壹、政策聲明

（一）為確保資訊系統安全及建立可信賴之環境，相關使用者需經過正常程序之申請授權，方能閱讀或存取授權範圍內之機敏資訊，期間並保障資訊於處理、傳輸、儲存之過程中皆能正確無誤之使用，及避免資訊與系統被無意或惡意之竄改或變更，並確保智慧財產權及個人資料都能得到妥適的保護，避免不當的使用。

（二）對於個人資料之蒐集、處理及利用，將依相關法令之規定，僅就其特定目的之用，不會恣意對其他第三者揭露。

（三）以簡單且容易記憶並符合資訊安全管理為原則，訂定資訊安全政策聲明口號：機密資料保護好，資安管理不可少，持續服務為首要，養成習慣沒煩惱。

貳、目標

（一）依據資訊安全管理系統 (Information Security Management System ， ISMS) 之精神與要求，作為本府推廣資訊安全管理制度之基礎準則。

（二）確保本府相關資訊系統之資料的機密性 (Confidentiality) 、完整性 (Integrity) 、可用性 (Availability)與法規/合約(Legal)，以達正常持續運作之目標。

（三）依據 PDCA （Plan、Do、Check、Action）流程模式，以循序漸進及週而復始的精神，確保本府資訊業務運作之有效性與持續性，並訂立資訊安全目標量測機制，期能不斷精進。

参、作業流程執行與要求

（一）高層支持：

推動資訊安全管理，必須由高層主管支持與參與。

（二）政策先行：

列出優先實施範圍，逐步推廣與落實。

（三）全體共識：

充分了解資訊安全管理制度的重要性，建立使命感。

（四）教育訓練：

適度資訊安全教育訓練，加強資訊安全管理觀念與技能。

（五）定期稽核：

透過稽核程序，發現資訊安全問題，提出改善建議，降低資安風險。

（六）適時改善：

發生資訊安全問題，即時研商對策，謀求改善機制，健全資訊安全管理制度。

（七）電腦病毒及惡意程式之防範：

1.事前預防及保護措施，防制及偵測電腦病毒及惡意程式侵入。

2.建立個人電腦使用規範及適當宣導，促使同仁正確認知電腦病毒及惡意程式的威脅並提升資訊安全警覺。

（八）重要資訊備份：

1.正確及完整的重要備份資料，除存放在主要的作業場所外，應另外存放在不同的安全場所，以防止主要作業場所發生災害時可能帶來的傷害。

2.不定期測試並還原重要備份資料，以確保可用性與完整性。

3.重要資料的保存時間，以及檔案的保存需求，由資料擁有者研提及控管。

（九）資訊交換：

1.資訊資料交換應有妥善安全措施，以防止資料遭破壞、誤用或未經授權存取。

2.確保傳送過程中之實體媒體安全，不受未經授權的存取、誤用或毀損。

（十）營運資訊保護：

使用辦公室電子設備（含影印機與傳真機），應注意資訊安全； 產出機敏性文件時，應全程監看並於產出後妥善收存。

（十一）存取控制：

1.訂定系統存取授權規定，並告知使用者相關之權限及責任。

2.人員異動或職務調整時，應依系統存取授權規定，限期調整其權限。

3.強化使用者通行密碼管理並定期更新。

4.使用機敏性媒體應於離開座位時放置安全處所，避免未授權者取閱；電腦設施亦應設置螢幕保護機制並設定密碼保護，於離開操作後限定時間內啟動。

5.除申請核准之事由外，不得攜帶可攜式之儲存裝置或個人筆記型電腦進入資訊機房，避免機敏資料外流。

6.辦公桌面、伺服器及個人電腦螢幕應保持淨空，不置放機敏性文件。

（十二）電腦網路服務的使用：

1.被授權的電腦網路使用者，只能在授權範圍內存取電腦網路資源。

2.訂定電子郵件使用規定，機敏性資料不宜以電子郵件方式傳送。

（十三）行動通訊及遠距工作：

未經授權禁止於本府資訊機房內使用行動式通訊設備及以遠端連線方式存取本府之資訊資產。