臺灣省北基農田水利會資訊管理策略
97.6.13北農水資字第0970001215號函陳報行政院農業委員會
一、緣由
北基農田水利會（以下簡稱本會）為強化資訊安全管理，建立安全及可信賴之電子化政府，確保資料、系統、設備及網路安全，免於因外在之威脅或內部人員不當的使用，致遭受竊取或破壞機關資料，甚而癱瘓機關內部網路，影響機關業務正常運作，特訂定本策略。

二、依據
本策略係參照『行政院及所屬各機關資訊安全管理要點』及『行政院所屬各機關資訊安全管理規範』等有關法令，考量本會業務需求訂定，並以書面、電子或其他方式告知所屬人員及提供資訊服務之廠商共同遵行。

三、資訊安全定義
所謂資訊安全係將管理程序及安全防護技術應用於各項資訊作業，以確保資訊在蒐集、處理、傳送、儲存、使用及銷毀過程中之機密性、完整性及可用性，範圍包含實體環境、網路安全、軟硬體設備、電腦檔案、作業相關之報表文件、儲存媒體及人員之安全管理。

四、資訊安全目標
本會資訊安全管理目標如下:
(一)確保實體環境安全，提供安全順暢之網路運轉環境。
(二)確保公務及涉及個人隱私資料之機密性，防止非法使用。
(三)確保資訊系統之完整性，防止人為意圖不法使用，竄改資料。
(四)確保資訊系統之可用性，維持資訊系統持續運作。

五、資訊安全範圍
就下列範圍訂定資訊安全計畫實施，並定期評估實施成效：
(一)資訊安全權責分工。
(二)人員管理及資訊安全教育訓練。
(三)電腦系統安全管理。
(四)網路安全管理。
(五)系統存取管制。
(六)系統發展及維護安全管理。
(七)資訊資產安全管理。
(八)實體及環境安全管理。
(九)業務永續運作計畫管理。
(十)資訊安全稽核。

六、資訊安全組織
(一)為統籌資訊安全管理等事項之協調及推動，成立資通安全處理小組（以 下簡稱資安小組）。
(二)資安小組屬常態任務編組，置召集人一人，由本會總幹事兼任，負責推動、協調及督導本會資訊安全管理業務；副召集人一人，由本會輔導室主任兼任，襄助召集人推動、協調及督導本會資訊安全管理業務；執行秘書一人，由本會資訊人員擔任，承正、副召集人之命，負責綜理本小組有關業務，小組成員由各組室主管兼任。

七、資訊安全權責分工
(一)資訊安全相關管理政策、計畫、措施及技術規範之研議，以及安全技術之研究、建置及評估相關事項，由資訊人員辦理。
(二)資料及資訊系統之安全等級研議、使用者權限需求等事項，由業務相關單位會同資訊人員辦理，其使用管理及保護等事項，由業務單位負責辦理。
(三)資訊機密維護及稽核使用管理事項，由輔導室會同相關單位辦理。
(四)人員進用之安全評估，由用人單位會同人事室辦理。
(五)資訊資產安全及管理，由總務組會同資訊人員辦理。
(六)資訊系統安全及管理、緊急應變處理程序演練及測試，由資訊人員會同相關單位辦理。
(七)資訊安全稽核作業，由輔導室會同資訊人員定期辦理，並視實際狀況得不定期進行資訊安全稽核。
(八)資訊安全管理事項由資安小組，統籌資訊安全管理策略、計畫、資源調度等事項之協調、研議。

八、人員管理及資訊安全教育訓練
(一)對資訊相關職務及工作，應進行安全評估，並於人員進用、工作及任務指派時，審慎評估人員之適任性，並進行必要的考核。
(二)各業務主管人員，應負責督導所屬員工之資訊作業安全，防範不法及不當行為。
(三)針對管理、業務及資訊等不同工作類別之需求，定期辦理資訊安全教育訓練及宣導，建立員工資訊安全認知，提升資訊安全水準。
(四)負責重要資訊系統之管理、維護、設計及操作之人員，應妥適分工，分散權責，並視需要得建立制衡機制，實施人員輪調，建立人力備援制度。
(五)應加強資訊安全管理人力之培訓，提升資訊安全管理能力。
資訊安全人力及經驗如有不足，得洽請學者專家或專業機關(構)提出顧問諮詢服務。

九、電腦系統安全管理
(一)辦理資訊業務委外作業，應於事前研提資訊安全需求，明訂廠商之資訊安全責任及保密規定，並列入契約，要求廠商遵守並定期考核。
(二)對系統變更作業，應建立控管制度，並建立紀錄，以備查考。
(三)依相關法規或契約規定複製及使用軟體，並建立軟體使用管理制度。
(四)採行必要的事前預防及保護措施，偵測及防制電腦病毒及其他惡意軟體，確保系統正常運作。

十、網路安全管理
(一)開放外界連線作業之資訊系統，應視資料及系統之重要性及價值，採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施，防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
(二)利用網際網路及全球資訊網公布及流通資訊，應實施資料安全等級評估，機密性、敏感性及未經當事人同意之個人隱私資料及文件，不得上網公布。
(三)訂定電子郵件使用規定，機密性資料及文件不得以電子郵件或其他電子方式傳送。

十一、系統存取控制
(一)訂定系統存取管理策略及授權規定，並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
(二)離（休）職人員，應立即取消各項資訊資源之所有權限，並列入離（休）職之必要手續。人員職務調整及調動，應依系統存取授權規定，立即調整其權限。
(三)建立系統使用者註冊管理制度，加強使用者通行密碼管理，使用者通行密碼應定期更新。
(四)對系統服務廠商以遠端登入方式進行系統維修者，應加強安全控管，並建立人員名冊，課其相關安全保密責任。

十二、系統發展及維護之安全管理
(一)自行或委外開發系統，應在資訊系統規劃之需求分析階段，即將資訊 安全納入考量；系統之維護、更新、上線執行及版本異動作業，應予安全管制，避免不當軟體、後門及電腦病毒等危害系統安全。
(二)資訊業務委外時，應於事前審慎評估可能的潛在安全風險，須明定廠商之資訊安全責任及保密規定，並列入契約，要求廠商遵守並定期考核。
(三)對於委外建置之軟硬體系統及維護人員，應規範及限制其可接觸之系統與資料範圍，並於使用完畢後立即取消其使用權限。
(四)委託廠商建置及維護重要之軟硬體設施，應在本會相關人員監督及陪同下始得為之。
(五)依據智慧財產權之相關規定，規範各種軟體之使用。
十三、資訊資產安全分級管理
(一)建立與資訊系統有關的資訊資產目錄，訂定資訊資產的項目、擁有者及安全等級分類等。
(二)依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規，建立資訊安全等級之分類標準，以及相對應的保護措施。
(三)已列入安全等級分類的資訊及系統之輸出資料，應標示適當的安全等級以利使用者遵循。

十四、實體及環境安全管理
就設備安置、周邊環境及人員進出管制等，訂定實體及環境安全管理措施。

十五、業務永續運作計畫之規劃與管理
(一)訂定業務永續運作計畫，評估各種人為及天然災害對業務運作之影響， 訂定緊急應變及回復作業程序及相關人員之權責，並定期演練及調整更新計畫。
(二)建立資訊安全事件緊急處理機制，在發生資訊安全事件時，應依規定之處理程序，立即向資訊單位或人員通報，採取反應措施，並聯繫檢警調單位協助偵查。
(三)依相關法規，訂定及區分資料安全等級，並依不同安全等級，採取適當及充足之資訊安全措施。

十六、資訊安全稽核
(一)應就本會業務性質確立稽核項目及範圍，並訂定相關之稽核計畫或作業程序。
(二)為使資訊安全管理策略能落實，應定期或不定期進行資訊安全內部及外部稽核作業。

十七、本管理策略應至少每年評估一次，以反映政府法令、技術及業務等最新發展現況，確保資訊安全實務作業之有效性。

十八、本管理策略奉會長核可後實施，修正時亦同。