您的瀏覽器不支援JavaScript語法,但是並不影響您獲取本網站的內容
首頁> 資訊安全管理政策
 資訊安全管理政策Information Security Policy
交通部運輸研究所資訊安全管理作業須知
  • 1. 交通部運輸研究所(以下簡稱本所)為強化資訊安全管理,特依據「行政院及所屬各機關資訊安全管理要點」, 訂定本作業須知。
  • 2. 電腦系統安全管理
    • 本所各單位辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約, 要求廠商遵守並定期考核。
    • 本所各單位對系統變更作業,應建立控管制度,並建立紀錄,以備查考。
    • 本所各單位應依相關法規或契約規定,複製及使用軟體,並依據本所軟體管理作業須知相關規定辦理。
  • 3. 本所網路伺服器連線管理
    • 新進人員可自行準備好網路帳號後,逕洽運輸資訊組資訊同仁辦理。
    • 登錄網路後才可使用網路之公共空間資源,以便同仁進行檔案交換,及各項軟體安裝。
    • 離職人員之網路帳號,自離職日起由運輸資訊組取消使用。
    • 網路連線設定方式,請參閱本所登載於INTRANET之資訊安全計畫同仁注意事項。
    • 本所網路連線係屬政府網際服務網(GSN),該連線服務係作為機關網際網路環境連網公務使用, 嚴禁本所同仁運用本所網路資源,從事任何非公務用途之行為。
    • 本所嚴禁同仁自行架設網路無線基地台主機(AccessPoint,AP),如確因業務需要, 須經運輸資訊組測試,並簽奉核可後方可使用,以免造成網路安全漏洞,及影響同仁網路之使用。
  • 4. 電子郵件(E-Mail)管理
    • 新進人員可自行準備好E-Mail帳號後,逕洽運輸資訊組資訊同仁辦理。
    • 離職人員之E-Mail帳號,自離職日起兩週後,由運輸資訊組取消使用。
    • 啟動E-mail應設定密碼且使用者應依規定定期變更。
    • 本所電子郵件伺服器已對有附加檔之電子郵件先預作掃毒措施,但使用者仍應儘量避免讀取來歷不明的文件檔 或含有巨集範本郵件,以防範病毒夾雜其中侵入。
    • 個人電腦掃毒軟體應啟動POP3郵件掃描功能。
    • 機密或敏感性資料以電子郵件傳送,應先加密處理再傳遞。
  • 5. 密碼、通行碼與識別碼管理
    • 本所同仁所使用之個人電腦均應設定開機通行碼、區域網路通行碼、以及螢幕保護程式密碼。
    • 通行碼資料應自行妥為保管,不得明文寫下張貼於辦公室明顯處。
    • 通行碼應視為機密文件,且每半年至少更改一次。
    • 重要資料庫之通行碼或密碼,至少設定八碼以上,且必須由英文字母與數字符號混合構成。
    • 使用者三次登入通行碼失敗後,系統將停止其使用,並將全部錯誤資料收錄於紀錄檔(log) 中,以便日後查詢,同仁若欲再使用,請洽運輸資訊組資訊同仁辦理。
  • 6. 防毒安全處理機制
    • 本所各項主機、個人電腦已全面安裝防毒軟體,防毒軟體掃毒引擎及病毒碼均會自動即時更新。
    • 有關病毒最新資訊,請同仁隨時上INTRANET查詢,已確保掃毒引擎及病毒碼已更新至最新版本, 若無法自動更新病毒碼,請即洽運輸資訊組資訊同仁處理。
  • 7. 個人電腦相關安全基本設定
    • 個人電腦瀏覽器應設定Java不啟動。
    • 個人電腦應設定Outlook Express電子郵件不要勾選自動傳送。
    • 個人電腦資料夾應盡量不要設資源分享,若必要設資源分享時, 應設成唯讀且須密碼保護,並於連線完畢後即刻關閉資源分享。
    • 同仁應避免自網路下載如電子遊戲軟體、螢幕保護程式等程式,以防止中毒或被植入木馬程式。
    • 同仁每週至少應至微軟Windows Update網站更新一次作業系統軟體,或當瀏覽器自動通知有重大更新訊息時, 應即刻更新以修補相關漏洞,確保安全。
  • 8. 系統存取控制管理
    • 本所對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。
    • 本所之重要資料委外建檔,不論在機關內外執行,均應採取適當及足夠之安全管制措施, 防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
    • 本所應建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業 ;電腦系統中之稽核紀錄檔案,應禁止任意刪除及修改。
  • 9. 系統發展及維護安全管理
    • 本所自行開發或委外發展系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量; 系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
    • 本所對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍, 並嚴禁核發長期性之系統辨識碼及通行密碼。如因實際作業需要,得由系統管理人員核發短期性及臨時性 之系統辨識及通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。
    • 本所委託廠商建置及維護重要之軟硬體設施,應在相關人員監督及陪同下始得為之。
    • 本所應訂定業務永續運作計畫,評估各種人為及天然災害對正常業務運作之影響, 訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。
    • 本所應建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依規定之處理程序, 立即向權責主管單位或人員通報,採取反應措施,並聯繫檢警調單位協助偵查。
  • 10. 電腦機房(資訊中心)門禁管制措施
    • 電腦機房進出應設置機房進出登記簿,以進行人員管制。
    • 電腦機房應設置機房日誌以記錄異常狀況資料(其內容如:開機發現異常記載、發現非授權人試圖登入、 溫度異常、掃毒結果記載、設備異常等記載),並由專人管理。
    • 電腦機房日誌應定期陳閱,並對記載續辦處理事項應賡續追蹤處理。
  • 11. 電腦教室使用規定
    • 本所同仁如欲使用電腦教室舉辦電腦相關教育訓練,可洽運輸資訊組資訊同仁安排, 並告知所需軟硬體規格,以利準備事宜。
    • 電腦教室設有彩色雷射印表機、大型繪圖機及資料燒錄設備,有需要之同仁可洽運輸資訊組資訊同仁登記使用。
  • 12. 資訊人員管理
    • 本所應針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導 ,建立員工資訊安全認知,提升資訊安全水準。
    • 本所應加強資訊安全管理人力之培訓,提升資訊安全管理能力。資訊安全人力或經驗如有不足, 得洽請學者專家或專業機關(構)提供顧問諮詢服務。
    • 資訊人員任用結束、約聘條件或契約終止時,應斟酌情形重新檢討資訊機密維護之妥適性。
    • 進用之資訊人員,如其工作職責須使用處理敏感性、機密性資訊科技設施, 或須處理機密性及敏感性資訊者,應經適當之安全評估程序
  • 13. 本作業須知提經本所所務會報通過後實施,修正時先由「資通安全處理小組」 召開會議討論後,再提本所所務會報通過或簽請所長核准後實施。