一、為水利署(以下簡稱本署)及所屬機關之委託資訊服務採購案及勞務
委託案件中涉及資訊相關系統開發案,對於本署資訊安全之要求、資
訊系統之規劃、建置及維運等應辦事宜,特訂定本注意事項供本署承
辦人及受託廠商遵循辦理。
二、依據資訊系統開發程序之作業內容,本注意事項將依系統評估、契約
簽訂工作進度審查、需求與系統分析、系統設計、程式開發、網頁製
作、系統測試、教育訓練、系統驗收、系統上線及系統維護等 12 個
階段作說明。
三、系統評估
包含起始作業、計畫書之準備、契約書準備與修正等,並依採購相關
法規辦理委託資訊服務或委託辦理事宜。
(一)啟始作業:系統開發需求產生時,於起始階段即應對系統加以評估
,包含現行作業、資訊安全防護、電子化之可行性或可加強部分、
軟硬體需求、經費之籌措……等相關事項加以考慮及預備。
(二)計畫書之準備:依本署委託服務計畫書格式研擬,計畫書範本可至
本署委辦計畫管理系統下載。
(三)契約書準備與修正:依據本署所訂契約書範本,並針對委託資訊服
務部分予以增修。
(四)開放資料(Open Data) 之研訂及開放:除涉及個人資料、國家機
密、資訊安全,及其它依據「政府資訊公開法」第 18 條得不公開
之外,需將下述所涉及的資料內容/項目/集納入資料開放範圍,
並規劃所能產出之資料項目及開放期程,且納入計畫案或系統建置
、維護專案工作項內,加以落實開放資料政策:
1.由所涉及到的業務面擴大盤點相關流程,就可公開的資料予以開
放。
2.依民眾或署內外機關要求需開放資料者。
3.若為已上線之公開民眾使用之系統(包括網站、網頁、Web Ser-
vices、API、及行動化服務(APP) 等),則需將以下資料納入
資料開放範圍:
(1)公開資料瀏覽者
(2)公開資料下載者
(3)公開查詢資料者
4.若為機敏類或個人資料類相關資料,則需予去識別化後,再納入
資料開放範圍。
四、契約簽訂
契約書之研擬應特別注意以下事項。
(一)於契約書中增列〈委託資訊服務附加條款〉,此附加條款應附於契
約條款本文之後,納為契約的一部分。
(二)契約書中應明訂廠商應交付之產品保固及後續維護服務之期間、範
圍、項目及費用計算標準。
(三)契約書中明訂軟體之原始碼及執行碼之所有權及其他相關之智慧財
產權之歸屬。
(四)契約書中明訂廠商如有任何違反本規範或相關資訊安全法令之行為
,除負損害賠償責任外並應負完全法律責任。
(五)契約書中明訂凡程式中欲使用 GPL(General Public License)等
授權程式碼時,應事先取得本署(或所屬機關)同意。
(六)契約書中明訂受委託廠商應遵守中華民國有關個人資料保護之相關
法律,保障保密資料及個人隱私資料之安全性;若因違失造成資料
外洩(包括委由廠商代為管理之網站資料外洩),廠商除負損害賠
償責任外並應負完全法律責任。
(七)有關協力或分包廠商之事宜
1.契約書中應詳列受託廠商其服務或產品之相關廠商(如:協力、
分包廠商),及說明之間的權責關係;受託廠商應將本規範或相
關資訊安全法令所要求之遵循事項,告知相關廠商並責成落實。
2.依據「行政院大陸委員會」98 年 7 月 15 日陸經字第 09800
14473 號函及「行政院公共工程委員會」92 年 1 月 22 日工
程企字第 092000032810 號函之規定,禁止在台陸資企業及大陸
地區廠商為投標廠商或擔任分包廠商。
3.委外廠商對於協力廠商履約之部分,應負完全責任。
五、工作進度審查
(一)專案計畫執行期間應辦理定期或不定期委辦計畫專案會議,以利監
督工作進行,並做成會議紀錄,廠商須參與專案會議。
(二)書面進度審查:對於廠商所提交定期(如:月、季)「計畫執行進
度表」、成果報告(如:期中、期末報告書)進行文件內容查核,
以確認廠商之工作進度與執行成果確實符合委辦計畫契約要求,於
專案執行期間,若發現任何問題,應於召開專案會議時提出檢討。
(三)委辦計畫管理審查會議
依據契約規定召開委辦計畫專案審查會議,廠商應依照契約規定於
期限前提交期中報告、期末報告等,簡報內容需說明工作執行狀況
。審查委員及相關與會人員就報告內容查核,以確認廠商之工作進
度與執行成果確實符合委辦計畫契約書的要求。若發現任何問題或
建議,廠商需回應處理方式及其辦理情形附於期中或期末報告書中
。
六、需求與系統分析
(一)本階段產出文件為《需求規格書》【附件 1】。
(二)客戶訪談規劃
廠商須製作訪談預訂時程表內容包括:訪談目地與議題、時間、地
點、人員、訪談對象需要提供與配合的事項、訪談進行的方式。
(三)訪談記錄與確認對需求之確認應填寫《系統需求訪談紀錄表》【附
件 2】,併入需求規格書附件。
(四)需求規格書注意要項如下:
1.對機密及敏感性的資料,應考量建置獨立的或是專屬的作業環境
,不得存放在對外開放的資訊或資料庫系統中。
2.應對系統未來容量要求預作規劃分析,相關內容如下:
(1)資料量分析-預估資料年成長量
(2)使用者分析-主要使用人數、尖峰使用人數、尖峰時段
(3)網路分析-網路流量
(4)伺服器分析-CPU、RAM、硬碟容量
(5)系統相容性分析-作業系統、資料庫、既有應用系統、既有第
三方套件軟體、既有第三方函式、既有第三方組件、既有介接
應用程式,既有提供介接應用程式。
(6)資料相容性分析-既有系統內容資料、既有提供其它應用系統
介接之資料。
(7)資訊安全防護分析-預估資訊應用系統之資訊安全防護所需之
機制、功能、設備及人員。
(五)有關地理資訊應用系統之規劃及建置,應遵循「水利署及所屬機關
地理資訊應用系統規劃建置作業規範」辦理。
(六)有關地理資訊圖資之建置、取得及更新,應遵循「水利署及所屬機
關地理資訊圖資管理作業規範」辦理。
(七)經需求分析需建置的資料,有以下情況者,需透過「水利資料整合
雲(原 WRISP)(http://data.wra.gov.tw)介接並引用之,而不
得另外建立相關資料庫、資料表、資料檔、或檔案:
1.已在「水資源資料格式標準」中定義,則需洽資料業管單位或機
關,以上述機制規劃介接需求。
2.已在「水資源資料交換標準」中定義(詳 http://twedmgt.wra.
gov.tw/) 且在「水利資料整合雲(原 WRISP)」供資料介接者
,則逕以上述系統資料介接機制規劃介接需求。
(八)系統應依據「資訊系統分級與資安防護基準作業規定」進行系統資
安等級評估,並依評估結果進行相關資安管控措施;本署並得就相
關管控措施進行檢核。
七、系統設計
(一)本階段產出文件為《設計規格書》【附件 3】。
(二)資料庫規劃
1.資料格式標準
凡涉及流通共享之資料建置,應符合本署所訂「水資源資料格式
標準」。
2.資料庫之建立以不重複為原則,在建置前應先至「水利資料整合
雲(原 WRISP)」(http://data.wra.gov.tw)查詢有無相關資
料之服務提供,或有否納入「水資源資料交換標準」內,若有相
關服務提供,則需完成申請程序,待獲得同意後,方可進行資料
存取;若無相關服務提供,則始可建立資料庫。
3.資料庫設計要考慮安全性,使現行及歷史資料不易被變動、更改
、刪除。
4.資料庫應設計備份方法或機制。
5.適當規劃歷史檔、更新中資料、應用程式專用等資料庫。
(三)使用者介面
1.以簡單、好看、容易按為主要設計考量。
2.在設計畫面與用法上力求一致,使各頁面具有相同版面配置方式
(含按鈕與標題)。
3.使用者常用功能,放在明顯且易按之位置。
4.輸入畫面,以不換頁,在同一頁面為原則。
5.避免因彈跳視窗(Pop-Up Windows)的不當使用,造成使用者反
感。
6.應有完善的防呆措施,一有錯誤能明確告知如何改正(帳號密碼
錯誤除外)。
7.應有清楚的線上輔助系統。
8.網站之使用者或客戶群若以一般民眾為主,則該網站使用者介面
設計應視需求依政府無障礙規範取得無障礙標章。
9.如系統涉跨瀏覽器或 OS (作業系統)之需求,可善用政府憑證
管理中心提供之 WebSocket API 元件。
(四)身分驗證及權限控管
1.各應用系統需利用「水利資料整合雲」所提供單一簽入功能進行
使用者身分驗證及授權;若為署內及所屬機關同仁使用,則使用
「水利資料整合雲」的「AD 登入」單一簽入進行;其他人員則
採用「水利資料整合雲」的「E 政府登入」,並以內政部核發之
自然人憑證為載具進行或我的 E 政府(http://www.gov.tw)
之登入帳號及密碼進行。
2.需遵循「水利資料整合雲」中央權限控管機制,統一控管使用者
取用資訊系統的權限角色,然各角色細部功能與取用權限則由各
業務系統另行於本地端定義。
(五)資料共享與交換資料共享與交換機制需透過「水利資料整合雲」進
行。
(六)機密性或高敏感性的資料安全管制設計措施
1.對具有機密性或高敏感性及涉個人隱私等資料,需在傳輸中使用
加密技術,亦應在儲存中予以加密。
2.有關對稱式加密演算法應使用 Triple-DES(168 位元長度金鑰
),或 AES(128 位元以上長度金鑰)。
3.有關非對稱加密演算法應使用 RSA(2048 位元以上長度金鑰)
,或 ECC(160 位元以上長度金鑰)。
4.有關雜湊演算法應使用 SHA-2 以上的演算法(SHA-224,SHA-25
6,SHA-384,SHA-512,SHA-512/224,SHA-512/256) 。
5.連線加密傳送不得使用 SSL 2.0 及 SSL 3.0,而需使用至少 T
LS 1.0 以上協定。
(七)稽核控管對應用系統的重要資料及個人資料,其之呈現、利用、交
換、儲存等活動,應有適當的控制措施和稽核追蹤或活動日誌,以
防止資料遺失、被修改或濫用。
(八)系統設計階段,應依據資安等級評估結果參卓「資訊系統分級與資
安防護基準作業規定」進行相關資安管控。
八、程式開發
(一)程式開發應遵守下列事項:
1.程式結構
(1)程式撰寫時須保持整個專案程式風格一致性。
(2)程式碼應以易懂為原則。
(3)程式應儘量結構化。
2.命名規則
(1)名稱必須簡單易懂。
(2)名稱以英文字母數字為準。
3.檔案管理
(1)一個專案以統一放置在一個目錄樹下為原則,勿分散於多個目
錄樹及硬碟分割區。
(2)必須將具相同特殊權限檔案,集中於同一目錄下,以方便權限
設定(例如網頁僅供特殊 IP 存取者)。
(3)凡程式所產生之暫存檔,必須集中於固定目錄下,且有容量大
小限制及完善自動刪除機制,不可放任不管。
(4)凡應用程式產生之日誌檔(Log) 須有定期備份及清除機制。
(5)與專案無關檔案必須刪除。
4.資料驗證
(1)為確保資料檔案之安全性及正確性,應就「資料輸入」、「資
料傳輸」訂定檢查驗證功能。
(2)資料檢查如放在使用者端,當資料傳回到伺服主機端時,應再
檢查一次。
5.帳號管理
(1)使用者密碼如存入資料庫,必須經過加密處理,加密演算法依
第七條第六款第 2~3 項辦理。。
(2)使用者密碼設定時,應強制密碼至少以英文大小寫、數字及特
殊符號其中三種以上混合組成,且密碼長度必須 6 個字元以
上;若為管理者密碼,則密碼長度至少需要 15 個字元以上。
(3)為避免密碼遭受暴力攻擊,須有密碼錯誤三次鎖定三十分鐘之
機制。
(4)須對 Session 連線時間加以限制,強制中斷超過三十分鐘未
動作之 Session,及使用者登出必須刪除其 Session。
6.資料庫連接
(1)應依不同之權限需求,建立使用者帳號。
(2)應遵守對資料庫存取使用最低權限。
(3)嚴禁在程式中使用以最高權限帳號(如 sa) 連線資料庫。
(4)連線資料庫伺服主機一律使用 Host Name,不得使用 IP 。
(5)當資料庫伺服主機更改 IP 或帳號密碼時,應僅須更改一處設
定檔即可。
7.資料庫使用
(1)限制每次傳回使用者的最大筆數不要一次顯示上百筆資料。
(2)Insert 資料到資料庫,應寫明 Insert 的欄位,如此當 Ta-
ble 增加欄位時,才不會影響到程式必須改寫。
(3)避免在資料庫系統內使用資料庫廠商獨家特有之指令及功能,
並使用 SQL/92 (含)以上之標準指令,以方便資料庫系統之
轉移。
8.套裝軟體變更
(1)必要之修改或客制化套裝軟體不可變更原有之安全控制。
(2)修改項目應符合程式開發要求,並通過完整之安全測試。
(3)應記錄所有修改資訊與測試過程,並妥善保存。
(二)程式測試
1.開發過程中必須對各完成單元進行功能性及安全性測試。
2.安全性測試應參照 OWASP TOP 10 弱點進行查核及確認,以確保
系統開發之安全。
(三)開發程式中不得撰寫或隱含下列事項:
1.後門管理程式-用來管理伺服器服務或做程式異動等。
2.木馬程式-回傳系統有關資料。
3.資料攫取及 Web services 程式-方便資料之攫取。
4.在系統中埋設程式自動失效日期。
5.其他惡意程式及違反資安要求者。
6.未經計畫承辦人認可之功能。
(四)政府組態基準(Government Configuration Baseline,GCB)設定
政策:
1.103 年 1 月 1 日起,應用系統若客製化 ActiveX 元件,應
提出 ActiveX 元件程式碼簽章證明。
2.103 年 1 月 1 日起之新建置軟體,應實施 ActiveX 安全性
檢測(至少含弱點掃描、源碼檢測及滲透測試等必要項目)。
3.配合行政院推動各機關導入政府組態基準(GCB) 設定,各類型
應用系統及系統管理工具應確保 Windows 7 或 IE8 之使用者
環境能正常使用。
4.有關政府組態基準相關政策資訊,請參照行政院國家資通安全會
報技術服務中心(網址 http://www.nccst.nat.gov.tw/) 辦理
。
九、網頁製作
(一)網頁目錄
1.應詳細規劃目錄架構。
2.目錄及檔案之命名應通俗易懂。
3.將不必要檔案加以清除,以維持目錄之乾淨
4.以相對路徑做鏈結,避免使用絕對路徑。
5.將開放與必須鎖定檔案,分別放在不同目錄,以方便權限管制。
(二)網頁格式及動線設計等,須參照行政院研考會網站營運交流平台相
關規範。
(三)檔案上傳
1.適當限制上傳目錄容量之大小。
2.適當限制上傳檔案大小。
3.將上傳目錄之權限設為不可執行檔案,以免被上傳惡意程式,然
後加以執行。
4.禁止上傳執行檔,尤其副檔名為 asp、aspx、jsp、exe、php 等
。
(四)開放園地或意見信箱
1.對於使用者連續輸入大量資料灌水,企圖灌暴硬碟,癱瘓系統之
情形,及輸入不當資料如謾罵、謠言、廣告等狀況,應有處理機
制。
(五)網站內容安全
1.凡屬開放一般民眾查詢,如涉及單位機敏資料及個人隱私(如姓
名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、
教育、職業、健康、病歷、財務情形、社會活動、電話、住家住
址)等資料,不可顯示;惟屬公務可公開者除外(如機關首長姓
名、學經歷、單位主管姓名、職稱、公務電話等)。
2.與網站無關之檔案應移除,避免被瀏覽。
(六)錯誤訊息回傳
1.系統詳細錯誤訊息,不可傳給使用者。
2.應用程式錯誤訊息(如資料庫錯誤訊息),不可傳給使用者。
3.使用者不存在或使用者帳號密碼錯誤等訊息,不可傳給使用者。
(七)程式碼安全
1.廠商所設計之應用程式不允許有安全與品質問題;不安全之撰寫
缺失或品質缺失,應參照行政院國家資通安全會報技術服務中心
(http://www.nccst.nat.gov.tw/)之共通規範-Web 應用程式
安全參考指引。
2.程式碼應放於有版本控制機制(至少應有 3 代版本)的安全儲
存空間內,並施行良善的存取權限管控,且以安全機制進行程式
碼的簽出(checkout)、更新(update)、簽入(commit)。
(八)對外服務之網站應視需求依政府無障礙規範取得無障礙標章。
十、系統測試
(一)本階段產出之文件為《測試計畫書》【附件 4】及《測試報告書》
【附件 5】。
(二)開發中或正進行維護工作之應用系統及程式,只能在「測試環境」
進行。
(三)避免使用現行正式區之資料作為測試資料,如需使用現行正式區資
料應符合以下控管原則:
1.應申請後由權責人員依申請內容將資料搬移至測試區。
2.針對重要敏感欄位(如:身分證統一編號、住家住址、信用卡卡
號等)應予以刪除或重新編碼後方可使用。
3.需於測試完畢後,立即將測試資料予以清除。
(四)網站及資料庫應做壓力測試,其結果併入《測試報告書》中。
(五)測試項目通過準則
1.測試個案擬定時應同時依需求規格及設計文件內容,說明本測試
個案執行後之預期結果。測試個案執行結果如果不符合預期要求
時,即應判為問題。
2.測試個案執行結果如果有規格未明定,但依資訊系統慣例為明顯
不合理或不便於使用時,亦判為問題。
3.執行結果被判為有問題之個案,除經計畫承辦人簽奉同意列為系
統限制且留有問題報告外,其測試結果即為不通過。
4.當所有測試個案均執行完畢而未發現異常,或所有測試個案均已
執行完成,即為通過測試工作。
5.如相關人員對問題之判定有所疑義時,應報請計畫承辦人召開專
案會議共同判定。
(六)需針對進行維護及開發的系統進行相關系統資安測試、原始碼檢測
及 GCB 符合性檢測,並於測試報告書中檢附詳細測試(含檢測)
結果。
十一、教育訓練
(一)廠商應依訂定之時程,辦理教育訓練,並於訓練前提交下列文件
:
1.教育訓練計畫書
2.教育訓練簡報講義
3.使用手冊
(二)教育訓練名單(或影本)如附於期末報告、會議紀錄或成果報告
書中時,須將涉及個人資料(例如:身分證統一編號),予以刪
除。
十二、系統驗收
(一)廠商完成約定各項交付項目,並將期末審查會議意見中,有關成
果報告書之修正及系統修改完成後,應函請計畫承辦人據以辦理
驗收事宜。
(二)依專案大小及複雜程度,可分階段執行驗收。
(三)系統功能驗收
1.計畫承辦人應摘錄契約書、需求規格書、設計規格書、期中、
期末審查意見及專案相關會議等文件中,所載明須完成之各項
功能,製作功能驗收清單,並逐項操作驗證功能是否符合,此
紀錄列入驗收紀錄之附件。
2.驗收通過準則:功能驗收清單中,全部項目均已建置完成且功
能符合。
(四)繳交文件(各項文件以繳交電子檔為原則,紙本視需求繳交)
1.成果報告書。
2.需求規格書。
3.設計規格書。
4.測試計畫書。
5.測試報告書。
6.系統操作手冊。
7.系統執行檔光碟(如有,應予交付)。
8.原始程式碼光碟(依契約書規定交付)。
9.附加軟體、元件光碟(如有,應予交付)。
10.軟體使用授權文件(如有,應予交付)。
11.地理資訊成果資料(如有,應依「水利署及所屬機關地理資訊
圖資管理作業規範」交付)。
(五)驗收紀錄
1.上述驗收工作完成後做成驗收紀錄。
2.有未通過驗收項目,則訂定複驗日期再行複驗。
十三、系統上線
(一)系統上線前應進行資訊安全相關檢測並提供證明。
(二)系統上線前須於「水利資料整合雲」進行業務系統註冊,並完成
認證及授權模組安裝、權限角色定義及權限指定等動作。
(三)負責資料提供之資訊系統,需於「水利資料整合雲」註冊其資料
提供服務;其它資訊系統存取上開註冊之資料前,需完成申請程
序,待獲得同意後,方可進行資料存取。
(四)廠商需撰寫《系統操作手冊》【附件 6】,據以做為系統安裝、
備份及復原等用之。
(五)原始程式碼不保存在作業系統上,只有執行碼才可存放在作業系
統內。
(六)上線使用
1.應澈底刪除測試資料及測試帳號。
2.管理者帳號密碼須由系統管理人員重新設定。
3.如有系統資料轉換問題,應確認資料已經轉換完成,並通知相
關人員及使用者。
4.上線時間應避免影響正常作業,儘量選擇離峰時間。
5.系統開發上線完成後,其原始程式碼及執行碼應妥善儲存控管
。
十四、系統維護
(一)系統上線運作後,如涉及系統須停頓時,應對使用者作適當之公
告周知。
(二)系統維護前先作系統影響評估,維護後執行測試並做相關文件之
更新。
(三)提供做為開放資料(Open Data) 之內容,應依個人資料保護法
規定去識別化,結構化內容,並配合相關資料調查、填寫及資料
入庫,以納入「水資源資料交換標準」內,俾利透過「水利資料
整合雲」對外開放。
(四)業務系統所管理、產製或維護之資料,需配合本署資料清查及資
料內容提供等工作,以納入「水資源資料交換標準」內;於應本
署要求提供資料分享或交換(含 Open Data)時,需配合填寫提
供內容之相關資料及文件,且以「水利資料整合雲」資料交換機
制為之,並配合安裝資料提供相關程式及實作相關資料,俾利資
料分享及交換使用。
(五)系統於對外進行資料交換或資料開放(Open Data) 時,應以「
水利資料整合雲」相關流程及機制辦理,其中,若有資料庫者,
應提供資料檢視(view)表(或資料表)連線資訊。
(六)所承接的系統於開發、維護、保固期間(含系統維護案),承接
廠商於接獲本署要求提供資料做為開放資料(Open Data) 時,
除該資料未存在系統內例外,不論該資料是否在本署所管轄的主
機上,均不得以任何形式或理由拒絕配合提供資料,需擬定資料
提供開放資料期程(此期程不得逾契約或保固期間),並據以施
行。
(七)所承接的系統於開發、維護、保固期間(含系統維護案),承接
廠商需就已開放且上架至國家發展委員會「政府資料開放平台」
後的資料集,於合約及保固期間中預定期程,在資訊系統適當地
方(如所開放資料集之特定網頁等)予以宣告、展示與揭露。
(八)本署針對業務重要相關系統,得於系統於開發、維護、保固期間
(含系統維護案)期間,要求承接廠商進行營運衝擊分析(Bus-
iness Impact Analysis;BIA)及營運持續計畫(Business co-
ntinuity planning;BCP),並就營運持續計畫施行演練。
(九)系統維護保固,考慮事項如下:
1.保固維護之責任範圍(包含負責工作項目與工作地點)
2.程式錯誤(bug) 之定義與界定、功能瑕疵之定義與界定
3.保固維護進行的方式,如現場維護、電話諮詢服務、線上支援
服務、電子郵件支援等
4.服務的方式與問題的提出方式,如問題紀錄單、電子郵件、電
話等
5.問題的提出者與接收者
6.問題反應與回覆時間
7.問題解決的方式與期限
8.服務的時間,如:上班時間;08:30 AM-18:00 PM ,假日除
外
9.收費項目與計費方式
10.保固期限、保固期起算點
11.保固責任的地點
12.保固期滿後的服務方式
13.營運衝擊分析及營運持續計畫,並施行演練
(十)系統若屬委外管理且對外開放服務之網站,應依照「經濟部計畫
網站資通安全管理要點」辦理資安管控,並依據「經濟部水利署
計畫網站資通安全管理計畫」實施各項資安作業項目。
(十一)為維護系統資訊安全及落實個資資料保護,相關系統運行之使
用紀錄、軌跡資料及證據等應做適當保存外,對應用系統的重
要資料及個人資料,其之呈現、利用、交換、儲存等活動,亦
應有適當的控制措施和稽核追蹤或活動日誌,以防止資料遺失
、被修改或濫用。
(十二)本署得視需要,為瞭解委外廠商資安防護現況,對委外廠商實
施資安稽核,並據以要求廠商配合改善,涉資安疑慮未配合改
善之系統,本署得中斷系統連線,或關閉系統運作。