一、為強化高雄市政府環境保護局(以下簡稱本局)資訊安全管理,建立安全及提供可信賴之資訊作業環境,確
保資料、系統、設備、公務電腦及網路之安全,特訂定本要點。
二、本要點用詞定義如下:
(一)電腦設備:指市府資訊中心(以下簡稱資訊中心)與本局機房之主機、週邊設備、相關設施以及本局各科室
辦理公務之個人電腦等終端設備。
(二)資訊機密:指使用電腦設備製作、保存與國家安全、公務機密或個人權益有關之資料,及處理該資料有關之
系統、程式、消息 或文件。
(三)委外駐局人員(以下簡稱駐局人員):指本局各科室因業務需求與委外廠商簽訂書面約定,協助本局各科室
處理相關業務之人員。
(四)契約管理單位:指本局各科室辦理委外服務案時,執行契約履約管理的權責單位。
三、駐局人員如因業務需求使用本局相關資訊系統、網路連線及個人公務電腦等資通訊作業時,應遵守本局相關
資通安全規範。駐局人員如因業務需求涉及本局相關資訊系統、網路連線、個人公務電腦等資通訊作業時,須注
意是否符合本局相關資通安全規範。
四、駐局人員於本局所使用之辦公電腦,應符合本局公務機密及資訊、網路的安全性,並遵循下列規定:
(一)作業系統:
1.作業系統版本應保持更新,以符合安全性規定。
2.作業系統需具有合法授權。
3.設定並開啟作業系統定期更新,以符合安全性標準。
(二)系統帳號安全:
1.禁止使用administrator或admin等作為電腦名稱。
2.密碼須包含大、小寫英文字混和,且長度設定至少8碼以上。
3.每3個月變更電腦密碼。
4.禁止使用網路芳鄰。
(三)防毒軟體安裝及設定:
1.個人辦公電腦皆需安裝防毒軟體,並開啟定期掃描設定,建議每天定期進行系統掃描作業。
2.不可關閉即時掃描服務,以確保電腦安全。
3.須具有合法的軟體版權授權。
4.病毒碼定期更新,確保為最新版本。
5.防毒軟體須符合本局資安規範要求,禁止使用免費試用版、具中資背景、資安風險疑慮等防毒軟體。
(四)授權軟體:為維護本局資訊安全,廠商安裝於辦公電腦的軟體,須具有合法版權授權,禁止安裝破解版軟體
程式。
(五)基於資訊安全需求,確保不會因開放連線造成駭客入侵等危害,本局不接受任何形式的遠端連線作業。
(六0禁止安裝非法遠端連線及P2P等連線程式(如show my pc、BitComet等p2p軟體)。
(七)如需使用社群軟體及即時通訊軟體,得依相關規定申請權限開通。
(八)其他未載明之事項,得依上級機關及本局相關規定辦理。
五、駐局人員因辦理公務所需,得申請本局網路連線服務,並應填寫「高雄市政府環境保護局委外駐局人員電腦
網路安裝申請檢核表」(如附件一),以確認是否符合規定,如未符合,本局網路管理單位應駁回其申請。
本局相關單位得派員不定期抽查前項申請人是否依規定使用,倘經查獲不符合申請時規定者,契約管理單位
應負督導責任並限期改善,改善期間本局得暫停其網路連線服務,屢勸不聽者,本局得終止其使用本局網路連線
服務。
六、稽核管理作業:
(一)本局得不定期查核駐局人員、廠商及相關科室是否依行政院及所屬各機關資訊安全管理要點、本局資通安
全維護計畫及本要點等相關規範辦理。
(二)本局政風室得不定期會同相關管理單位,辦理駐局人員電腦設備安全及資訊機密維護管理稽核作業,稽核各
科室駐局人員是否依本要點辦理,並彙整本局內稽查核項目表(如附件二),簽陳局長或其授權人員核閱後存查。
七、資訊安全與智慧財產權歸屬:
(一)委外服務契約所屬管理單位應善盡委外管理義務,避免機密公務資料外洩,造成單位損失。
(二)廠商及駐局人員所知悉或取得機關公務秘密與業務秘密應限於其執行契約所必需且僅限於契約有效期間內,
非經本局授權允許不得以任何形式、媒體將相關檔案、文件攜出。廠商同意本點所定公務秘密與業務秘密,應僅
提供、告知有需要知悉該秘密之廠商團隊成員,並應要求該等人員簽署與本條款內容相同之保密同意書(如附件
三)及保密切結書(如附件四),並送交本局備查。
(三)承攬廠商及駐局人員因業務所經手、保管或取得之個人資料、管理文件、帳號密碼及公務機密,應負保密責
任,非因公務並經本局授權允許,不得對外提供,違者追究相關法律責任。委外廠商使用本局網路連線及系統
時,應以相關業務為限,其所屬主管單位應負監督之責。
(四)駐局人員異動、離職時,應主動告知本局委外服務案契約管理單位;相關人員如離職或電腦設備變更、撤離
時,原電腦設備應辦理資料刪除、消磁或覆寫等作業,委外服務案契約管理單位應盡監督之責。
(五)因處理委託案需存取本局之資訊設施時,需經本局之同意並簽署保密同意書及保密切結書後,始得為之。
(六)處理本局所提供之相關業務內容及設備措施時,負有保密之責任,如有洩密情形導致損害時,應負完全賠償
及法律責任。
(七)如發生資訊安全事件時應即通報本局相關單位,並將通報事項處理完成。
(八)使用本局網路連線及系統處理相關業務資料時,應遵循相關作業原則,不得任意影印、複製、傳真或以電子
郵件方式傳送,防止個人資料遭不法蒐集、處理、利用或有其他侵害機關權利之行為。
(九)如違反第三點至本點規定、上級機關相關資安規範或本局資通安全維護計畫時,本局權管單位得終止其網路
使用權限,並要求限期改善缺失,情節嚴重時本局契約管理單位得依契約相關規定辦理。
(十)承攬廠商應確保其派駐本局人員處理業務時,所交付之標的物無侵害他人著作權、專利權或其他智慧財產權
等情事發生。如有涉及侵害他人智慧財產權者,其對本局及其相關人員所生之損害,概由承包廠商負責賠償。本
局及其相關人員如因而遭致他人訴訟、求償等,承包廠商及其代理人、相關人員應負責協助答辯。承包廠商並應
保障本局及其相關人員免受損害,及承擔本局及其相關人員所有之法律責任,並支付損害賠償及包括律師服務費
在內之一切費用。
八、本要點未規定事項,依行政院及所屬各機關資訊安全管理要點、本局資通安全維護計畫、資訊安全管理要點
及相關規定辦理。