一、經濟部國際貿易局(以下簡稱本局)為健全資通安全環境,強化本局人員
資通安全程度及認知,防止人為疏失、蓄意破壞或機密資料外洩等情事發
生,確保本局電腦設備、資料、系統及網路安全,特訂定本規定。
二、本規定主要為規範本局公務作業相關資通安全責任,俾落實執行。
三、辦公環境安全
(一)重要文件及其儲存媒體(紙張、隨身碟、磁片、光碟片等)應予適當
保管。
(二)不用之紙張文件或報表應採取適當的程序加以銷毀或廢棄。
(三)本局資訊設備於無人看管或下班時採取適當之防護措施。
四、密碼管理規定
(一)密碼長度至少十二碼,採英文字母、數字、特殊符號混合使用之原則
,並妥善保管,不得外洩。
(二)密碼應至少每九十天更換一次,且三代不得重覆。
(三)啟用螢幕保護功能,時間至少十五分鐘,並設定密碼。
(四)局內之連網電腦需登入網域(DMBOFT),統一套用密碼規定;其他電
腦需自行設定 Windows 密碼,並符合上述密碼規定。
(五)網際網路瀏覽器不得啟用自動記憶帳號及密碼之功能。
五、網際網路管理規定
(一)不得使用 P2P(Peer-to-Peer)檔案分享程式、抓檔軟體、續傳軟體
等或利用電子郵件服務進行任何可能對網路的正常傳輸造成不利影響
的行為。
(二)連網電腦禁止瀏覽非法或本局所限制之網站;例如:社交網站、色情
網站、線上遊戲網站、賭博網站、直播網站及拍賣網。
(三)機密及敏感資料須以主管機關認可之加密機制加密後方可在網際網路
上傳送。
(四)個人私用之 E-mail 不得傳送公文或公務連絡。
(五)郵件瀏覽器須關閉郵件預覽之功能。
(六)不隨意回覆或打開不明郵件。
(七)在局辦公者,電腦應避免二十四小時開機,不使用時即關機或離線。
居家辦公者仍應注意電腦使用情況,暫時離開時應登出電腦,長期不
使用時應關機。
(八)本局員工(含臨時人員)、委外駐點人員非經核准,一律禁止攜入非
本局個人電腦、筆記型電腦、網路設備及其他具備連線本局區域網路
能力之設備。
(九)外賓携入之電腦不得連接本局有線區域網路,但得使用本局無線網路
。使用無線網路前需填寫「無線網路使用登記表」,並經本局承辦人
簽名後,取得使用帳號和密碼。
(十)禁止在本局區域網路內任何電腦上使用行動網路及任何無線網路。
(十一)為執行職務(如負責為民服務事項)或瞭解民意、推動政策等之需
要,上網連結本局所限制之網站(如臉書、PTT、Youtube)或使用
雲端硬碟,及安裝 Juiker 以外之即時通訊體,應提出申請,經單
位主管同意,方可使用。
(十二)為執行公務需要,僅限於科長(含)以上主管,方能使用全局群組
帳號發送電子郵件予全局同仁。
(十三)使用本局區域網路以公務需求為原則,並遵守上述相關規定,非上
班時間更應提高警覺,以避免資安事件發生。
(十四)公務之 E-mail 不得用來註冊電商網站、社交軟(媒)體等非公務
用之帳號。
六、實體隔離規定
(一)隔離電腦指非連接任何網路之電腦(單機使用),應張貼明顯之識別
標籤;連網電腦指連接網際網路,供上網瀏覽資訊或收發電子郵件之
電腦,兩者不得混用。
(二)隔離印表機指連接於隔離電腦或隔離電腦串接區域之印表機,不得同
時連接於網路。
(三)隔離電腦與連網電腦不得共用印表機。
(四)機密公文及敏感性資料需於隔離電腦、隔離印表機製作或列印;發文
作業則依文書處理作業規定辦理。
(五)隔離電腦變更用途為連網電腦或連網電腦變更用途為隔離電腦時,須
填具資訊作業需求單,由資訊中心將電腦重新格式化、重新安裝作業
系統。
(六)禁止將行動裝置連接於本局電腦充電。
七、筆記型電腦安全性規定
(一)公務用筆記型電腦每月需送回資訊中心進行安全性檢查。
(二)公務用筆記型電腦如曾連接局外網路,於連接本局有線區域網路前,
需送回資訊中心檢查。
(三)公務用筆記型電腦有中毒疑慮或受其他資訊安全威脅時,應將電腦送
回資訊中心處理。
(四)公務相關資料勿存放於筆記型電腦,應備份於其它儲存媒體。
(五)使用筆記型電腦應符合密碼管理規定。
八、軟體使用規定
(一)授權軟體是指具合法版權,且經主管同意使用於公務之軟體;其餘均
為非授權軟體。
(二)禁止下載或使用非授權軟體;請各單位主管善加督導,並視個案情形
由資訊中心會同政風室處理。
(三)禁止安裝任何非法、來路不明或資安主管機關明文禁止之軟體;例如
:P2P 軟體。因業務需求申請安裝之軟體,須經單位主管核准。
(四)本局個人電腦之授權軟體由資訊中心統一安裝。
(五)登入網域之電腦即能自動更新修補 Windows、Office 漏洞及防毒程
式病毒碼,其他公務用電腦請洽資訊中心處理。
九、資料保護規定
(一)各單位應列出機密及敏感資料要項,俾便同仁遵循。
(二)機密性或敏感性資料,需儲存於專用之光碟、磁片、加密硬碟或隨身
碟,且禁止使用於連網電腦。
(三)人員離職前需將電腦中之資料備份後,將電腦交回資訊中心,由資訊
中心將電腦格式化、重新安裝作業系統。
(四)禁止在家中等使用連網電腦處理機密性或敏感性公務。
(五)禁止使用網路芳鄰共享資料夾(登入網域之電腦已統一套用本規定)
。
(六)各項重要資料,均應做妥善之資料備份,並定期測試備份資料,以確
保備份資料之可用性。
(七)落實印表管制,公文或報表資料一律於單位印表機列印,特殊情況得
將資料交資訊中心列印。
(八)機密及敏感資料載具(光碟、磁片、外接式硬碟等)之銷毀,需填具
資訊作業需求單,由申請人會同資訊中心、政風室、秘書室等有關人
員共同銷毀。
(九)資訊中心每年定期以軟體工具清查同仁連網電腦疑似個人資料檔案,
同仁應於 Intranet 查詢該等檔案之檔案名稱及儲存路徑;單位主管
應負責督導同仁,將含有個人資料之檔案移除或加密。
十、社交工程防範規定
(一)突然接獲非經常往來長官、朋友或廠商之郵件,宜謹慎處理。
(二)非職務必要,應避免回應外部人員有關公務之任何詢問。
(三)遭遇恐嚇、脅迫或任何疑似詐騙之行為時,應保持冷靜,不任意接受
妥協,並儘速通報相關單位。
(四)不可將密碼隨意抄錄放置,在任何情況下不可將密碼告知他人,包括
長官及資訊中心人員。
(五)本局或其他上級機關電子郵件社交工程演練結果不合格者,簽陳局長
並公布於 Intranet 。
(六)開啟或點閱真實社交惡意電子郵件,且造成資訊安全事件者,簽陳局
長並公布於 Intranet 。
(七)前二款發生次數每年累計超過三次(含)以上同仁名單送人事室,提
交年度考績委員會參考。
十一、帳號管理規範、人員訓練
(一)使用本局區域網路資源(含個人電腦),需填具申請單,經核可後
取得「一般使用者」帳號授權。如為公務特殊需用,得經核准調整
授權;離職時需依規定辦理離職手續,立即取消授權帳號。
(二)使用本局網路資源之人員,均需遵守本規定。
(三)本局同仁每年應接受至少三小時的資安課程。
十二、資通安全使用管理稽核
(一)依據「資通安全管理法」、相關法令及本局資通安全稽核計畫辦理
。
(二)由政風室會同資訊中心及相關單位進行定期或不定期資通安全稽核
作業,如有違反規定者,得依相關規定辦理。
十三、本規定經本局「資通安全管理委員會」會議審查通過,簽奉局長核定後
公告實施,修正時亦同。