立法院全球資訊網PDA版

一、目的

立法院（以下簡稱本院）為維護整體資訊安全，強化各項資訊資產之安全管理，確保其具機密性、完整性、可用性、鑑別性與不可否認性，以因應業務運作需要，妥善支援立法委員依法行使職權，特訂定本要點。

機密性(Confidentiality)指確保只有經過授權的人才能存取資訊資產。
完整性(Integrity)指確保資訊資產其處理方法的準確性及完整性。
可用性(Availability)指確保授權的使用者在需要時，可以使用資訊資產。
鑑別性(Authentication)指確保網路中之個體（Entity）的身分確實如他所表明，或由網路所接收的資料確實為該傳送者（ Sender ）所傳送。
不可否認性(Non-repudiation)指發送端不可否認其所同意傳送出的資料或他所完成的交易行為。

二、名詞定義

本要點所稱資訊安全係保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅，並降低可能影響及危害本院業務運作之損害程度。

本要點所稱資訊資產係本院所收集、產生、運用之資料，以及為完成以上工作所需使用之相關設備。

三、適用範聞

本要點適用於本院各項資訊資產及其資訊使用者。

資訊使用者係包含委員、助理、職員、聘僱人員、技工、工友、建置維護廠商及其他經授權使用資訊資產之人員。

四、法令依據

本要點及依據本要點所訂定之各項附屬規定 (以下簡稱資訊安全管理制度)，係參考電腦處理個人資料保護法、著作權法、國家機密保護法、電子簽章法等法規及其他相關標準所訂定，資訊使用者應確實遵守，如有違反者，依相關法令辦理。

除左列第四條所述法令外，以下各項為訂定本院資訊安全管理制度的重要參考標準。
- 國際標準組織的資訊安全標準(ISO17799：2000；資訊技術-資訊安全管理實施要則)。
- 經濟部中央標準檢驗局的資訊安全標準(CNS17800；資訊技術-資訊安全管理規範)。
- 英國標準協會的資訊安全標準(BS7799：2002；資訊安全管理)。
依據本要點所訂定之各項附屬規定-憑證政策、資訊安全組織作業原則、資訊安全文件管理、資訊資產分類分級、網路安全管理、主機安全管理、資訊應用系統安全管理、一般資訊設備管理、PKI資訊安全管理、電腦機房管理、資訊安全通報處理、資訊安全稽核、資訊存取控制、辦公區域管理、委外管理、資訊安全風險評鑑與管理等作業原則。

五、組織

本院為落實資訊安全管理，應成立跨單位資通安全會報，負責本要點之審核及資訊安全管理制度之推動事宜。
資通安全會報下設置資安稽核小組及資訊處資安小組，分別負責統籌資訊安全稽核、各項作業原則規劃事宜。

成立以下必要組織推動資訊安全管理制度。
資訊安全會報置召集人一人，由秘書長兼任；執行秘書一人，由資訊處處長兼任。
資安稽核小組之幕僚作業由召集人指派人員兼任。
資訊處資安小組之幕僚作業由執行秘書指派人員兼任。
訂定資訊安全組織作業原則，說明以下事項：
- 資訊安全組織架構、工作職掌及運作方式。
- 資通安全會議及資訊安全小組會議召開頻率及討論事項。
- 資訊安全組織人員資格及教育訓練。

六、資訊資產安全

為保護本院資訊資產安全，應建立資訊資產清冊加以分類分級，並訂定相對應之管制措施。

本院之資訊資產分為資訊類資產(如檔案資料、系統文件、資料庫等)、實體類資產(如電腦硬體、通訊設備等)、軟體類資產(如應用軟體、系統軟體等)、服務類資產（如電源、空調等）。
資訊資產清冊內容應註明資訊資產類別、擁有者、使用者及機密等級。
訂定資訊資產分類分級作業原則，說明以下事項：
- 資訊資產分類原則。
- 資訊資產分級原則。
- 資訊資產管控措施。

七、人事安全

為降低內部人為因素對本院資訊安全之影響，各單位應考量人力與工作職掌，實行分工及輪調措施。
本院應視需要實施資訊安全教育訓練及宣導，以提高人員對資訊安全之認知。

各單位含各委員研究室、服務處及各黨團辦公室。

八、委外管理

為提高委外作業之安全，本院應要求廠商簽署保密協議書，並管理專案人員及駐點人員之各項資訊資產存取權限。

訂定委外管理作業原則，說明以下事項：
- 規範保密協定。
- 委外績效評鑑。
- 委外廠商駐點人員管理。
- 委外人員存取規範。

九、風險管理

為有效管理本院各項資訊資產所面臨之威脅、弱點及其衝擊程度，本院應辦理風險評鑑並實行必要之風險管理。

威脅指資訊資產遭受外來安全衝擊的影響，如火災、水災及駭客入侵。
弱點指資訊資產的安全控制不足所帶來的影響，如人為疏失、網路漏洞。
風險評鑑指資訊安全確認的過程，藉由評估各個資訊資產的威脅與弱點以產出風險值，並確認其控制適足性。
風險管理指在可接受的成本內，對可能影響資訊安全之因素進行確認、控管，以降低其影響程度。
訂定風險評鑑暨管理作業原則，說明以下事項：
- 資訊安全風險評鑑步驟。
- 資訊安全風險管理步驟。
- 資訊安全風險評鑑時機。

十、實體安全

為確保電腦機房維運及資訊資產使用區域之安全，應訂定安全管理規範。

訂定電腦機房管理作業原則，說明以下事項：
- 機房內設備例行性檢查。
- 機房內資訊設備及資訊媒體使用管理注意事項。
- 門禁管理。
訂定辦公區域管理作業原則，說明以下事項：
- 桌面淨空管理。
- 螢幕保護程式設定。
- 傳真(機)資料管理注意事項。
- 設備安全管理。
訂定一般資訊設備管理作業原則，說明以下事項：
- 個人電腦管理。
- 個人電腦報廢。

十ㄧ、主機系統安全

為確保主機作業平台及資料庫之安全，使操作程序標準化，應訂定安全技術規範。

主機系統係指大型電腦、伺服器、資料庫等。作業平台係指Windows Server、Unix及網站伺服器等。
訂定主機系統安全管理作業原則，說明以下事項：
- 作業平台建置標準。
- 日常操作管理。
- 異常狀況排除。

十二、主機系統安全

為確保應用系統開發、測試、上線及維護之安全，應訂定標準管制及驗收程序。

應用系統指管理資訊系統及應用服務系統。
訂定應用系統安全管理作業原則，說明以下事項：
- 應用系統開發管理。
- 應用系統驗收測試。
- 應用系統上線作業。
- 應系統維護。

十三、網路安全

為確保網路服務及使用之安全，應訂定管理規範。

訂定網路安全管理作業原則，說明以下事項：
- 網路設備安裝維護事宜。
- 防火牆建置與管理注意事項。
- 網路安全監控檢核注意事項。
- 電腦病毒防治注意事項。
- 入侵偵測系統(IDS)注意事項。

十四、憑證安全

為使憑證申請及應用有所依據，應制定憑證政策、憑證實務作業基準，並定期進行評估及修訂。

訂定憑證政策，說明以下事項：
- 憑證申請及簽發。
- 憑證下載事宜。
- 憑證管理單位責任。
- 憑證註銷事宜。
制定憑證實務作業基準，針對憑證政策內容，說明憑證實務作業的必要管理程序，並依據憑證標準之變異執行修訂。

十五、存取安全

為避免資訊資產因未授權之存取而使機密性或敏感性資料遭不當使用，應考量人員職務授予相關權限，必要時得採行加解密及身份鑑別機制，以加強資料之安全。

本院現行可採行加解密及身份鑑別技術使用公開金鑰基礎建設（Public Key Infrastructure，PKI）。PKI指運用公開金鑰及電子憑證，確保電子資料交換的安全性及確認對方身分之機制。
訂定資訊存取控制作業原則，說明以下事項：
- 使用者存取權限區分與管理。
- 主機平台使用者帳號密碼管理。
- 網路設備系統管理員帳號管理機制。
- 筆記型電腦連線管理機制。
- 無線裝置、攜帶式行動設備等使用管理機制。
訂定PKI資訊安全管理作業原則，說明以下事項：
- 晶片卡(CA)空白卡之使用管理注意事項。
- PKI憑證應用管理管理注意事項。

十六、資訊安全事件管理

為降低資訊安全事件造成之損害，應建立資通安全通報及處理程序，並加以記錄。

資訊安全事件指：
- 內部危安事件─發現(或疑似)遭人為惡意破壞毀損、作業不慎、資料遭竊等。
- 外部攻擊事件─病毒感染事件、駭客攻擊(或非法入侵)事件。
- 天然災害事件─颱風、水災、地震。
- 重大突發事件─火災、爆炸等。
依據國家資通安全應變中心之通報規範，訂定資訊安全通報處理作業原則，說明以下內容：
- 建立資訊安全事件通報程序。
- 建立資訊安全事件分析及處理程序。
- 資訊系統、資料之備份作業。
- 災害復原計畫。

十七、業務永續運作管理

為避免資訊資產遭受災害而影響業務永續運作，應訂定應變及復原計畫，並定期測試演練。

災害指因資訊安全事件的發生，所造成之損失。
訂定業務永續運作管理作業原則，說明以下內容：
- 災害處理程序。
- 異地備援機房災害處理程序。
- 應用系統回復處理程序。
- 關鍵業務之復原優先順序。
- 分析業務停頓的損失和備援措施。
- 在地備援管理規範。

十八、資訊安全稽核管理

為落實資訊安全管理制度，資安稽核小組應訂定稽核計畫，並定期執行。

資訊安全稽核工作可由內部或外部具備專業資格之人員進行，並秉持獨立性及客觀性。
資訊安全內部稽核計畫之擬訂應參考過去稽核結果以決定稽核範圍及查核重點。
訂定資訊安全稽核管理作業原則，說明以下內容：
- 稽核計畫之訂定。
- 稽核範圍、頻率、方法。
- 稽核紀錄與報告。
- 改善行動與跟催。

十九、修訂

本要點應每年檢討，以反映最新標準規範、技術及業務現況。
各項附屬規定由資訊處資安小組視需要修訂，若內容涉及跨單位權責變動，應向資通安全會報提出後辦理之。

訂定資訊安全文件管理作業原則，說明以下內容：
- 文件內容綱要。
- 文件變更管理。
- 文件編號編制方式。
本要點之版本變更應依據資訊安全文件管理作業原則。

二十、宣導

本要點應定期宣導。
依據CNS17800、BS7799資訊安全標準：2002資訊安全管理要求。