|
 |
| |
::: |
|
|
|
壹、基本介紹: |
|
|
|
|
一、 |
定義:鑑於近年來電腦及網路應用已日趨普及,為確保本站有關資料、資訊系統、設備及網路之安全,特訂定本政策,作為本站有關資訊安全管理之準則。 |
|
二、 |
目標:維持資訊系統正常運作並防止駭客、病毒等入侵破壞及防止人為不當與不法使用。 |
|
三、 |
涵蓋範圍:包括人員、應用系統、硬體設備及網路設施等四部分。
(一)人員:含本站正式人員及使用本站資訊資源之委外廠商人員。
(二)應用系統:飛航資訊系統、電子公文交換系統、檔案管理系統及電子郵件等。
(三)硬體設備:各式主機、工作站、伺服器及個人電腦。
(四)網路及其設施:辦公室之區域網路、網際網路之數據專線及相關網路設施。 |
|
四、 |
內容:本政策內容包括如下:
(一)組織及權責分工。
(二)人員管理及教育訓練。
(三)電腦系統管理。
(四)網路管理。
(五)電腦系統之存取控制。
(六)資訊資產之建立。
(七)實體及環境管理。 |
|
|
|
|
|
|
|
|
貳、資訊安全組織及權責 |
|
|
|
|
一、 |
成立資通安全處理小組:本「資通安全處理小組」為常態任務編組,以確保航站資訊系統正常運作,編組如后。
|
成員職稱 |
姓名 |
工作職掌 |
備註 |
|
組長 |
航空站主任 |
綜合掌理計畫推動及督導資通安全工作小組作業 |
|
|
組員 |
翟保華 |
負責資通安全預防、資通危機處理及網路安全管理檢查等作業 |
|
|
組員 |
蔡坤和 |
負責中控室相關設備委外操作及安全管理工作 |
|
|
組員 |
航務員 |
負責AMHS資訊系統操作及安全管理等工作 |
|
|
組員 |
陳紫鈴 |
負責電子公文交換系統及檔案管理系統等操作及安全管理等工作 |
|
|
|
二、 |
|
資通安全處理小組之業務職掌 |
|
(一) |
安全預防:負責蒐集資通安全資訊、培訓資通安全技術、訂定系統安全等級、建置資通安全措施、執行資通安全監控等事項。 |
|
(二) |
危機處理:負責規劃危機處理程序、查明危機事件原因、確定影響範圍並作損失評估、執行緊急應變措施、辦理危機通報、執行解決辦法等事項。 |
|
(三) |
電腦作業系統與網路安全管理:負責系統各項安全措施。 |
|
|
|
|
|
|
|
|
|
參、人員管理及教育訓練: |
|
|
|
|
一、 |
人員安全評估及管理:離職、退休人員,應立即取消其識別碼、通行碼,管制系統使用權限。 |
|
二、 |
|
員工維護資訊安全及公務機密責任: |
|
(一) |
資訊安全政策應以書面、電子或其他方式告知員工,員工應遵守本計畫所訂定之規範及其他相關資訊安全規定。員工若違反資訊安全相關規定,得依情節輕重予以處分。 |
|
(二) |
員工應遵守維護公務機密之相關法令規定;在職及離退職後,均不得洩漏所知悉之業務機密,或為不當之使用,否則得視其情節輕重予以處分或追究其民、刑事責任。 |
|
|
三、 |
資訊安全教育訓練:
依員工職務層級,進行適當的資訊安全講習(如:資訊安全、病毒介紹及其偵防作業等),以提高員工資訊安全意識,促其遵守資訊安全規定。 |
|
|
|
|
|
|
|
|
肆、電腦系統安全管理: |
|
|
|
|
一、 |
|
電腦病毒及惡意軟體之防範: |
|
(一) |
電腦病毒及惡意軟體之控制:伺服器及個人電腦採行必要的事前預防及保護措施,防制及偵測電腦病毒及惡意軟體等的侵入;促使員工正確認知電腦病毒的威脅,提升員工的資訊安全警覺,健全系統之存取控制機制。 |
|
(二) |
|
電腦病毒防範應考量的重要原則: |
|
1、 |
使用者應遵守軟體授權規定,禁止使用未取得授權的軟體。 |
|
2、 |
使用電腦病毒防制軟體,應依下列原則:
(1)定期更新版本。
(2)定期或即時(real time)掃瞄電腦系統及資料儲 存媒體。
(3)慎選使用可掃除電腦病毒及回復系統功能的解毒軟體。
(4)對來路不明及內容不確定的磁片,應在使用前詳加檢查是否感染電腦病毒、定期將必要的資料及軟體備份。 |
|
|
|
二、 |
|
軟體版權之控管: |
|
(一) |
有關軟體之使用,應遵守相關法令及契約規定。 |
|
(二) |
軟體版權管理應考量下列事項:
1、禁止員工保有或使用未取得授權的軟體。
2、禁止員工在未取得授權同意前,將軟體安裝到電腦設備上。
3、須在原授權許可之外的電腦設備上使用軟體時,應取得正式的授權或另行採購。
依「政府所屬各級行政機關電腦軟體管理作業要點」規定,建立軟體使用的註冊管理機制,並定期稽核軟體使用情形。 |
|
|
三、 |
個人資料之保護:
關於個人資料的蒐集、公告、利用、更正、刪除及相關的申請登記、損害賠償、處罰等事宜應依「電腦處理個人資料保護法」等有關法令規定辦理。 |
|
四、 |
|
日常作業之安全管理: |
|
(一) |
資料備份:應定期執行必要的資料及軟體備份,以便發生災害或是儲存媒體失效時,可迅速回復正常作業。 |
|
(二) |
系統錯誤事項之處理:
1、系統發生錯誤時,應迅速報告主任,並採取必要的更正行動。
2、使用者對電腦及通信網路系統錯誤的報告,應詳實記錄,以供日後查考。
3、系統錯誤處理程序的作業規定如下:
(1)應檢查錯誤處理的紀錄,確保系統作業已經恢復正常。
(2)應檢查更正作業是否妥適,確保更正作業未破壞系統原有的安控措施,及確保更正作業係依正當的授權程序辦理。 |
|
(三) |
電腦機房環境之監控:電腦機房環境如溫度、溼度及電源供應之品質等,依據設備規格建置;並建立監控系統,隨時監控電腦作業環境狀況。 |
|
|
|
|
|
|
|
|
|
伍、網路安全管理: |
|
|
|
|
一、 |
|
(一) |
網路使用者之管理:
1、本站員工經申請帳號後成為合法授權的網路使用者(以下簡稱網路使用者),並在授權範圍內存取網路資源。
2、網路使用者應遵循以下規定:
(1) 不得將自己的登入身份識別帳號與密碼交付他人使用。
(2) 不得使用他人的登入身份識別帳號與密碼。
(3) 非經授權禁止以儀器設備或軟體工具讀取網路上的通訊資料。
(4) 禁止下載未經授權使用的檔案或軟體。
(5) 不得在網路上散播不法、不當或違反善良風俗習慣的資料。
(6) 禁止利用本站網路從事不法、不當得利之情事。
網路使用者不得以任何手段蓄意干擾或妨害網路系統的正常運作。 |
|
(二) |
軟體下載之管制:
1、禁止使用非法軟體。
2、經由網際網路下載軟體,應由網路使用者事前測試及掃瞄,確認安全無虞後方可安裝及執行。
3、網路使用者如偵測到電腦病毒入侵或其他惡意軟體,應立即通知網路管理人員;網路管理者亦應將已遭病毒感染的資料及程式等資訊隨時提供使用者,以避免電腦病毒擴散。
電腦設備如遭病毒感染,應立即離線,直到系統管理人員確認病毒已消除後,才可重新連線。 |
|
|
二、 |
|
(一) |
電子郵件接收後應自行保管,並立即自郵件系統信箱中刪除。 |
|
(二) |
密等以上的公文及資料,不得以電子郵件傳送;敏感性資訊如有電子郵件傳送之必要,須經加密處理後傳送。 |
|
(三) |
為防範假冒本站員工名義發送電子郵件,並達到身分辨識及不可否認的目地,必要時應以電子簽章方式發送電子郵件。 |
|
(四) |
對來路不明的電子郵件,不宜隨意打開電子郵件,以免啟動惡意執行檔,使網路系統遭到破壞;並應通知系統管理者處理。 |
|
(五) |
禁止發送電子郵件騷擾他人,導致其他使用者之不安與不便。 |
|
|
三、 |
|
網際網路應用之安全管理: |
|
(一) |
同仁使用的電腦,應安裝防毒軟體以對下載的檔案做病毒掃描。 |
|
(二) |
可在瀏覽器上自訂安全等級,並採取適當的安全防護措施防止網際網路。 |
|
(三) |
網頁伺服器(Web Server;Http
server)透過作業系統的設定,使其啟動時是由非系統管理者的帳號啟動。 |
|
(四) |
網頁伺服器可存取網頁的範圍,系統管理者應確認網頁所涵蓋伺服器上檔案系統的範圍。 |
|
(五) |
應用程式伺服器上執行之應用程式(如 CGI,ASP,ISAPI,JAVA等)應稽核其存取之權限及範圍。 |
|
檢查網頁歷史記錄檔(Web Log)並予以嚴密監控,以防止他人利用系統指令獲取系統內重要的資訊或破壞系統。 |
|
|
四、 |
網路設備與系統之備援:
(一)為維持本站網路的持續正常運作,各重要網路設備應有備援。
(二)對必要之網路硬體設備加裝不斷電系統(UPS)。 |
|
|
|
|
|
|
|
|
陸、電腦系統之存取控制 |
|
|
|
|
(一) |
通行碼之管理:
1、使用最少七位長度的通行密碼,且需有大小寫字母、數字及符號組成。避免使用下列密碼:
(1)年、月、日等時間資訊。
(2)個人姓名、出生日、身分證字號或汽機車牌照號碼。
(3)機關、單位名稱、識別代碼或是其他相關事項。
(4)電話號碼。
(5)電腦主機名稱、作業系統名稱。
2、避免將通行密碼記錄在書面上,或張貼在個人電腦或終端機螢幕或其他容易洩漏秘密之場所。
3、要求使用者定期更改通行密碼(三個月一次為原則))。
4、使用者自行選擇密碼時,應在第一次登入系統時強迫使用者更改臨時性的密碼。
5、在登入系統程序中,系統不應顯示使用者的密碼資料。
6、使用者密碼應與應用系統資料分開存放。 |
|
(二) |
作業時間限制
1、不經常使用的設備,應限定其作業時間,以防止未經授權的人員存取系統。
2、應設定系統的作業時間限制,包括間隔一定時間後自動清除螢幕上的資訊,以及依據事前訂定的時間限制,結束應用系統及網路通信 |
|
|
|
|
|
|
|
|
柒、資訊資產之建立 |
|
|
|
資訊資產包括項目如下:
1、資料:資料庫及資料檔案、系統文件、使用者手冊、訓練教材、作業及支援程序、備援回復作業計畫等。
2、軟體:應用軟體、系統軟體、發展工具及公用程式等。
3、硬體:電腦及通訊設備、資料儲存媒體等。 |
|
|
|
|
|
|
|
捌、實體及環境安全管理: |
|
|
|
|
一、 |
|
設備安全管理: |
|
(一) |
設備安置地點之保護:
設備安置應遵循的原則如下:
1、設備應儘量安置在人員不需經常進出之地點。處理機密性資料工作站,應放置在管理人員可注意及可就近照顧之地點。
2、需特別保護之設備,應考量與一般設備區隔。
3、檢查及評估火災、煙、水、灰塵、震動、化學效應、電力供應、電磁幅射等加諸於設備之危害。
4、電腦作業區應禁止抽煙及飲用食物。
5、應考量其他可能導致之危險因素。 |
|
(二) |
電源供應:
1、電腦設備之設置,依據製造廠商提供之規格設置電源,以防止斷電或其他電力不正常導致之傷害。
2、應謹慎使用電源延長線,以免電力無法負荷導致火災等危害安全情事。
3、電力及通信用電纜線,應予適當之安全防護,以防止被破壞或資料被截取。 |
|
(三) |
設備維護:
1、應妥善維護設備,以確保其完整性及持續使用。
2、設備維護原則如下:
(1)應依據設備特性訂定維修服務期限及說明,進行設備維護。
(2) 設備之維護應由授權之維護人員執行。
(3) 應明確記錄所有的錯誤或認為有疑問之處。 |
|
(四) |
設備報廢處理之安全措施:
含有儲存媒體的設備,應在處理前詳加檢查,以確保機密性、敏感性之資料及有版權之軟體已被移除。 |
|
(五) |
資訊設備濫用之防止:
1、資訊設備之使用,如有與業務無關或超出授權目的以外之需求,應經權責主任核准,並課予相關人員責任。
2、如發現資訊設備有不當使用情形,應予告誡,情節重大者簽請議處。 |
|
|
二、 |
|
實體環境的安全保護: |
|
(一) |
辦公室人員進出管制
1、員工非因公務需要,下班後及假日不得無故逗留辦公室;屢勸不聽,情節重大者,予以議處
2、非上班時間廠商進行施工、維修或外包清潔公司前來打蠟拖地等,相關業務人員或值日人員應負責督導。
3、最後離開所在辦公室之人員,應關妥門窗及電源,再行離去。 |
|
(二) |
機房進出管制
1、本站人員非因業務需要或被授權核准者,不得進入機房。
2、電腦維修廠商或其他廠商人員,應由業務相關人員陪同,始得進入機房工作。
3、機房操作員應防止身分不明或未經授權人員,進入機房。 |
|
(三) |
機房(中控室)之安全與管理:
本站電腦機房(中控室)安全與環境維護由操作人員負責,為確保機房安全,進出人員應遵守下列規定:
1、機房設有「人員進出管制表」,除操作人員外,其他人員進出應確實登記,禁止未被授權者進出機房。
2、機房內嚴禁吸煙。
3、機房內嚴禁存放易燃物及未經核准之電器或其他物品。
4、操作人員應隨時注意環境監控系統,掌握機房溫度及溼度狀況,若發現異常狀況應即刻處理。
5、操作人員熟悉自動滅火系統操作方法及滅火機位置,如遇預警系統發生警報時,應查明真正原因,並做適當之處置,且迅速通知消防班及行政辦公室,以便及時支援處理。
6、作業中遇緊急事故時,值班人員請依應變處理程序處理。
7、機房設備應由操作人員負責執行啟動及操作,除系統管理人員業務需要外,其他人員不得擅自操作機器。
8、操作人員應將所發生之異常狀況填寫於「值班記錄表」內,並轉知相關人員。
9、操作人員不得擅離工作崗位,交班時應將正在進行及尚待處理之作業和操作現況,逐一向接班人員詳細交待清楚。
10、各項安全設備應依廠商的使用說明書定期檢查;員工應施予適當的安全設備使用訓練。
11、資訊安全緊急應變處理程序應定期演練及測試。 |
|
(四) |
辦公桌面之安全管理
1、公文及磁片長時間不使用及下班後,應妥為存放;機密性、敏感性資訊,應妥為收存。
2、棄置之手寫或影印公文廢紙及已過保存期限之公文,應視需要予以銷毀。
3、個人電腦及終端機不使用時,應予關機、登出、設定螢幕密碼或是以其他控制措施保護。 |
|
(五) |
資訊財產攜出之安全管理
電腦設備、資料及軟體,未有核准之放行條,不得攜離辦公處所。 |
|
|
|
|
|
|
|
