一、目的
經濟部水利署及所屬機關(以下簡稱使用機關)因辦理疏
濬工程業務需要交通部公路監理資料,為落實資訊安全,
防止公路監理資料不當使用或外洩,保障個人隱私權益,
特依交通部「各機關應用公路監理資訊連結作業及管理要
點」第三點規定,訂定本要點。
二、適用機關及業務範圍
(一)使用機關辦理疏濬工程公務業務,使用機關承辦人為管理
疏濬運輸車輛車籍資料,使用公路監理資訊連結作業及運
用公路監理資料。
(二)公路監理資料之運用,以作為辦理疏濬工程業務需要者為
限。
(三)公路監理資料之運用,以本署及所屬機關執行疏濬公務使
用為範圍。
三、使用者管理
(一)使用者申請程序及管理
1.帳號新增或異動須經申請,申請時應列明公路監理資料查
詢權限,並由權責主管核可後,交由管理者配賦帳號及查
詢權限,且保留紙本申請單(如屬線上申請簽核免列)及
電腦紀錄。
2.公路監理資料應用含轄屬機關,並應採二層負責(分為本署
、各所屬機關等二層級)。由本署配賦同層級內部使用者及
各所屬機關管理者,各所屬機關配賦內部使用者。各層級
單位管理者及使用者均應提出申請,並經機關或單位核准
。
3.帳號及密碼通知過程應具保密措施,防止被竊視及竊取。
4.管理者及使用者不得使用非本人申請之帳號,帳號不得交
接予他人,且不得和他人共用。
5.密碼長度至少為八碼,應包含英文、數字、特殊符號及大
小寫混和,每三個月由資訊系統通知使用者更換一次,使
用者密碼應妥善保管,避免他人知悉。如發現有洩密之虞
時,應即更換。
6.系統限制使用者連續登入密碼失敗的上限次數為三次,超
過者帳號鎖碼。該帳號鎖碼者,經申請核准後,由管理人
員解除帳號鎖碼。
7.使用者職務異動時,應於職務異動前辦理帳號異動程序,
並於異動前或當日,由管理人員停止原帳號。
8.管理者職務異動時,應於職務異動前辦理帳號異動程序,
並於異動前或當日,由承接之新任管理者於承接業務時停
止原管理者帳號,並新增新管理者帳號,機關之系統無法
變更管理者帳號時,新任管理者應立即變更管理者密碼。
(二)管理者應每月辦理帳號清查,檢視使用者權限,並廢止重
複、閒置、職務調整、離職及退休者帳號。
(三)連結機關申請公路監理資訊連結作業單位主管及承辦人異
動時,應函知交通部及交通部公路總局。
四、資料安全管制作業
(一)查詢公路監理資料管制措施
1.使用者查詢公路監理資料時,應填寫或輸入疏濬工程案名(
管理疏濬運輸車輛使用)或其他查詢事由,作為日後查核依
據。
2.查詢公路監理資料應避免非業務權責人員閱覽、擷取及破
壞。
3.查詢公路監理資料完竣後,如有併案或附卷必要,應妥善
保管,紙本資料有含個人資料應以密件方式保存,電子檔
應有存取權限控管。
4.透過Web-API方式連線查詢公路監理資料逾時,系統應自動
登出。
5.系統應紀錄查詢者帳號、查詢日期、時間、查詢作業代號、
被查詢者查詢條件、查詢案號及查詢事由等查詢日誌,並保
留五年。
(二)系統安全及連線安全
1.系統安全:使用機關使用於公路監理系統介接之系統主機,
每年進行二次弱點掃描確保系統之安全(無高風險之弱點)
,並將弱點掃描之方式及結果存查。
2.連線安全:本署目前與公路監理系統界接之連線方式為
GSN VPN連接。
(三)批次取得公路監理資料或公路監理異動資料管制措施
1.檔案傳輸或磁性媒體交換方式批次取得公路監理資料及異動
資料者,應由專人辦理,並檢核資料完整性。
2.取得資料載入系統應用時,應設定使用該資料之存取權限及
核准使用期限。欲使用資料者,須經申請核准後始得使用,
並應於核准期限內使用及應用於核准業務範圍。
3.資料檔案儲存於可攜式儲存媒體者,應置放於安全場所,應
上鎖或管制人員進出。
4.公路監理資料不得任意複製,如有複製資料之業務需要,應
經申請核准後,始得複製,資料傳送時應採取適當的保密措
施。
(四)資料銷毀程序
1.線上查詢或經由網路取得公路監理資料檔,應指定專人或由
系統定期清除,以防範資料被不當存取。
2.線上查詢公路監理資料完竣後,如可銷毀,紙本文件應銷毀
至無法辨識,電子檔如無保留必要性,應即刪除。
3.儲存於電腦設備或系統之資料檔案,使用完竣且確認無保存
必要,應簽報單位主管核定後,刪除資料檔案,並確認其資
料檔案無法復原。
4.儲存於可攜式媒體之資料檔案,使用完竣且確認無保存必要
,應簽報單位主管核定後,辦理銷磁或銷毀作業。
(五)終止連結作業:每一年應檢視已申請核准之公路監理資訊連結
作業之使用情形,如已無需求者,應函請資料提供機關終止
該連結作業。
五、定期查核及稽核
(一)使用機關業務單位每月列印查詢紀錄單,供查核人員查核
,每月抽查比率至少百分之三,每月抽查筆數不得少於十
筆,查詢總筆數少於十筆者,應全數查核。
(二)前項查核結果,應保留三年備查,遇有查詢異常現象,使
用機關業務單位會同單位政風單位及資訊單位共同調查,
並作成稽核紀錄。
(三)使用機關應每半年辦理內部稽核工作,本署並應每年辦理
所屬機關稽核工作,所有稽核工作均應作成稽核紀錄,保
留三年備查。
(四)對於資料提供機關實施稽核時,應備妥使用者清冊及稽核
紀錄及提供相關稽核資料。
六、相關法律責任
(一)對於取得資料之處理及利用,違反個人資料保護法(以下
簡稱個資法)規定,致當事人權益受損者,由使用單位負
完全責任,並應負同法第二十八條之損害賠償責任,與同
法第三十一條國家賠償責任。
(二)意圖營利或無故洩漏個人資料,或違法及重大不當行為,
依法負民事及個資法之刑事責任,並由使用機關辦理行政
議處。
(三)使用機關未善盡管理之責,致未經授權之使用者,或因職
務調整、離職或退休等原因已無使用公路監理資料權限者
,可使用公路監理資料,且不當使用公路監理資料,致當
事人權益受損者,應由使用機關議處行政責任。
(四)如違反其他法律規定,依其規定追究責任。