網路及全球資訊網公布及流通資訊，應實施資料安全等級評估，機密性、 敏感性及未經當事人同意之個人
　　　　隱私資料及文件，不得上網公布。
　（四）訂定電子郵件使用規定，機密性資料及文件不得以電子郵件或其他電子方式傳送。

九、系統存取控制
　（一）訂定系統存取政策及授權規定，並以書面、電子或其他方式告知員工及使用者之相 關權限及責任。
　（二）離（休）職人員，應立即取消各項資訊資源之所有權限，並列入離（休）職之必要 手續。人員職務調整及調動，應
　　　　依系統存取授權規定，限期調整其權限。
　（三）建立系統使用者註冊管理制度，加強使用者通行密碼管理，使用者通行密碼之更新 周期，最長以不超過六月個為原
　　　　則。
　（四）對系統服務廠商以遠端登入方式進行系統維修者，應加強安全控管，並建立人員名 冊，課其相關安全保密責任。
　（五）建立資訊安全稽核制度，定期或不定期進行資訊安全稽核作業。

十、應用系統開發及維護安全管理
　（一）自行開發或委外發展系統，應在系統生命週期之初始階段，即將資訊安全需求納入 考量；系統之維護、更新、上線
　　　　執行及版本異動作業，應予安全管制，避免不當軟 體、暗門及電腦病毒等危害系統安全。
　（二）對廠商之軟硬體系統建置及維護人員，應規範及限制其可接觸之系統與資料範圍， 並嚴禁核發長期性之系統辨識碼
　　　　及通行密碼。如基於實際作業需要，得核發短期性 及臨時性之系統辨識及通行密碼供廠商使用，但使用完畢後應立
　　　　即取消其使用權限。
　（三）委託廠商建置及維護重要之軟硬體設施，應在本機關相關人員監督及陪同下始得為 之。

十一、資訊資產安全管理
　（一）建立與資訊系統有關的資訊資產目錄，訂定資訊資產的項目、擁有者及安全等級分 類等。
　（二）依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規，建立資訊 安全等級之分類標準，以及相對
　　　　應的保護措施。
　（三）已列入安全等級分類的資訊及系統之輸出資料，應標示適當的安全等級以利使用者 遵循。

十二、實體及環境安全管理 就設備安置、周邊環境及人員進出管制等，訂定實體及環境
　　　安全管理措施。

十三、業務永續運作計畫之規劃與管理
　（一）訂定業務永續運作計畫，評估各種人為及天然災害對業務運作之影響，訂定緊急應 變及回復作業程序及相關人員之
　　　　權責，並定期演練及調整更新計畫。
　（二）建立資訊安全事件緊急處理機制，在發生資訊安全事件時，應依規定之處理程序， 立即向資訊單位或人員通報，採
　　　　取反應措施，並聯繫檢警調單位協助偵查。
　（三）依相關法規，訂定及區分資料安全等級，並依不同安全等級，採取適當及充足之資 訊安全措施。

十四、資訊安全稽核
　（一）應就本處業務性質確立稽核項目及範圍，並訂定相關之稽核計畫或作業程序。
　（二）定期或不定期進行資訊安全內部及外部稽核作業。

十五、本政策至少每年評估一次，以反映政府法令、技術及業務等最新發展現況，確保
　　　資訊安全實務作業之有效性。

十六、本政策自發布日施行。

資料提供：企劃經理課 更新日期：2008.04.30(2)