壹、計畫依據
依據 中華民國九十一年六月六日 行政院第二次修訂「建立我國資通訊基礎安全機制計畫」辦理。
貳、計畫目標
一、確保本所人員、設備與資訊安全。
二、防範一切意外、破壞事件發生於未然。
三、建立本所資通安全事件緊急通報機制。
四、及時補救並減輕災害所減損的資訊服務品質。
參、資通安全事件範圍、分類與等級
一、資通安全事件之範圍
1.本所全體人員、設備及各應用資訊系統。
2.合約維修及維護廠商。
二、資通安全事件之分類
1.內部危安事件:發現(或疑似)遭人為惡意破壞毀損、作業不慎等危安事件。
2.外力入侵事件:
包括:病毒感染、駭客攻擊或非法入侵。
3.天然災害或重大突發事件:
如遇颱風、水災、地震等天然災害或火災、爆炸、核子事故、重大建築災害等重大意外事件。
三、資通安全事件之等級
依其影響層面之深淺概分為四級:
『 A 級』:影響公共安全、社會秩序、人民生命財產。
『 B 級』:系統停頓,業務無法運作。
『 C 級』:業務中斷,影響系統效率。
『 D 級』:業務短暫停頓,可立即修護。
肆、資訊安全規定
1.本所電腦設備及資訊機密應採取安全與維護措施,其有關主管或負責人,應於權責範圍內負監督之責,並採取必要稽核措施以強化資訊安全。
2.本所網路應設置防火牆以強化安全防護,防範外來駭客入侵,有關功能應依環境變化之需要更新或調整。
3.各項資訊之輸入、處理、傳輸與儲存,應視其重要性建立適當之識別與保密措施,包括識別碼、通行碼與資料加解密的實施。
4.有關人員之識別碼與密碼之核發後,如遇離職異動應即刻收回各項資源之使用權限,以免留下駭客可乘之機;基於廠商設備維護之需要,得申請短期及臨時性之識別碼與密碼,使用完畢後立即取銷其使用權限。
5.各項重要之作業系統、硬用軟體及相關檔案等資料,均應製作備份分別存放,有需長期保留或重要檔案之備份,應考慮使用防火、防震等保險設備異地備援。
6.伺服系統及主機應注意區域網路的通透性,關閉不必要的訪客連繫管道,以避免入侵;個人電腦及其他設備之使用人員亦應隨時檢視,防範機密資訊經由網路管道被竊取。
7.遵守著作權法,禁止使用來歷不明之軟體上機,防範感染電腦病毒。
8.不定期派員參加網路安全相關之講座或訓練。
9.違反本資訊安全措施有關規定者,依情節輕重議處。
伍、意外防範
1.本所相關資訊設備,應指派專人負責管理;電腦應愛惜使用,避免重壓、敲擊,零件維修應使用良品,有關電源之使用,應特別注意電力負載,防範一切因不良品或電力超載使用之危險。
2.設備有關之電源、不斷電及防火設備應定期檢查。
3.本所設置門禁管制系統,辦公場所於下班時間亦予管制,閒雜人等不得隨便進出,以防範人為破壞意外發生,全體人員應有辦公室安全觀念,遇有陌生人員來訪應主動詢問,並注意攜帶之物品及其動向避免接近重要設備。
4.各種印出報表、器材及磁帶等物品,應收拾整齊,必要時應上鎖以防盜竊。
5.辦公處所,不得擅自堆積紙箱或易燃物品,搬運應小心避免接近電源。
陸、緊急應變
一、天然災害應變
(一) 火災應變 :
1.本所裝置有滅火機,為防泡沫噴灑破壞相關設備,除遇大火無法撲滅時,才以泡沫噴灑電腦設備,全體人員均應能熟悉操作滅火機設備。
2.察知火災發生時應迅速尋找起火原因,並立刻關閉電源開關,設法移除燃燒物或使用滅火器撲滅火苗;滅火器之使用,除非情況之絕對需要,儘量避免對電腦設備直接噴灑。
3.易燃物品及相關設備、媒體應即時移離,並向消防單位報告請求支援。
4.各業務應擬訂電腦當機人工作業程序,如電腦當機或設備因火災燬損時,得以遵循辦理。
(二) 震災應變:
1、遇有強烈地震發生,應依震災逃生法則尋求掩護,狀況稍有紓解時即進行緊急關機,逃離現場至安全地帶。
2、地震發生後,各人或值班人員應立即檢視其保管設備,對於電源線路應小心查察,並將檢查狀況登錄於值班日誌,有異狀時即刻排除或報請有關人員修護。
(三) 其他災變:應先視發生狀況採取適當應變措施,並逐級陳報。
二、人為破壞應變
(一) 人員闖入
1.辦公處所注意門禁管制,如遇有陌生人員擅自闖入,應即刻予以查問其來意,引導至正確場所洽辦。
2.如有來意不善人員闖入,則應設法虛與委蛇,並伺機通報警察處理。
(二) 網路入侵
1.主機重要資料應即時備份,如發現有駭客侵入,應立即通報高雄SC,執行檢查與回復作業;事後並將處理情況依規定逐級陳報。
2.遇有疑似駭客入侵,應立即報告單位主管,採取應變措施,事後應將處理情況登錄值班日誌,並依規定逐級陳報。
(三) 危險物品 `
發現汽油彈、強酸、疑似爆裂物品,或間雜有火藥氣味、時計聲響等之危險物品,應保持最高警覺,勿擅自打開或搬動,除疏散有關人員外並報告上級及有關單位 ( 衛生局政風科、七股分駐所 ) 派員處理。
柒、狀況通報
如有狀況請隨時報告各單位主管或依狀況打左列電話:
衛生局政風科:6357223
七股分駐所:7872154
捌、考核
所有人員均應依本計劃規定辦理,以確保資訊安全工作,違反本計畫規定者,依情節予以適當處分。
玖、附則
本計畫奉核定後實施,如有未盡事宜,隨時得以補充。