一、經濟部國際貿易署(以下簡稱本署)為健全資通安全環境,強化本署人員
資通安全程度及認知,防止人為疏失、蓄意破壞或機密資料外洩等情事發
生,確保本署電腦設備、資料、系統及網路安全,特訂定本規定。
二、本規定主要為規範本署公務作業相關資通安全責任,俾落實執行。
三、辦公環境安全規定
(一)重要文件及其儲存媒體(紙張、隨身碟、磁片、光碟片等)應適當保
管。
(二)不用之紙張文件或報表應採取適當的程序加以銷毀或廢棄。
(三)資訊設備於無人看管或下班時應採取適當之防護措施。
四、密碼管理規定
(一)密碼長度至少十二碼,採英文字母、數字、特殊符號混合使用之原則
,並應妥善保管,不得外洩。
(二)密碼應至少每九十天更換一次,且三代不得重覆。
(三)啟用螢幕保護功能,時間至少十五分鐘,並設定密碼。
(四)署內之連網電腦需登入網域(DMBOFT),統一套用密碼規定;其他電
腦需自行設定 Windows 密碼,並符合上述密碼規定。
(五)網際網路瀏覽器不得啟用自動記憶帳號及密碼之功能。
五、網際網路管理規定
(一)不得使用 P2P(Peer-to-Peer)檔案分享程式、抓檔軟體、續傳軟體
等或利用電子郵件服務進行任何可能對網路正常傳輸造成不利影響的
行為。
(二)連網電腦禁止瀏覽非法或本署所限制之網站,例如:社交網站、色情
網站、線上遊戲網站、賭博網站、直播網站及拍賣網。
(三)機密資料及文件須以權責主管機關認可之加密機制加密後始得在網際
網路上傳送。機密資料及文件以外之敏感性或個人隱私資料,應予以
加密,始得傳送。
(四)個人私用之電子郵件不得傳送公文或作為公務連絡。
(五)郵件瀏覽器須關閉郵件預覽之功能。
(六)不隨意回覆或打開不明郵件。
(七)在署辦公者,電腦應避免二十四小時開機,不使用時即關機或離線。
居家辦公者仍應注意電腦使用情況,暫時離開時應登出電腦,長期不
使用時應關機。
(八)本署員工(含臨時人員)、委外駐點人員非經核准,一律禁止攜入非
本署之個人電腦、筆記型電腦、網路設備及其他具備連線本署區域網
路能力之設備。
(九)外賓携入之電腦不得連接本署有線區域網路,但得使用本署無線網路
。使用無線網路前須填寫「無線網路使用登記表」,並經本署承辦人
簽名後,取得使用帳號和密碼。
(十)禁止在本署區域網路內任何電腦上使用行動網路及任何無線網路。
(十一)為執行職務(如負責為民服務事項)或瞭解民意、推動政策等需要
,上網連結本署所限制之網站(如 Facebook、PTT、YouTube) 或
使用雲端硬碟,及安裝 Juiker 以外之即時通訊軟體,應提出申請
,經單位主管同意,始得使用。
(十二)為執行公務需要,限科長級以上主管,始得使用全署群組帳號發送
電子郵件予全署同仁。
(十三)使用本署區域網路以公務需求為原則,並應遵守上述相關規定;非
上班時間更應提高警覺,以避免資安事件發生。
(十四)公務之電子郵件不得用來註冊電商網站、社交軟(媒)體等非公務
用之帳號。
六、實體隔離規定
(一)隔離電腦指非連接任何網路之電腦(單機使用),應張貼明顯之識別
標籤;連網電腦指連接網際網路,供上網瀏覽資訊或收發電子郵件之
電腦,兩者不得混用。
(二)隔離印表機指連接於隔離電腦或隔離電腦串接區域之印表機,不得同
時連接於網路。
(三)隔離電腦與連網電腦不得共用印表機。
(四)機密公文及敏感性資料須於隔離電腦、隔離印表機製作或列印;發文
作業則依文書處理作業規定辦理。
(五)隔離電腦變更用途為連網電腦或連網電腦變更用途為隔離電腦時,須
填具資訊作業需求單,由資訊室將電腦重新格式化、重新安裝作業系
統。
(六)禁止將行動裝置連接於本署電腦充電。
七、筆記型電腦安全性規定
(一)公務用筆記型電腦每月須送回資訊室進行安全性檢查。
(二)公務用筆記型電腦如曾連接署外網路,於連接本署有線區域網路前,
須送回資訊室檢查。
(三)公務用筆記型電腦有中毒疑慮或受其他資訊安全威脅時,應將電腦送
回資訊室處理。
(四)公務相關資料勿存放於筆記型電腦,應備份於其它儲存媒體。
(五)使用筆記型電腦應符合密碼管理規定。
八、軟體使用規定
(一)授權軟體是指具合法版權,且經主管同意使用於公務之軟體;其餘均
為非授權軟體。
(二)禁止下載或使用非授權軟體;請各單位主管善加督導,並視個案情形
由資訊室會同政風室處理。
(三)禁止安裝任何非法、來路不明或資安主管機關明文禁止之軟體,例如
:P2P 軟體。因業務需求申請安裝之軟體,須經單位主管核准。
(四)本署個人電腦之授權軟體由資訊室統一安裝。
(五)登入網域之電腦即能自動更新修補 Windows、Office 漏洞及防毒程
式病毒碼,其他公務用電腦請洽資訊室處理。
九、資料保護規定
(一)各單位應列出機密及敏感資料要項,俾便同仁遵循。
(二)機密性或敏感性資料,須儲存於專用之光碟、磁片、加密硬碟或隨身
碟,且禁止使用於連網電腦。
(三)人員離職前須將電腦中之資料備份後,將電腦交回資訊室,由資訊室
將電腦格式化、重新安裝作業系統。
(四)禁止在家中等使用連網電腦處理機密性或敏感性公務。
(五)禁止使用網路芳鄰共享資料夾(登入網域之電腦已統一套用本規定)
。
(六)各項重要資料,均應做妥善之資料備份,並定期測試備份資料,以確
保備份資料之可用性。
(七)落實印表管制,一般公文或報表資料應於各單位之印表機、無法對外
連線之影印機或封閉傳真功能且無法對外連線之多功能事務機列印,
特殊情況得將資料交資訊室列印。
(八)機密及敏感資料載具(光碟、磁片、外接式硬碟等)之銷毀,須填具
資訊作業需求單,由申請人會同資訊室、政風室、秘書室等有關人員
共同銷毀。
(九)資訊室每年定期以軟體工具清查同仁連網電腦疑似個人資料檔案,同
仁應於 Intranet 查詢該等檔案之檔案名稱及儲存路徑;單位主管應
負責督導同仁,將含有個人資料之檔案移除或加密。
十、社交工程防範規定
(一)突然接獲非經常往來長官、朋友或廠商之電子郵件,宜謹慎處理。
(二)非職務必要,應避免回應外部人員有關公務之任何詢問。
(三)遭遇恐嚇、脅迫或任何疑似詐騙之行為時,應保持冷靜,不任意接受
妥協,並儘速通報相關單位
(四)不可將密碼隨意抄錄放置,在任何情況下不可將密碼告知他人,包括
長官及資訊室人員。
(五)本署或其他上級機關電子郵件社交工程演練結果不合格者,由資訊室
簽陳署長後公布於 Intranet 。
(六)開啟或點閱真實社交惡意電子郵件,且造成資訊安全事件者,由資訊
室簽陳署長後公布於 Intranet 。
(七)前二款發生次數每年累計超過三次以上之同仁名單將送人事室提交年
度考績委員會參考。
十一、帳號管理規範、人員訓練
(一)使用本署區域網路資源(含個人電腦),須填具申請單,經核可後
取得「一般使用者」帳號授權。如為公務特殊需用,得經核准調整
授權;離職時須依規定辦理離職手續,立即取消授權帳號。
(二)使用本署網路資源之人員,均須遵守本規定。
(三)本署同仁每年應接受至少三小時的資安通識教育訓練課程。
十二、資通安全使用管理稽核
(一)依據資通安全管理法、相關法令及本署資通安全稽核計畫辦理。
(二)由政風室會同資訊室及相關單位進行定期或不定期資訊安全稽核作
業,如有違反規定者,依相關規定辦理。