一、目的
    為加強法務部（以下簡稱本部）及所屬機關人員執行資訊作業之安全
    控管，提升人員安全意識，並確保人員具備執行業務之專業能力且符
    合資訊安全之要求，特訂定本規範。

二、適用範圍
    本部及所屬機關全體職員（含編制內人員、調辦事人員及聘僱人員）
    、替代役人員、委外廠商及其相關人員。

三、辦理資訊安全應注意事項
（一）明確界定本部及所屬機關資訊工作相關人員及廠商人員的資安角色
      、責任與所需能力，並於資訊作業委外時明確規範於契約中，使相
      關人員均能清楚認知其安全責任與符合職務需求。另對委外廠商及
      其相關人員之資訊安全約束依法令及契約等相關規定辦理。
（二）本部及所屬機關人員應依相關法規負保守公務機密之義務，對於其
      主管與非主管事務之機密性與敏感性資訊，均不得洩漏，退（離）
      職後亦同。
（三）委外廠商駐點服務人員、專責維護人員，或在本部及所屬機關停留
      時間超過三天以上之突發性維護增援、臨時性系統測試或教育訓練
      人員（以授課時需連結本部網路者為限）及經常至本部及所屬機關
      資訊單位洽公之業務人員，均應簽署保密切結。
（四）資訊作業工作職責為可存取機密性與敏感性之資訊或系統者，於任
      務指派前應經適當安全評估程序，並應加強工作評估及考核。
（五）重要資訊系統之管理、維護、設計及操作之人員，應妥適分工，分
      散權責，並視需要建立管控機制，實施人員輪調，建立人力備援制
      度。
（六）各級主管應督導所屬人員妥為辦理資訊作業，以確保資訊安全，防
      範不法及不當行為。
（七）資訊作業人員於調離職時應辦理資訊資產交接或歸還，並應立即辦
      理權限異動或帳號移除。

四、人員資訊安全教育訓練
（一）本部及所屬機關應定期舉辦資訊安全相關之教育訓練，促使同仁瞭
      解資訊安全的重要性及各種可能之資訊安全風險，以提高同仁資訊
      安全意識，促其確實遵守資訊安全規定。
（二）對委外廠商及相關人員，本部及所屬機關應視其工作內容要求接受
      相關資訊安全教育訓練，使其瞭解並充分配合本部及所屬機關之資
      訊安全作業。
（三）本部及所屬機關人員應依其職務性質，依資通安全責任等級分級辦
      法及本部及所屬機關資訊安全目標推動計畫之訓練要求，每年完成
      一定時數之資訊安全訓練。

五、委外作業安全管理
（一）委外契約中應加註資訊安全、保密條款及作業相關之法規要求。
（二）建議書徵求說明書應載明各項資訊安全控管要求，以明確告知委外
      廠商應遵循事項。
（三）建議書徵求說明書中應載明相關資訊資產之機密性、完整性、可用
      性需求，確保服務水準。
（四）本部及所屬機關應於簽約後，提供委外廠商資訊安全相關作業方式
      及規定。
（五）委外契約應加註委外廠商及其相關人員於契約期間出入本部及所屬
      機關辦公場所時，須佩戴識別證，以供人員安全控管及掌握。
（六）委外廠商及其相關人員於非上班時間加班作業時，應事先取得本部
      或所屬機關同意，以利管控人員出入。
（七）委外契約應加註本部及所屬機關得對委外廠商進行資訊安全稽核作
      業。