搜尋整站
搜尋本頁
【法規名稱】♪


警察機關資訊安全實施規定

【發布日期】97.03.06【發布機關】內政部警政署

【法規內容】

第1點


  內政部警政署(以下簡稱本署)為促進各警察機關制訂資訊安全政策,建立資訊管理制度,採行適當必要之資訊安全政策,確保資訊蒐集、處理、傳送、儲存及流通之安全,特訂定本規定。

第2點


  本規定所稱資訊安全措施,指為達成以下資訊安全目標所訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等:
  (一)建立資訊管理制度,訂定重要資訊資產及關鍵性業務之防災對策及災變復原計畫,確保本機關可持續運作。
  (二)確保資訊系統、資訊資產之安全,包括人員、設備、系統、資訊、資料及網路等。
  (三)防止洩漏機密資料,建立資訊安全,人人有責之觀念,進行資訊安全必要訓練,提高資訊安全意識。

第3點


  警察機關資訊安全維護,應依據電腦處理個人資料保護法國家機密保護法與行政院及所屬各機關資訊安全管理要點等有關法令,衡酌機關業務需求,參考本規定訂定資訊安全政策,研訂資訊作業之安全水準,並以書面、電子或其他方式通知所屬員工及有關機關(構)。

第4點


  資訊安全管理業務分工如下:
  (一)資訊單位:負責執行資訊作業系統、裝備與設施保密安全業務。
  (二)業務單位:負責主管電腦系統資料之使用管理維護及訂定資料保密安全措施。
  (三)政風(督察、保防)單位:負責督考資訊機密維護、稽核使用管理及資訊作業、資料銷毀等保密安全事宜。
  (四)使用單位:負責追蹤管制電腦資料處理過程及防止資料外洩。

第5點


  各機關應依據國家機密保護法電腦處理個人資料保護法及政府資訊公開辦法及相關法令,實施資訊資產安全分級管理措施,並依下列規定辦理:
  (一)訂定資訊安全等級分類標準,建立資訊資產目錄包括資訊資產項目、保管者及安全等級分類等。
  (二)資訊及系統之輸出資料,標示適當安全等級及保護措施,以利使用者遵循。

第6點


  資訊系統應具備安全保護功能如下:
  (一)密碼保護。
  (二)檔案管理系統保護。
  (三)系統使用權限管理。
  (四)資料庫管理系統保護。
  (五)各項應用作業系統之電腦主機,應全日二十四小時自動記錄每一帳號查詢及更新資料之時間、種類、內容及結果,並保留五年,以資查考。

第7點


  軟體程式安全管制規定如下:
  (一)安裝之作業軟體,非經授權不得任意修改。
  (二)不得逕行安裝未具合法版權或來路不明之作業(套裝)軟體。
  (三)作業軟體應建立使用權限,避免非業務權責人員閱覽、擷取或破壞。
  (四)軟體穩定後應責由專人保管,並立即拷貝三份儲存。
  (五)軟體程式之儲存應由系統人員規劃及配置,並建立檔案識別辨證,限制非該系統之軟體程式擷取或破壞。
  (六)作業(套裝)軟體開發、維修時,不得提供維修人員正式資料測試。
  (七)資訊作業人員於修改程式或資料媒體內容時,必須經過各該主管核可後實施。
  (八)與電腦公司技術人員討論軟體疑難問題時,不得涉及業務機密。
  (九)為能迅速處理故障,恢復正常使用,作業軟體應訂定故障復原程序。
  (十)不得將機關專屬之軟體複製到機關以外之機器設備。

第8點


  資料建置、查詢、更新與備份安全管制規定如下:
  (一)各項電腦資料如屬本署所列公務機密資料(如附表一)應妥為處理。經列為「絕對機密」之資料,不得複製輸出。
  (二)各機關建置資料時,應依業務需要建立使用權限,避免非業務權責人員閱覽、擷取或破壞。
  (三)於法定職掌必要範圍內,使用工作站查詢資料時,應確實填寫查詢紀錄簿(格式如附表二),實際查詢人取得列印資料應予簽收確認,查詢完畢時務必結束連線,單位主管每日應管理、審核查詢狀況,並簽核查詢紀錄簿。
  (四)查詢紀錄簿應指定專責人員保管,且保存五年;管理人員調、離職時應列冊點交。
  (五)請求查詢資料與提供,應符合電腦處理個人資料保護法及機密檔案管理辦法等相關法令規定。
  (六)警察機關請求整批方式查詢資料或非警察機關請求查詢資料時,均應備文,並經該資料業務單位簽陳同意後辦理,其權責單位律定如下:
  1、中央機關及其所屬機關、機構申請查閱電腦處理之民眾個人資料,由本署受理提供。
  2、直轄市、縣(市)政府及其他各級地方政府等相關機構申請查閱電腦處理之民眾個人資料,由各該地區之警察局受理。
  3、刑案資料由刑事警察局或各縣市警察局刑警隊負責受理提供;入出境資料統由入出境管理局負責受理提供;其餘資料除法令另有規定外,應由業務單位依電腦處理個人資料保護法規定簽會資訊單位陳請主官核定後提供。
  (七)員警因時間急迫,有必要請求他機關(單位)代查資料時,應由受託代查機關(單位)確認請求代查人身分及代查事由,經主官(管)書面核准後代為查詢並載明於查詢紀錄簿。但請求代查員警應於查詢後一週內由其所屬機關補文函送代查機關(單位)備查。
  (八)資料應依電腦處理個人資料保護法規定維護正確。發現資料錯誤時,應依各作業之規定,檢附正確資料,送相關單位辦理更正。
  (九)資料建置後,應立即拷貝三份,並定期執行資料及系統軟體備份。備份資料應異地儲存,並不定期測試回復程序。
  (十)備份資料儲存場所安全維護措施,應比照電腦作業場所辦理。
  (十一)具機密性及敏感性資料或文件,不得存放在對外開放資訊系統中。

第9點


  資料輸出安全管制規定如下:
  (一)經由電腦設備查得之資料,不得擅自拷貝或外洩。
  (二)電腦通報資料應設簿(格式如附表三)簽收登記。
  (三)報表提供遞送,其屬於密等級以上資料者,應以密件公文處理。
  (四)輸出產生之廢紙應一律銷毀,不得留作他用。

第10點


  工作站安全管制規定如下:
  (一)本署每六個月應配賦專屬電腦系統線上作業密碼,由各機關依工作需要分配使用,不得浮濫,並嚴禁多人使用同一密碼。
  (二)各機關應將密碼使用名冊或電子檔(磁片、光碟)保留五年,於每半年配賦新密碼時,舊密碼使用名冊或電子檔(磁片、光碟)應併同配賦新密碼之公文送檔案室歸檔備查。
  (三)專屬電腦系統線上作業密碼,如有洩密之虞,使用者應立即申請撤銷該密碼,密碼使用者因業務調整、調職、停(離)職時,管理者亦應立即依規定申請撤銷該密碼。
  (四)工作站須攜出維修時,硬碟須拆除。
  (五)使用者離開電腦時,應退出使用環境,每日下班前使用者應確實關機(包括主機、螢幕、印表機、印表機伺服器),以確保資料安全。
  (六)非經核准嚴禁私接具有儲存裝置功能設備及擅自加裝硬體配備或更改電腦系統環境之設定。
  (七)對政府機關之連線均須透過機關網路,不得擅自建置撥接設備,以免造成安全漏洞;如有個別需求,應與機關網路隔離,並另建置防火牆。
  (八)工作站網址,不得自行變更設定。
  (九)電腦設備報廢前應將所有資料移除。
  (十)因業務需要透過網路芳鄰分享資料檔案時,必須設定使用者及權限管理。
  (十一)非機關配置之電腦設備不得接續於各機關之網路;如確有業務需求,應提出申請,經機關首長(總隊長、局長)核可後方可連線,作業結束後,原申請人應主動通知管理者撤銷其帳號及工作站網址。
  (十二)警用行動電腦及基地台不得擅自與非警察機關之電腦設備連接,以避免資料外洩及病毒感染。
  (十三)處理、存收機關重要機密業務資料之工作站應作實體線路隔離。

第11點


  網路安全管制規定如下:
  (一)對外開放資訊系統主機,應架設於非軍事區網段(DMZ)或外部網段,並以防火牆與機關內部網路區隔,提高內部網路安全性。
  (二)對外開放資訊系統主機,非必要不得開放遠端登入功能。
  (三)對外開放資訊系統如涉及私人資料檔案,應以加密方式處理。
  (四)系統管理者應隨時注意警示訊息,檢測安全防護措施,即時修補各項系統漏洞。
  (五)各機關不得開放與外界連線作業,如有連線需求,應做安全評估,並訂定資訊安全管制規定,報經本署核准後實施。
  (六)提供給內部人員使用之網路服務,與開放有關人員從遠端登入內部網路系統之網路服務,應嚴格執行身分辨識作業,進行安全控管。
  (七)使用者因業務調整、調職、停(離)職時,管理者應立即申請撤銷其使用者帳號,並依機關資訊安全規定及程序,取消其存取網路之權限。

第12點


  網站安全管制規定如下:
  (一)網頁維護人員應每天檢查所屬業務之網頁有無異常情形,發現異常應即時通報資訊作業單位。
  (二)網頁維護人員異動時,應通知資訊作業單位辦理使用者帳號異動。
  (三)網站首頁須具備即時自動復原機制。
  (四)網頁應作備份管理,異動網頁須經單位主管核可後實施。
  (五)網站資料應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料不得上網公布。
  (六)網站管理者應定期檢核相關日誌檔,遇有異常時,應立即採取有效因應措施。

第13點


  電子郵件安全管制規定如下:
  (一)郵件伺服器禁止提供轉信功能。
  (二)屬於「機密」等級以上之公文及資料,不得以電子郵件傳送;敏感性資訊如有電子郵件傳送之必要,得經加密處理傳送。
  (三)禁止以遠程終端機模擬形式來開啟電子郵件。
  (四)使用者停(離)職後應立即刪除其郵件帳號。
  (五)使用者如長期未收信以致影響郵件伺服器正常運作時,基於業務需要得移除該帳號。

第14點


  網路使用者管理規定如下:
  (一)不得以任何方法竊取他人之登入帳號與密碼。
  (二)不得以任何儀器設備或軟體工具竊聽網路上之通訊。
  (三)不得在網路上取用未經授權之網路資源及檔案。
  (四)不得將非法檔案建置在機關網路,亦不得在網路上散播色情文字、圖片、影像、聲音等不法或不當資訊。
  (五)不得以任何手段蓄意干擾或妨害網路系統之正常運作。
  (六)個人帳號、密碼應妥為保管,不得借予他人使用或張貼在電腦設備等易洩密場所。
  (七)確實遵守安全規定,如有違反網路安全情事,應限制或撤銷其網路資源存取權利。
  (八)使用開放系統作業,每六個月應定期更換密碼,且密碼應至少有八位長度以上,如發覺有洩密之虞時,應隨時更換。

第15點


  電腦病毒防制處理規定如下:
  (一)應在工作站及網路伺服器安裝防毒軟體,定期掃瞄電腦系統及資料儲存媒體,並隨時更新病毒碼、掃瞄引擎及修補系統漏洞。
  (二)使用外來磁片或媒體應先執行病毒掃瞄。
  (三)使用解毒軟體前應先充分瞭解電腦病毒特性及確定解毒軟體功能。
  (四)應建立防制電腦病毒攻擊及回復作業之處理程序。
  (五)發現病毒感染時由資訊作業單位負責記錄追蹤及處理。

第16點


  電腦維修作業管理規定如下:
  (一)電腦主機之維修,以在設置現地實施,且以不危及裝備安全及資料之完整性為原則。
  (二)對於訂約廠商或參與維修人員,應限制其工作地點,並由系統或有關人員直接監督或配合作業。
  (三)有關記憶媒體組件更換,必須經由系統人員鑑定,並清除記憶內容後方可更換。
  (四)訂約廠商或參與維修人員檢驗或測試時,不得使用正式資料。測試資料及產生之紀錄必須攜出時,應經系統人員及其主管同意。

第17點


  電腦作業場所管理規定如下:
  (一)電腦作業場所(包含機房、登錄室、媒體儲存室、資料處理室與各使用單位工作站),未經核可,不得對外開放參觀。
  (二)主要電腦設備,應置放於電腦機房,並設置門禁管制,未經許可,不得擅自進入。
  (三)視需要派值日人員值勤,加強場地及設施安全管制,如未派駐值日人員,應採必要之安全措施。
  (四)定期檢查及評估發生火災、煙、水、灰塵、震動、電力供應、電磁幅射等風險之可能性,並採取必要之因應措施。
  (五)電腦專用之電源插座,不得使用於電腦以外設備,以免造成跳電當機,影響電腦正常作業。

第18點


  各機關資訊作業單位依本規定自行設計之紀錄表件,應按機密等級訂定保存期限,妥為保管,備供查考。

第19點


  各機關應定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知。

第20點


  資訊安全緊急應變處理程序規定如下:
  (一)發生資訊安全事件時,依警政體系通資訊安全機制計畫,由警政體系危機通報應變組負責編成運作,並負責與相關安全處理單位通力合作,以解決危機事件。
  (二)資訊安全事件發生時,將發生事件之事實、可能影響之範圍、採取之應變措施等事項,即時填具通資訊安全事件通報單,並透過上網、電話、傳真或電子郵件等方式,傳送至警政體系之危機通報應變組。
  (三)危機通報應變組即時通報國家安全局危機通報應變組及國家資通安全應變中心。
  (四)如因資安事件發生且危及人員生命或設備遭到破壞等涉及民刑事案件時,應及時通報檢調單位請求處理。
  (五)如引發重大災害時,同時向現行災害防救體系提報,請求支援處理。
  (六)當系統回復正常運作時,須將解決辦法透過通資訊安全事件通報單傳送,以解除列管。

第21點


  各機關應訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,並訂定緊急應變及回復作業程序及相關人員之權責,定期演練及調整更新計畫。

第22點


  各機關為考核所屬一級單位執行成效,每半年應定期檢查下列事項(考核評分表如附表四):
  (一)硬、軟體管理維護紀錄。
  (二)網路管理維護紀錄。
  (三)資料查詢﹑更新之程序及紀錄。
  (四)工作站及伺服器感染病毒紀錄。
  (五)電腦查詢紀錄。
  (六)通資訊安全稽核事項。
  (七)系統運作紀錄管理事項。
  (八)密碼分發使用管理事項。
  (九)軟體與資料備份及儲存事項。
  (十)軟體及資料故障復原事項。
  (十一)安全事件通報事項。

第23點


  考核評比之獎懲基準如下:
  (一)經評比列第一名,成績達八十五分以上單位,資訊承辦人嘉獎二次、業務主管、單位主管各嘉獎一次。
  (二)經評比列第二名,成績達八十五分以上單位,資訊承辦人、業務主管、單位主管各嘉獎一次。
  (三)經評比列最後一名。成績未達七十分以上單位,資訊承辦人申誡二次,業務主管、單位主管各申誡一次。
  (四)辦理定期實施考核工作,每半年業務承辦人嘉獎二次。

第24點


  各機關與廠商簽訂合約時,應明定廠商必須遵守之保密安全事項。如有違反合約情事,應依相關法令追究責任。

第25點


  違反本規定者,應查究其行政疏失責任;如因而發生洩密或資訊系統遭受破壞,致觸犯刑事法令者,並依各該法令查究處理。


回頁首〉〉


。本檔提供學習與參考為原則。歡迎建議回饋&錯誤通報