跳至主要內容
:::

分享網址:
若您有連結此資料內容之需求,請直接複製下述網址

請選取上方網址後,按 Ctrl+C 或按滑鼠右鍵選取複製,即可複製網址。

發布日期:
民國 93 年 05 月 06 日
修正日期:
民國 102 年 01 月 15 日

壹、目的

1
一、司法院(以下簡稱本院)為強化本院及所屬各機關資訊安全管理,確 保資料、系統、設備及網路安全,訂定本要點。

貳、通則

2
二、本院及所屬各機關(以下統稱各機關)應依「國家機密保護法」、「 個人資料保護法」及其它有關法令,考量施政目標,進行資訊安全風 險評估,確定各項資訊作業安全需求水準,採行適當及充足之資訊安 全措施。
3
三、各機關採行資訊安全措施,應考量下列事項,並定期評估實施成效: (一)資訊安全政策訂定。 (二)資訊安全組織及權責。 (三)人員管理及資訊安全教育訓練。 (四)資訊系統安全管理。 (五)網路安全管理。 (六)系統存取控制管理。 (七)系統發展及維護安全管理。 (八)資訊資產安全管理。 (九)實體及環境安全管理。 (十)業務永續運作計畫。 (十一)其他資訊安全管理事項。
4
四、本要點所稱資訊安全政策,指各機關為達成資訊安全目標,所訂定之 資訊安全管理作業原則、措施、要點、注意事項及作業程序等。

參、資訊安全政策訂定

5
五、各機關應依實際業務需求,訂定資訊安全政策,並以書面、電子或其 他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠商共 同遵行。
6
六、資訊安全政策,應至少每年評估一次,以反映政府法令、技術及業務 等最新發展現況,確保資訊安全實務作業之有效性。

肆、資訊安全組織及權責

7
七、各機關應由首長或其指定之高層主管人員,綜理資訊安全管理事項之 協調及推動。 各機關應成立跨部門之資訊安全推行小組,統籌資訊安全政策、計畫 、資源調度等事項之協調、研議。 前項資訊安全推行小組之幕僚作業,由資訊單位或首長指定之單位負 責。
8
八、各機關應依下列分工原則,配賦有關單位及人員之權責: (一)資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資 訊單位負責辦理。 (二)資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務 單位負責辦理。 (三)資訊機密維護及稽核使用管理事項,由政風單位會同相關單位負責 辦理。 各機關未設置資訊及政風單位者,由機關首長指定適當單位及人員負 責辦理。
9
九、各機關對資訊作業,應進行定期或不定期之資訊安全稽核。 本院對所屬各機關之資訊作業,應進行定期或不定期之資訊安全稽核 。

伍、人員管理及資訊安全教育訓練

10
十、各機關對資訊相關職務及工作,應進行安全評估,並於人員進用、工 作及任務指派時,審慎評估人員之適任性,進行必要之考核。
11
十一、各機關人員因工作職責須使用或處理資訊者,應課予機密維護責任 ,並儘可能簽署書面約定,以明責任。
12
十二、各機關應針對管理、業務及資訊等不同工作類別之需求,定期辦理 資訊安全教育訓練及宣導,建立員工資訊安全認知,提升機關資訊 安全水準。
13
十三、各機關負責重要資訊系統之管理、維護、設計及操作之人員,應妥 適分工,分散權責,並依需要建立制衡機制,實施人員輪調,建立 人力備援制度。

陸、資訊系統安全管理

14
十四、各機關開發資訊系統時,應訂定資訊系統作業程序,以確保機關員 工正確及安全的操作使用電腦,並作為系統發展、維護及測試作業 之依據。
15
十五、資訊系統作業程序,應載明電腦不正常停機及作業發生錯誤或遭遇 非預期的問題時之處理規定。
16
十六、各機關開發資訊系統時,應將系統測試作業及系統正式作業之軟體 ,分別安裝在不同主機或不同的目錄下作業,使系統測試與正式作 業分開處理,避免作業軟體或資料遭意外竄改。
17
十七、資訊設備及系統的變更作業,應建立管控措施,對於資訊系統作業 中斷及更正等異常事項,應詳實記錄。
18
十八、資訊系統應採行必要的事前預防及保護措施,偵測及防制電腦病毒 及其他惡意軟體,確保系統正常運作。
19
十九、重要的資料及軟體應定期執行備份作業。備份機密或敏感性資料, 應採行必要的資料安全保護措施。
20
二十、各機關應規範可攜性電腦媒體(如磁帶、磁碟、隨身碟、光碟及電 腦輸出報表等)之使用,防止不當使用。
21
二十一、系統文件(包括系統流程、作業流程、資料結構、檔案格式等) 應採行妥適的安全保護措施,防止不當使用。
22
二十二、與外機關間進行資料或軟體資訊交換,應採行必要的資料安全保 護措施及賦予有關人員安全責任。

柒、網路安全管理

23
二十三、本院利用公眾網路傳送資訊或進行交易處理,應評估可能之安全 風險,考量資料傳輸之完整性、機密性、身分鑑別及不可否認性 等安全需求,並對資料傳輸、撥接線路、網路線路與設備、對外 連接介面及路由器等事項,採行妥適的安全控管措施。
24
二十四、本院開放外界連線作業之資訊系統,應依資料及系統之重要性及 價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞 偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破 壞、竄改、刪除及未經授權之存取。必要時應以代理伺服器等方 式提供外界存取資料,避免外界直接進入資訊系統或資料庫存取 資料。
25
二十五、本院與外界網路連接之網點,應以防火牆及其他必要安全設施, 控管外界與機關內部網路之資料傳輸及資源存取。 司法網路由本院資訊管理處統一規劃、建置及管理,本院所屬各 機關不得自行將司法網路與外界網路連接。 各機關如為服務民眾,得於公共區域建置無線上網服務,惟必需 與司法網路及機關之資訊設備實體隔離。 各機關區域網路應設置於各機關辦公室內,不得設置於辦公室以 外之場所。資訊設備,未經核可,不得連接司法網路及司法體系 資訊系統,或擅自修改本院及所屬各機關資訊設備相關系統設定 。 同仁自行攜帶之可攜式資、通訊設備(如智慧型手機)得使用無 線網路服務功能,惟必需與本院司法網路實體隔離。
26
二十六、各機關利用網際網路公布及流通資訊,應實施資料安全等級評估 ,除法令另有規定者外,機密性、敏感性及未經當事人同意之個 人隱私資料及文件,不得上網公布。 機關網站存有個人資料及檔案者,應加強安全保護措施,防止個 人隱私資料遭不當或不法之竊取使用。
27
二十七、各機關採購資訊軟硬體設施,應依國家標準或權責主管機關訂定 之政府資訊安全政策,研提資訊安全需求,並列入採購規格。 各機關發展及應用加密或電子簽章技術,應採用權責主管機關認 可之密碼模組產品。 各機關採購密碼模組產品,應請廠商提出輸出許可或相關授權文 件,確保密碼模組之安全性,並避免採購金鑰代管或金鑰回復功 能之產品。

捌、系統存取控制管理

28
二十八、各機關應依執行法定任務之實際需要,賦予各級人員必要的系統 存取權限;其使用本院所提供之資訊系統或網路服務者,依其工 作性質及內容,授權使用權限表公告於司法院內網(網址:http ://www.intraj ),並由本院資訊管理處定期檢討修正。 各機關相關人員因業務之必要,須於前項授權使用權限表外特別 授權使用者,應由該機關備文向本院資訊管理處提出申請授權。 各機關人員取得系統及網路使用授權,限於公務使用,並應保持 行政中立,禁止發表個人政治立場、或為人身攻擊等非公務用途 之利用。
29
二十九、各機關應建立系統使用者註冊管理措施,加強使用者通行密碼管 理,各機關應依作業系統及安全管理需求,要求使用者定期更新 密碼。 對機關內外擁有系統存取特別權限之人員,應建立使用人員名冊 ,加強安全控管,密碼更新周期最長以不超過六個月為原則。 各機關應定期及於系統異動、人員職務異動時,審查使用者之存 取權限,並做必要之調整。
30
三十、識別碼及密碼使用人僅得為公務之需要查詢資料,不得擅自為公務 以外之利用。查詢資料及相關使用規範,依電腦處理個人資料保護 法之規定。
31
三十一、各機關委託廠商建置及維護重要之軟硬體設施,應在機關相關人 員監督及陪同下始得為之。
32
三十二、各機關對系統服務廠商以遠端登入方式進行系統維修者,應加強 安全控管,並建立人員名冊,課其相關安全保密責任。
33
三十三、各機關之重要資料委外建檔,不論在機關內外執行,均應採行妥 適之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當 備份等情形發生。
34
三十四、各機關應確立資訊系統稽核項目,建立資訊安全稽核措施,定期 或不定期進行資訊安全稽核作業;系統中之稽核紀錄檔案,應禁 止任意刪除及修改。

玖、系統發展及維護安全管理

35
三十五、辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商 之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期 考核。
36
三十六、自行開發或委外發展系統,應在系統生命週期之初始階段,將資 訊安全需求納入考量;系統之維護、更新、上線執行及版本異動 作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系 統安全。
37
三十七、各機關基於實際作業需要,得核發系統通行密碼供軟硬體系統建 置及維護廠商使用,並規範及限制其可接觸之系統與資料範圍。 契約結束或人員異動時應立即取消其使用授權及通行密碼。

拾、資訊資產安全管理

38
三十八、各機關應建立重要資訊資產目錄、擁有者及安全等級分類等資料 。
39
三十九、資訊資產應包括下列項目: (一)資料資產:如資料庫及資料檔案、系統文件、使用者手冊、訓 練教材、業務永續運作計畫等。 (二)軟體資產:如應用軟體、系統軟體、發展工具及公用程式等。 (三)實體資產:如電腦主機、通訊設備、媒體資料及其他技術設施 。 (四)技術服務資產:如電腦、通信服務及其他技術性服務。
40
四十、各機關應依相關法規或契約規定,複製及使用軟體,並建立軟體使 用管理措施。

拾壹、實體及環境安全管理

41
四十一、各機關應就設備安置、周邊環境及人員進出管制等,採行妥適之 實體及環境安全管理措施。
42
四十二、資訊系統、設備、線路及設施,應實施必要之保護措施及維護, 以確保資訊系統正常運作。
43
四十三、設備報廢、再利用或移轉,應先清除原有之重要資訊並移除有版 權之軟體。

拾貳、業務永續運作計畫

44
四十四、各機關應評估各種人為及天然災害對機關正常業務運作之影響, 訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及 調整更新計畫。
45
四十五、各機關應建立資訊安全事件緊急處理機制,在發生資訊安全事件 時,應依規定之處理程序,立即向權責主管單位或人員通報,採 取反應措施,必要時聯繫檢警調單位協助偵查。

拾參、附則

46
四十六、各機關得自行訂定資訊安全政策,但不得牴觸本要點之規定。未 訂定資訊安全政策者,則適用本要點。