參、電腦設備安全與資訊機密維護措施:
一、建立稽核制度:
(一) 本處成立資訊安全執行小組,由執行官擔任組長、組員分別由秘書
、主辦人事、主辦會計、統計主辦及專員組成之,辦理本處資訊安
全稽核作業。
(二) 實施日期:資訊安全小組每年十一月份實施定期稽核一次及如有加
強資訊機密維護措施之必要時得實施不定期重點檢查。
(三) 實施方式:資訊安全檢查小組依據「法務部及所屬各機關資訊安全
作業檢查表」 (如附件) 辦理各項事項之檢查。
(四) 資訊安全執行小組於每年十一月實施定期或不定期稽核完成資料彙
編後,依據檢查各項缺失提具體建議,並將稽核結果陳送首長核閱
後並於十二月底前報法務部備查。
二、設備安全管理:
(一) 電腦機房應設置工作簿記載電腦開關記錄、設備故障、異常及維修
情形,交待事項,俾備查核。
(二) 電腦機房加強門禁管制,防止閒雜人員進入,或合法者未經授權使
用,嚴密看管,加鎖、防制人為破壞。
(三) 電腦機房應保持整潔,嚴禁攜入食物,其他具磁性金屬,慎防鼠蟲
侵入破壞線路。
(四) 使用電腦設備之課室應注意防範利用電腦犯罪、事故、災害、誤用
、蓄意破壞,尤應注意水、火、風、電、溫度、濕度等自然災害之
防護。
(五) 儲存各項機密資料,或程式之磁碟、磁帶等媒體,各使用單位應指
定專人負責管理。
(六) 需長期保留或重要檔案之備份媒體,應使用專用防火或保險設備存
放安全之處。
(七) 電腦使用之消耗物品如磁碟、列表機色帶、報表紙等應有專人管理
,因作業所產生之廢品、廢紙應集中管理,防範洩密。
(八) 電腦公司技術人員於實施定期維修或排除故障時,資訊主管單位應
派員陪同會辦。
三、資料輸出入管制:
(一) 各終端機使用人員,均應建立識別碼,及使用不同等級之通行碼,
以管制終端機使用及控制資料之存、取。並視需要經常更新。
(二) 重要或其機密性質之資料應自行錄製建檔,並應加設資料存取控制
。
(三) 電腦設備所輸出之資料及報表,各使用單位應依規定區分機密等級
。
四、連線作業管制:
(一) 使用終端設備如需其他機關主機連線作業者,應報請上級機關核准
後,給予相關編號列入管制,並於系統中限制其可運作之範圍。
(二) 對於電腦之程式及其設計、測試、製作等均應嚴密管制。
五、資訊檔案管制:
(一) 建立資訊檔案管理制度、分級管理、具機密性資料,應依規定區分
機密等級。
(二) 資訊檔案中之資料,如需更新、更正、註銷者,承辦人員應將其變
更內容、作業人員及時間等詳實紀錄,俾使查核。
(三) 各組室電腦設備所附之作業系統或套裝軟體及管理系統文件、使用
手冊應指派專人管理。
(四) 各單位禁止使用非法軟體。
六、個人檔案管制:
(一) 資訊作業人員對於業務上知悉持有之機密資料,程式及其檔案絕對
保密,不得對外宣洩。
(二) 機密資料以硬碟或磁碟錄製建檔者,應加設資料存取控制。
(三) 印表機之使用應予管制,避免機密資料外流。
(四) 儲存機密資料之磁碟片指定專人管理,每日詳實記錄借調使用情形
,定期清點數量,並注意保管之安全措施。
(五) 磁碟片不得擅自攜離辦公處所,與業務無關之外來磁片不得上機使
用。
(六) 非經資訊主管單位認可,不得擅自加裝介面或變更硬體規格。
(七) 停止操作時,應將磁碟片抽出,並將螢幕上之機密資料消除。
(八) 電腦主機於午休或下班後,視情況上鎖,鑰匙指定專人保管。
(九) 配合處務會報或執行人員會報辦理資訊安全教育訓練,及利用書面
、電子或其他方式辦理資訊安全宣導。