一、經濟部國際貿易局(以下簡稱本局)為健全資通安全環境,強
化本局人員資通安全程度及認知,防止人為疏失、蓄意破壞
或機密資料外洩等情事發生,確保本局電腦設備、資料、系
統及網路安全,特訂定本規定。
二、本規定主要為規範本局公務作業相關資通安全責任,俾落實
執行。
三、辦公環境安全
(一)重要文件及其儲存媒體(紙張、隨身碟、磁片、光碟片等
)應予適當保管。
(二)不用之紙張文件或報表應採取適當的程序加以銷毀或廢棄
。
(三)本局資訊設備於無人看管或下班時採取適當之防護措施。
四、密碼管理規定
(一)密碼長度至少十二碼,採英文字母、數字、特殊符號混合
使用之原則,並妥善保管,不得外洩。
(二)密碼應至少每六十天更換一次,且二十四代不得重覆。
(三)啟用螢幕保護功能,時間至少十五分鐘,並設定密碼。
(四)局內之連網電腦需登入網域(DMBOFT),統一套用密碼規
定; 其他電腦需自行設定Windows密碼,並符合上述密碼
規定。
(五)網際網路瀏覽器不得啟用自動記憶帳號及密碼之功能。
五、網際網路管理規定
(一)不得使用 P2P(Peer-to-Peer)檔案分享程式、抓檔軟體
、續傳軟體等或利用電子郵件服務進行任何可能對網路的
正常傳輸造成不利影響的行為。
(二)連網電腦禁止瀏覽非法或本局所限制之網站;例如:社交
網站、色情網站、線上遊戲網站、賭博網站、直播網站及
拍賣網。
(三)機密及敏感資料須以主管機關認可之加密機制加密後方可
在網際網路上傳送。
(四)個人私用之E-mail不得傳送公文或公務連絡。
(五)郵件瀏覽器須關閉郵件預覽之功能。
(六)不隨意回覆或打開不明郵件。
(七)電腦應避免二十四小時開機,不使用時即關機或離線。
(八)本局員工(含臨時人員)、委外駐點人員非經核准,一律
禁止攜入非本局個人電腦、筆記型電腦、網路設備及其他
具備連線本局區域網路能力之設備。
(九)外賓携入之電腦不得連接本局有線區域網路,但得使用本
局無線網路。使用無線網路前需填寫「無線網路使用登記
表」,並經本局承辦人簽名後,取得使用帳號和密碼。
(十)禁止在本局區域網路內任何電腦上使用三點五G 以上行動
網路及任何無線網路。
(十一)為執行職務(如負責為民服務事項)或瞭解民意、推動
政策等之需要,上網連結本局所限制之網站
(如臉書、
PTT、Youtube) 或使用雲端硬碟,及安裝Juiker以外之
即時通訊軟體,應提出申請,經單位主管同意,方可使
用。
(十二)為執行公務需要,僅限於科長(含)以上主管,方能使用
全局群組帳號發送電子郵件予全局同仁。
(十三)使用本局區域網路以公務需求為原則,並遵守上述相關
規定,非上班時間更應提高警覺,以避免資安事件發生。
六、實體隔離規定
(一)隔離電腦指非連接任何網路之電腦(單機使用),應張貼
明顯之識別標籤;連網電腦指連接網際網路,供上網瀏覽
資訊或收發電子郵件之電腦,兩者不得混用。
(二)隔離印表機指連接於隔離電腦或隔離電腦串接區域之印表
機,不得同時連接於網路。
(三)隔離電腦與連網電腦不得共用印表機。
(四)機密公文及敏感性資料需於隔離電腦、隔離印表機製作或
列印;發文作業則依文書處理作業規定辦理。
(五)隔離電腦變更用途為連網電腦或連網電腦變更用途為隔離
電腦時,須填具資訊作業需求單,由資訊中心將電腦重新
格式化、重新安裝作業系統。
(六)禁止將行動裝置連接於本局電腦充電。
七、筆記型電腦安全性規定
(一)公務用筆記型電腦每月需送回資訊中心進行安全性檢查。
(二)公務用筆記型電腦如曾連接局外網路,於連接本局有線區
域網路前,需送回資訊中心檢查。
(三)公務用筆記型電腦有中毒疑慮或受其他資訊安全威脅時,
應將電腦送回資訊中心處理。
(四)公務相關資料勿存放於筆記型電腦,應備份於其它儲存媒
體。
(五)使用筆記型電腦應符合密碼管理規定。
八、軟體使用規定
(一)授權軟體是指具合法版權,且經主管同意使用於公務之軟
體;其餘均為非授權軟體。
(二)禁止下載或使用非授權軟體;請各單位主管善加督導,並
視個案情形由資訊中心會同政風室處理。
(三)禁止安裝任何非法、來路不明或資安主管機關明文禁止之
軟體;例如:
P2P軟體。因業務需求申請安裝之軟體,須
經單位主管核准。
(四)本局個人電腦之授權軟體由資訊中心統一安裝。
(五)登入網域之電腦即能自動更新修補 Windows、Office漏洞
及防毒程式病毒碼,其他公務用電腦請洽資訊中心處理。
九、資料保護規定
(一)各單位應列出機密及敏感資料要項,俾便同仁遵循。
(二)機密性或敏感性資料,需儲存於專用之光碟、磁片、加密
硬碟或隨身碟,且禁止使用於連網電腦。
(三)人員離職前需將電腦中之資料備份後,將電腦交回資訊中
心,由資訊中心將電腦格式化、重新安裝作業系統。
(四)禁止在家中等使用連網電腦處理機密性或敏感性公務。
(五)禁止使用網路芳鄰共享資料夾(登入網域之電腦已統一套
用本規定)。
(六)各項重要資料,均應做妥善之資料備份,並定期測試備份
資料,以確保備份資料之可用性。
(七)落實印表管制,公文或報表資料一律於單位印表機列印,
特殊情況得將資料交資訊中心列印。
(八)機密及敏感資料載具(光碟、磁片、外接式硬碟等)之銷
毀,需填具資訊作業需求單,由申請人會同本局資訊中心
、政風室、秘書室等有關人員共同銷毀。
(九)連網電腦疑似個人資料檔案之存取,將由端點防護系統留
下使用稽核紀錄。
(十)端點防護系統,將定期清查連網電腦硬碟,同仁應於
Intranet查詢該等檔案之檔案名稱及儲存路徑;單位主管
應負責督導同仁,將含有個人資料之檔案移除或加密。
十、社交工程防範規定
(一)突然接獲非經常往來長官、朋友或廠商之郵件,宜謹慎處
理。
(二)非職務必要,應避免回應外部人員有關公務之任何詢問。
(三)遭遇恐嚇、脅迫或任何疑似詐騙之行為時,應保持冷靜,
不任意接受妥協,並儘速通報相關單位。
(四)不可將密碼隨意抄錄放置,在任何情況下不可將密碼告知
他人,包括長官及資訊中心人員。
(五)本部或其他上級機關電子郵件社交工程演練結果不合格者
,簽陳局長並公布於Intranet。演練不合格一次者由主任
秘書面談,二次以上者由資安長(副局長)面談。
(六)開啟或點閱真實社交惡意電子郵件,且造成資訊安全事件
者,簽陳局長並公布於Intranet。
(七)前二項發生次數每年累計超過三次(含)以上同仁名單送
人事室,提交年度考績委員會參考。
十一、帳號管理規範、人員訓練
(一)使用本局區域網路資源(含個人電腦),需填具申請單,
經核可後取得「一般使用者」帳號授權。如為公務特殊需
用,得經核准調整授權;離職時需依規定辦理離職手續,
立即取消授權帳號。
(二)使用本局網路資源之人員,均需遵守本規定。
(三)本局同仁每年應接受至少三小時的資安課程。
十二、資訊安全使用管理稽核
(一)依據「行政院及所屬各機關資訊安全管理要點」、相關法
令法規及本規定辦理。
(二)由政風室會同資訊中心及相關單位進行定期或不定期資訊
安全稽核作業,如有違反規定者得依相關規定辦理。
十三、本規定經本局「資訊安全管理委員會」會議審查通過,簽
奉局長核定後公告實施,修正時亦同。