|
雲林縣警察局資訊安全政策
壹、資訊安全政策
為確保本局警政資料、資訊系統、設備及網路之機密性、可用性及有效性,特訂定本政策,作為本局資訊安全組織及權責分工、人員進用及教育訓練、員警同仁之公務機密責任、電腦病毒及惡意軟體之安全管理、網路及電子郵件之安全管理、業務永續運作計畫及資訊安全事件緊急處理機制之準則。
一、目標
(一)建立資訊管理制度,訂定重要資訊資產及關鍵性業務之防災對策及災變復原計畫,確保本機關可持續運作。
(二)確保資訊系統、資訊資產之安全,包括人員、設備、系統、資訊、資料及網路等。
(三)防止洩漏機密資料,建立資訊安全,人人有責之觀念,進行資訊安全必要訓練,提高資訊安全意識。
二、範圍:本政策管理之範圍包括人員及軟硬體設備等。
(一)人員:包括本局正式員警、約聘僱人員及使用本局資訊資源之委外廠商人員。
(二)硬體設備:包括各式軟硬體設備及網路設施等。
三、資訊安全政策內容:本政策內容如下。
(一)資訊安全組織及權責分工
(二)人員進用及教育訓練
(三)員警同仁之公務機密責任
(四)電腦病毒及惡意軟體之安全管理
(五)網路及電子郵件之安全管理
(六)業務永續運作計畫
(七)資訊安全事件緊急處理機制
貳、資訊安全組織及權責分工
一、為辦理本局資訊安全之政策、計畫、資源調度等協調研議及資訊安全管理事項,成立本局資訊安全管理系統(ISMS)推行小組,由業管副局長擔任召集人、主任秘書擔任副召集人、資訊室主任擔任執行秘書,並設督察、保防、人事、會計、秘書及資訊六位常任委員。另成立本局資訊安全管理系統(ISMS)工作小組辦理資訊安全相關事宜。
二、本局資訊安全工作之權責分工如下:
(一)資訊單位:負責資訊系統之規劃、管理與維護,電腦軟硬體設備之建置與管理及員警同仁資訊安全教育訓練等。
(二)人事單位:負責員警到(離)職、遷調等事宜。
(三)秘書單位:負責資訊安全相關計畫、措施及技術規範之研議等。
(四)政風(督察、保防)單位:負責督考資訊機密維護、稽核使用管理及資訊作業、資料銷毀等保密安全事宜。
(五)使用單位:負責追蹤管制電腦資料處理過程及防止資料外洩。
參、人員進用及教育訓練
一、人員進用之管理
(一)本局對人員之進用及調派,應辦理適當之安全評估與確認其身分背景,考量其人格特質、經歷、專業資格能力等。
(二)本局各級主管應負責督導所屬之資訊作業安全,防範不法及不當行為;對可存取機密性、敏感性資訊或系統者及配賦系統存取特別權限之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。
(三)離職、退休人員,應立即取消其識別碼、通行碼,管制系統使用權限。
二、資訊安全教育訓練
(一)每年依員警同仁職務層級,至少辦理一次資訊安全教育訓練,促使員警同仁瞭解資訊安全的重要性,各種可能的安全風險,以提升員警同仁資訊安全意識,促其遵守資訊安全規定。
(二)隨時公告資訊安全相關訊息。
肆、員警同仁之公務機密責任
一、本局資訊安全政策應以書面、電子或其他方式告知員警同仁,每位同仁應遵守本政策所訂定之規範及其他相關資訊安全規定。若違反資訊安全相關規定,得依情節輕重予以處分。
二、本局同仁應遵守維護公務機密之相關法令規定,在職及離退職後,均不得洩漏所知悉之業務機密,或為不當之使用,否則視其情節輕重予以處分或追究其民、刑事責任。
伍、電腦病毒及惡意軟體之安全管理
一、電腦病毒及惡意軟體之控制
本局伺服器及個人電腦應採行必要的事前預防及保護措施,防制及偵測電腦病毒及惡意軟體等之入侵;促使員警同仁正確認知電腦病毒的威脅,提升員警同仁的資訊安全警覺,健全系統之存取控制機制。
二、電腦病毒防範應考量的重要原則
(一)各單位及使用者應遵守軟體授權規定,嚴禁使用未取得授權的軟體。
(二)使用電腦病毒防制軟體,應依下列原則:
1、電腦病毒防治軟體及病毒碼應定期更新。
2、應慎選使用可掃除電腦病毒及回復系統功能的解毒軟體。
3、嚴禁使用對來路不明之儲存媒體,
4、應定期將必要的資料及程式備份。
陸、網路及電子郵件之安全管理
一、網路安全管理
(一)嚴禁下載未經授權使用的檔案或軟體。
(二)嚴禁將色情檔案建置在本局網路,亦不得在網路進行不法、不當或違反善良風俗習慣的行為。
(三)嚴禁利用本局網路從事不法、不當得利之情事。
(四)網路使用者不得以任何手段蓄意干擾或妨害網路系統的正常運作。
(五)電腦設備如遭病毒感染,應立即離線,直到資訊人員確認病毒已消除後,才可重新連線。
(六)警政公務資料,嚴禁存放在對外上網的公務電腦中或以任何方式攜出。
二、電子郵件之安全管理
(一)密等以上的電子資料,不得以電子郵件傳送;敏感性資訊如有電子郵件傳送之必要,須經加密處理後傳送。
(二)嚴禁打開來路不明的電子郵件,以免啟動惡意執行檔,使網路系統遭到破壞;並應通知電子郵件系統管理者處理。
(三)嚴禁發送電子郵件騷擾他人,導致其他使用者之不安與不便。
柒、業務永續運作計畫
訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。
捌、資訊安全事件緊急處理機制
一、本局業務如因資訊安全事件(包括系統有安全漏洞、遭受非法入侵及破壞、遭遇阻斷服務攻擊及功能不正常事件等),致電腦系統無法運作或影響執行效率時,相關人員應視其狀況嚴重程度及影響層面,循序向各權責主管報告。
二、本局同仁發現有資訊安全事件時,應依本局資訊安全事件通報管道,迅速通報權責主管單位及人員處理。
三、本局資訊人員,應立即依『行政院資通安全危機通報及應變作業計畫』規定向上通報。
四、同時停止使用受影響之電腦系統或設備,並保留現況。
五、系統管理人員處理後,應向單位主管回報處理結果,並作成紀錄。
玖、政策修訂
一、本政策每年至少評估一次,依業務變動、技術發展及風險評鑑結果進行修訂,必要時得依最新法令、技術及業務或其他發展現況隨時評估,以確保資訊安全實務運作之可行性及有效性。
二、本政策須經資訊安全推行小組審議通過,奉局長核定後實施,修正時亦同。
|
