資訊安全政策 當 script 無法執行變更字級大小時,IE6請利用鍵盤按住Alt鍵 + V → X → (G)最大(L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小,而IE7或Firefox瀏覽器則可利用鍵盤Ctrl + (+)放大(-)縮小來改變字型大小 A+ A A- line facebook twitter 當 script 無法執行友善列印時可至 [檔案] / [列印] print 交通部運輸研究所資訊安全管理作業須知 交通部運輸研究所(以下簡稱本所)為強化資訊安全管理,特依據「行政院及所屬各機關資訊安全管理要點」, 訂定本作業須知。 電腦系統安全管理 本所各單位辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約, 要求廠商遵守並定期考核。 本所各單位對系統變更作業,應建立控管制度,並建立紀錄,以備查考。 本所各單位應依相關法規或契約規定,複製及使用軟體,並依據本所軟體管理作業須知相關規定辦理。 本所網路伺服器連線管理 新進人員可自行準備好網路帳號後,逕洽運輸資訊組資訊同仁辦理。 登錄網路後才可使用網路之公共空間資源,以便同仁進行檔案交換,及各項軟體安裝。 離職人員之網路帳號,自離職日起由運輸資訊組取消使用。 網路連線設定方式,請參閱本所登載於 INTRANET 之資訊安全計畫同仁注意事項。 本所網路連線係屬政府網際服務網(GSN),該連線服務係作為機關網際網路環境連網公務使用, 嚴禁本所同仁運用本所網路資源,從事任何非公務用途之行為。 本所嚴禁同仁自行架設網路無線基地台主機(AccessPoint,AP),如確因業務需要, 須經運輸資訊組測試,並簽奉核可後方可使用,以免造成網路安全漏洞,及影響同仁網路之使用。 電子郵件(E-Mail)管理 新進人員可自行準備好 E-Mail 帳號後,逕洽運輸資訊組資訊同仁辦理。 離職人員之 E-Mail 帳號,自離職日起兩週後,由運輸資訊組取消使用。 啟動 E-mail 應設定密碼且使用者應依規定定期變更。 本所電子郵件伺服器已對有附加檔之電子郵件先預作掃毒措施,但使用者仍應儘量避免讀取來歷不明的文件檔 或含有巨集範本郵件,以防範病毒夾雜其中侵入。 個人電腦掃毒軟體應啟動 POP3 郵件掃描功能。 機密或敏感性資料以電子郵件傳送,應先加密處理再傳遞。 密碼、通行碼與識別碼管理 本所同仁所使用之個人電腦均應設定開機通行碼、區域網路通行碼、以及螢幕保護程式密碼。 通行碼資料應自行妥為保管,不得明文寫下張貼於辦公室明顯處。 通行碼應視為機密文件,且每半年至少更改一次。 重要資料庫之通行碼或密碼,至少設定八碼以上,且必須由英文字母與數字符號混合構成。 使用者三次登入通行碼失敗後,系統將停止其使用,並將全部錯誤資料收錄於紀錄檔(log) 中,以便日後查詢,同仁若欲再使用,請洽運輸資訊組資訊同仁辦理。 防毒安全處理機制 本所各項主機、個人電腦已全面安裝防毒軟體,防毒軟體掃毒引擎及病毒碼均會自動即時更新。 有關病毒最新資訊,請同仁隨時上 INTRANET 查詢,已確保掃毒引擎及病毒碼已更新至最新版本, 若無法自動更新病毒碼,請即洽運輸資訊組資訊同仁處理。 個人電腦相關安全基本設定 個人電腦瀏覽器應設定 Java 不啟動。 個人電腦應設定 Outlook Express 電子郵件不要勾選自動傳送。 個人電腦資料夾應盡量不要設資源分享,若必要設資源分享時, 應設成唯讀且須密碼保護,並於連線完畢後即刻關閉資源分享。 同仁應避免自網路下載如電子遊戲軟體、螢幕保護程式等程式,以防止中毒或被植入木馬程式。 同仁每週至少應至微軟 Windows Update 網站更新一次作業系統軟體,或當瀏覽器自動通知有重大更新訊息時, 應即刻更新以修補相關漏洞,確保安全。 系統存取控制管理 本所對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。 本所之重要資料委外建檔,不論在機關內外執行,均應採取適當及足夠之安全管制措施, 防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。 本所應建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業 ;電腦系統中之稽核紀錄檔案,應禁止任意刪除及修改。 系統發展及維護安全管理 本所自行開發或委外發展系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量; 系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。 本所對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍, 並嚴禁核發長期性之系統辨識碼及通行密碼。如因實際作業需要,得由系統管理人員核發短期性及臨時性 之系統辨識及通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。 本所委託廠商建置及維護重要之軟硬體設施,應在相關人員監督及陪同下始得為之。 本所應訂定業務永續運作計畫,評估各種人為及天然災害對正常業務運作之影響, 訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。 本所應建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依規定之處理程序, 立即向權責主管單位或人員通報,採取反應措施,並聯繫檢警調單位協助偵查。 電腦機房(資訊中心)門禁管制措施 電腦機房進出應設置機房進出登記簿,以進行人員管制。 電腦機房應設置機房日誌以記錄異常狀況資料(其內容如:開機發現異常記載、發現非授權人試圖登入、 溫度異常、掃毒結果記載、設備異常等記載),並由專人管理。 電腦機房日誌應定期陳閱,並對記載續辦處理事項應賡續追蹤處理。 電腦教室使用規定 本所同仁如欲使用電腦教室舉辦電腦相關教育訓練,可洽運輸資訊組資訊同仁安排, 並告知所需軟硬體規格,以利準備事宜。 電腦教室設有彩色雷射印表機、大型繪圖機及資料燒錄設備,有需要之同仁可洽運輸資訊組資訊同仁登記使用。 資訊人員管理 本所應針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導 ,建立員工資訊安全認知,提升資訊安全水準。 本所應加強資訊安全管理人力之培訓,提升資訊安全管理能力。資訊安全人力或經驗如有不足, 得洽請學者專家或專業機關(構)提供顧問諮詢服務。 資訊人員任用結束、約聘條件或契約終止時,應斟酌情形重新檢討資訊機密維護之妥適性。 進用之資訊人員,如其工作職責須使用處理敏感性、機密性資訊科技設施, 或須處理機密性及敏感性資訊者,應經適當之安全評估程序。 本作業須知提經本所所務會報通過後實施,修正時先由「資通安全處理小組」 召開會議討論後,再提本所所務會報通過或簽請所長核准後實施。