一、經濟部國際貿易署(以下簡稱本署)為健全資通安全環境,強化本署人員
資通安全程度及認知,防止人為疏失、蓄意破壞或機密資料外洩等情事發
生,確保本署電腦設備、資料、系統及網路安全,特訂定本規定。
二、本規定主要為規範本署公務作業相關資通安全責任,俾落實執行。
三、辦公環境安全規定
(一)重要文件及其儲存媒體(紙張、隨身碟、磁片、光碟片等)應適當保
管。
(二)不用之紙張文件或報表應採取適當之程序加以銷毀或廢棄。
(三)資訊設備於無人看管或下班時應採取適當之防護措施。
四、密碼管理規定
(一)密碼長度至少十二碼,採英文字母、數字、特殊符號混合使用之原則
,並應妥善保管,不得外洩。
(二)密碼應至少每九十天更換一次,且三代不得重覆。
(三)啟用螢幕保護功能,時間至少十五分鐘,並設定密碼。
(四)署內之連網電腦需登入網域(DMBOFT),統一套用密碼規定;其他電
腦需自行設定 Windows 密碼,並符合上述密碼規定。
(五)網際網路瀏覽器不得啟用自動記憶帳號及密碼之功能。
五、網際網路管理規定
(一)不得使用 P2P(Peer-to-Peer)檔案分享程式、抓檔軟體、續傳軟體
等或利用電子郵件服務進行任何可能對網路正常傳輸造成不利影響之
行為。
(二)連網電腦禁止瀏覽非法或本署所限制之網站,例如:社交網站、色情
網站、線上遊戲網站、賭博網站、直播網站及拍賣網。
(三)機密資料及文件須以權責主管機關認可之加密機制加密後始得在網際
網路上傳送。機密資料及文件以外之敏感性或個人隱私資料,應予以
加密,始得傳送。
(四)個人私用之電子郵件不得傳送公文或作為公務連絡。
(五)郵件瀏覽器須關閉郵件預覽之功能。
(六)不隨意回覆或打開不明郵件。
(七)在署辦公者,電腦應避免二十四小時開機,不使用時即關機或離線。
居家辦公者仍應注意電腦使用情況,暫時離開時應登出電腦,長期不
使用時應關機。
(八)本署員工(含臨時人員)、委外駐點人員非經核准,一律禁止攜入非
本署之個人電腦、筆記型電腦、網路設備及其他具備連線本署區域網
路能力之設備。
(九)外賓携入之電腦不得連接本署有線區域網路。如有使用本署無線網路
需要時,應向無線網路管理人員取得帳號及密碼後始得登入使用。
(十)禁止在本署區域網路內任何電腦上使用行動網路及任何無線網路。
(十一)為執行職務(如負責為民服務事項)或瞭解民意、推動政策等需要
,上網連結本署所限制之網站(如 Facebook、PTT、YouTube) 或
使用雲端硬碟,及安裝 Juiker 以外之即時通訊軟體,應提出申請
,經單位主管同意,始得使用。
(十二)為執行公務需要,限科長級以上主管,始得使用全署群組帳號發送
電子郵件予全署同仁。
(十三)使用本署區域網路以公務需求為原則,並應遵守上述相關規定;非
上班時間更應提高警覺,以避免資安事件發生。
(十四)公務之電子郵件不得用來註冊電商網站、社交軟(媒)體等非公務
用之帳號。
六、實體隔離規定
(一)隔離電腦指非連接任何網路之電腦(單機使用),應張貼明顯之識別
標籤;連網電腦指連接網際網路,供上網瀏覽資訊或收發電子郵件之
電腦,兩者不得混用。
(二)隔離印表機指連接於隔離電腦或隔離電腦串接區域之印表機,不得同
時連接於網路。
(三)隔離電腦與連網電腦不得共用印表機。
(四)機密公文及敏感性資料須於隔離電腦、隔離印表機製作或列印;發文
作業則依文書處理作業規定辦理。
(五)隔離電腦變更用途為連網電腦或連網電腦變更用途為隔離電腦時,須
填具資訊作業需求單,由資訊室將電腦重新格式化、重新安裝作業系
統。
(六)禁止將行動裝置連接於本署電腦充電。
七、筆記型電腦安全性規定
(一)公務用筆記型電腦每月須送回資訊室進行安全性檢查。
(二)公務用筆記型電腦如曾連接署外網路,於連接本署有線區域網路前,
須送回資訊室檢查。
(三)公務用筆記型電腦有中毒疑慮或受其他資訊安全威脅時,應將電腦送
回資訊室處理。
(四)公務相關資料勿存放於筆記型電腦,應備份於其它儲存媒體。
(五)使用筆記型電腦應符合密碼管理規定。
八、公務用隨身碟、隨身硬碟使用及管理規定
(一)公務用隨身碟、隨身硬碟分類
1.加密隨身碟:貼有黃色標籤,有安裝加密機制,設定密碼保護。
2.一般隨身碟:貼有白色標籤,得使用於連網電腦,或作為連網電腦
與隔離電腦資料(病毒碼、網路下載參考資料等)交換用。
3.隨身硬碟:貼財產標籤,可使用於連網電腦及隔離電腦,作為單位
重要業務儲存、交接及出國會議大量資料儲存使用。
(二)使用及管理
1.加密隨身碟禁止使用於連網電腦。
2.隨身碟、隨身硬碟若需連接本署設備或網路時,應先進行電腦病毒
掃瞄,確認無問題後始可使用。
3.隨身碟如為機關內共同使用,使用者應在使用完畢後將所有之資料
文件移除,以免資料遭他人誤用。
4.非公務需求不得將載有機密、敏感性資料之加密隨身碟、隨身硬碟
攜出辦公場所。
5.含機密、敏感性資料之加密隨身碟遞送,應以密件及密封袋方式傳
送。
6.隨身碟、隨身硬碟超過使用年限應繳回並由資訊室辦理銷毀,含機
敏性資料之儲存媒體應消磁或格式化,必要時採取實體破壞。
7.本署人員如有單位異動、離職等情形,應向所在單位之窗口繳回隨
身碟、隨身硬碟,並由窗口人員隨時更新各單位公務用隨身碟、隨
身硬碟清冊。
8.本署公務隨身碟領用、繳回、庫存量控制、窗口維護等資料,應納
入物品領用系統。
九、軟體使用規定
(一)授權軟體是指具合法版權,且經主管同意使用於公務之軟體;其餘均
為非授權軟體。
(二)禁止下載或使用非授權軟體。各單位主管應善加督導,並視個案情形
由資訊室會同政風室處理。
(三)禁止安裝任何非法、來路不明或資安主管機關明文禁止之軟體,例如
:P2P 軟體。因業務需求申請安裝之軟體,須經單位主管核准。
(四)本署個人電腦之授權軟體由資訊室統一安裝。
(五)登入網域之電腦即能自動更新修補 Windows、Office 漏洞及防毒程
式病毒碼,其他公務用電腦應洽資訊室處理。
十、資料保護規定
(一)各單位應列出機密及敏感資料要項,俾便同仁遵循。
(二)機密性或敏感性資料,須儲存於專用之光碟、磁片、加密硬碟或隨身
碟,且禁止使用於連網電腦。
(三)本署人員離職前將電腦中之資料備份後,應將電腦交回資訊室,由資
訊室將電腦格式化、重新安裝作業系統。
(四)禁止在家中等使用連網電腦處理機密性或敏感性公務。
(五)禁止使用網路芳鄰共享資料夾(連網之電腦已統一套用本規定)。
(六)各項重要資料,均應做妥善之資料備份,並定期測試備份資料,以確
保備份資料之可用性。
(七)落實印表管制,一般公文或報表資料應於各單位之印表機、無法對外
連線之影印機或封閉傳真功能且無法對外連線之多功能事務機列印,
特殊情況得將資料交資訊室列印。
(八)機密及敏感資料載具(光碟、磁片、外接式硬碟等)之銷毀,須填具
資訊作業需求單,由申請人會同資訊室、政風室、秘書室等有關人員
共同銷毀。
(九)資訊室每年定期以軟體工具清查同仁連網電腦疑似個人資料檔案,同
仁應於 Intranet 查詢該等檔案之檔案名稱及儲存路徑;單位主管應
負責督導同仁,將含有個人資料之檔案移除或加密。
十一、社交工程防範規定
(一)突然接獲非經常往來長官、朋友或廠商之電子郵件,宜謹慎處理。
(二)非職務必要,應避免回應外部人員有關公務之任何詢問。
(三)遭遇恐嚇、脅迫或任何疑似詐騙之行為時,應保持冷靜,不任意接
受妥協,並儘速通報相關單位
(四)不可將密碼隨意抄錄放置,在任何情況下不可將密碼告知他人,包
括長官及資訊室人員。
(五)本署或其他上級機關電子郵件社交工程演練結果不合格者,由資訊
室簽陳署長後公布於 Intranet 。
(六)開啟或點閱真實社交惡意電子郵件,且造成資訊安全事件者,由資
訊室簽陳署長後公布於 Intranet 。
(七)前二款發生次數每年累計超過三次以上之同仁名單將送人事室提交
年度考績委員會參考。
十二、帳號管理規範、人員訓練
(一)使用本署區域網路資源(含個人電腦),須填具申請單,經核可後
取得「一般使用者」帳號授權。如為公務特殊需用,得經核准調整
授權;離職時須依規定辦理離職手續,立即取消授權帳號。
(二)使用本署網路資源之人員,均須遵守本規定。
(三)本署人員每年應接受至少三小時之資安通識教育訓練課程。
十三、資通安全使用管理稽核
(一)依據資通安全管理法、相關法令及本署資通安全稽核計畫辦理。
(二)由政風室會同資訊室及相關單位進行定期或不定期資訊安全稽核作
業,如有違反規定者,依相關規定辦理。
十四、生成式 AI 使用規定
(一)使用原則
1.使用生成式 AI 應遵守資通安全、個人資料保護、著作權與相關
資訊使用規定,並注意其侵害智慧財產權及人格權之可能性,業
務委外辦理時亦同。
2.使用生成式 AI 時,應避免造成民眾生命、身體、自由或財產安
全、社會秩序、生態環境之損害,或出現利益衝突、偏差、歧視
、廣告不實、資訊誤導或造假等問題。
(二)資訊輸入注意事項
1.涉及公務機密、個人資料或未經同意公開之資訊,切勿上傳至生
成式 AI ,亦不得詢問涉及機密業務或個人資料之問題。
2.使用生成式 AI 時,所有互動資料皆可能為該服務提供者得以應
用之資源,應避免資訊不當揭露之風險。
(三)應用資訊注意事項
1.使用生成式 AI 時應查證其產出之資訊真偽,不得僅依賴 AI 作
為公務決策依據。
2.使用生成式 AI 時應判斷其生成資訊之正確性,未經查證,不宜
引用或轉述。
3.使用生成式 AI 作為業務輔助工具時,應做適當資訊揭露或標記
。
(四)禁止事項
1.機密文書必須由人員親自撰寫,不得使用生成式 AI 代勞。
2.公務上不得使用大陸地區之生成式 AI 工具,如百度、阿里巴巴
等。
(五)其他
1.行動裝置安裝生成式 AI 相關 APP 前,須確認其真偽。
2.使用自建地端之生成式 AI 模型,應建立資安防護措施,防範安
全威脅及攻擊,確保其系統之穩健性及安全性。