基隆市政府 政風處 Department of Civil Service Ethics
Keelung City Government

基隆市政府所屬機關學校資訊與電腦設備安全管理規範（98年6月16日本府第1351次市務會議通過）

一、為維護基隆市政府所屬機關暨各級學校（以下簡稱為各機關學校）之資訊與電腦設備安全，健全電腦設備管理制度，並確保資料安全及機密維護，避免因內部或外部、蓄意或意外之各種威脅與破壞，致發生業務無法正常運作或資訊遭受竄改、揭露、破壞或遺失等風險，特訂定本規範。

二、資訊安全之定義:為確保資訊處理之正確性、作業人員之忠誠度、所使用事物機器(包括電腦硬體、軟體、週邊)及網路系統之可靠性，並確保各項資源免受任何因素之干擾、破壞、入侵或任何不利之行為，經由適當的系統規劃、程序規範及行政管理的相互配合，以防範來自內、外部的威脅，達到維護系統安全的目的。

三、電腦設備之定義:主機伺服器、個人電腦、筆記型電腦、掌上型電腦、或其他具有儲存傳輸照相等功能之產品、辦公室之區域網路、網際網路之數據專線及相關網路之軟硬體設施。

四、電腦主機、各應用伺服器等設備應設置於專用機房，並指定專人負責管理。

五、電腦設備維護狀況應做成紀錄，設備故障並應儘速排除或聯繫維護廠商處理。

六、各機關學校應定期執行資料及軟體備援作業，以便發生災害或是儲存媒體失效時，可迅速回復正常作業。儲存媒體應存放於安全之環境，並定期更換，以確保資料之完整可用。

七、資訊業務委外時，應於事前審慎評估可能的潛在安全風險（例如資料或使用者通行碼被破解、系統被破壞或資料損失等風險），並與廠商簽訂適當的資訊安全協定，以及課予相關的安全管理責任，並納入契約條款。

八、開放外界連線作業之資訊系統，應視資料及系統之重要性及價值，採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施，防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。

九、與外界網路連接之網點，應以防火牆及其他必要安全設施，控管外界與內部網路之資料傳輸與資源存取。

十、應安裝授權版之防毒軟體，建置入侵偵測、弱點分析等防駭軟體，以保護機關內部網路免於受病毒感染及惡意軟體或駭客入侵之情事發生，此外設備應隨時上網下載、更新最新病毒碼、主機作業系統漏洞修補等。

十一、使用者新進、調整職務及離（休）職時，應以書面通知人事及各應用系統之作業單位或負責人，各應用系統負責人並應依通知及連線作業使用者申請，新增、調整或刪除其使用權限，確保系統安全。

十二、任何帳號皆必須設定通行密碼（電腦教室教學電腦除外），使用者通行密碼應符合安全原則，建議使用最少六位長度的通行密碼，並應定期更改通行密碼（建議至少三個月一次為原則，最長不宜超過六個月）。各電腦應設定10分鐘內、6個字元以上之電腦螢幕保護程式及密碼(戶役政資訊電腦除外)。

十三、人員暫時離開時，應使用鍵盤鎖或其他控管措施保護電腦設備，不使用電腦設備時，盡量登出電腦系統或離線。

十四、對系統服務廠商以遠端登入方式進行系統維修者，應加強安全控管，並課其相關安全保密責任。

十五、機房應派有專職管理人員（以下簡稱機房管理員），負責管理門禁管制及相關安全維護措施，其他未經許可人員，禁止進入機房。機房管理員須明確告知獲准進出機房人員所能執行的工作及禁止事項。

十六、機房設備若需外送修理或修妥送回，應填列出入管制所需之「機房物品出入登記表」。為加強管制及安全維護，機房應設置門禁管制，由資訊主管及機房管理員各持磁卡或鑰匙管制門禁。

十七、任何人員不得攜帶非工作上所需之物品，如飲料、食物進入機房（辦公區除外），不得在機房及操作室等管制區域內吸煙，並執行清潔作業以維護機房整潔。操作台上各種文具、報表、手冊、表單等應排放整齊，用完後歸定位。

十八、個人相關資料之存放、建檔、查核、報廢程序之管理及紀錄，應遵循「電腦處理個人資料保護法」等相關對個人資訊隱私及資料保護之規範。

十九、設備報廢處理之安全措施應刪除機密資料，在進行報廢處理前應詳加檢查，以確保任何機密性、個人隱私之資料均已完全清除。

二十、各公務電腦嚴格禁止裝設點對點(P2P)下載軟體，以防資料外洩。

二十一、禁止使用未經授權之電腦程式、違法下載、複製、散布受著作權法保護之著作，或其他可能涉及侵害智慧財產權之行為。

二十二、禁止利用機關學校之網路資源從事非教學、研究和行政等相關之商業活動或違法行為。