高雄市政府衛生局全球資訊網

更新日期:2023-09-29 10:12:32.000   發布單位: 衛生局

資訊安全政策及適用範圍

資訊安全政策及適用範圍

一、 本局資訊安全政策及相關規定適用範圍

(一) 本局資訊安全政策及相關規定適用範圍如下:
1. 本局所有正式員工、約聘僱人員、臨時人員(含替代役、工讀生等)。
2. 接觸本局各項資訊之委外服務廠商及協力廠商之人員。
3. 接觸本局限定使用等級與內部使用等級資訊之訪客。

(二) 本局之資訊安全管理目標包括:
1. 保障民眾隱私
2. 確保資訊處理過程之正確與完整
3. 建立並維持可靠之資訊與通訊作業環境
資訊安全人人有責,本局所有人員應共同努力達本局之資訊安全管理目標。

(三) 本局之資訊系統、電腦及網路,係為提供本局公務與為民服務之目的而存在,相關人員應依照前述之目的,正當使用本局之資訊系統、電腦及網路,各單位主管對於該單位所屬員工使用本局之資訊系統、電腦及網路之行為,負有監督之責;委外服務廠商及協力廠商人員使用本局之資訊系統、電腦及網路之行為,應由實際負責該項業務之單位,指派專人負責監督;訪客使用本局之資訊系統、電腦及網路之行為,則由實際負責接待之單位,指派專人負責監督。

(四) 為確保本局相關應用系統及資料庫之安全,本局採行各項網路隔離與防護措施,未經許可不得擅自新增或變更網路設備,亦不得擅自移除電腦中之網路監控防護機制。

(五) 為確保本局資訊資產之機密性,本局之資訊資產依其機密性區分為限定使用、內部使用及公開使用三個等級之資訊分級標示與保護。相關人員應確實依照上述機密等級,對資訊資產進行標示,並於使用、保存、複製、傳輸時,依照該資訊資產之機密等級,採取保護措施。資訊資產包括資訊機房、核心資通系統、網路、個人電腦、行動裝置與前述項目所處理、傳輸與儲存之資訊。

(六) 各項系統及網路服務之使用權限之分配應符合僅授予工作所需必要權限之原則。相關人員使用本局資訊系統與網路前,應事先提出申請,經所屬單位主管審核確為工作上所必須,再由系統管理人員進行權限之設定。

(七) 相關人員應妥善設定與保管其帳號密碼,避免遭他人利用進行不當存取。所使用之密碼長度應為8碼(含8碼)以上,包含英文大寫小寫、特殊符號或數字三種以上。至少6個月更換一次密碼並不與前3次密碼有重複。

(八) 進出因安全理由實施門禁管制之區域,應遵守人員與物品管制之規定,配合執行各項登記與檢查。

(九) 經手限定使用資料者,應於離開座位時將限定使用之書面資料置於已上鎖空間內,並對尚在使用中的電腦,啟動其螢幕保護裝置。

(十) 本局所有同仁應共同努力保護智慧財產權,且避免本局遭受病毒、駭客及資訊外洩之威脅,不得於公務用途之電腦中安裝未經許可的軟體,或自網路下載與工作無關之程式、文件與影音資料。

(十一) 為維護相關應用系統及資料庫之網路安全,連接本局網路應事先提出申請,並經評估其風險後開放使用。透過公眾網路或遠距存取本局之內部網路或對相關伺服器與網路設備進行管理維護時,應加強身份認證並採取加密措施;與本局之網路連線結束後,應立即中斷連線。

(十二) 公務用途之可攜式運算設備,須經資訊單位安裝各項網路及資料防護軟體並定期更新檢測,如有必要存取含有個人資料或內部使用等級與限定使用等級資料,須經特殊方式進行編碼後攜出外業使用。

(十三) 為保護民眾個人資料之安全性,除因執行法定職務之必要,不得將含有個人資料之檔案,自資訊系統下載並儲存於可攜式儲存裝置中,亦不得將含有民眾個人資料之檔案經由網路對外傳輸。

(十四) 本局所有人員應接受與職務相關之資訊安全教育訓練,以確實瞭解本身工作中之資訊安全職責,並依照資通安全宣導內容,於使用電腦與網路時,實施必要之資通安全防護措施,以防止遭受惡意軟體、社交工程、身分盜用、資訊竊取等攻擊。

(十五) 公務電子郵件信箱,僅供傳遞與公務有關訊息,並使用純文字模式瀏覽,避免讀取來歷不明之郵件或含有巨集檔案之郵件。不以電子郵件傳送機密性或敏感性之資料,如有業務需求者應依相關規定進行加密或其他之防護措施。

(十六) 相關人員在發現可能對本局之資料、系統與網路造成危害的事件、弱點與錯誤時,應立即通報企劃室。相關人員於接獲社交工程演練與資通安全事件通報及應變演練通知時,應依演練要求與時限配合辦理。

(十七) 違反資訊安全規定情節嚴重者先送資通安全推動小組開會討論,決議後再提報本局局務會議研議。

(十八) 本政策每年至少評估一次,以反映政府政策、法令、技術及機關業務之最新狀況,確保本局資訊安全政策之適切性。