一、 系統與網路應用安全管理
本府之系統與網路,除應注意其本身之安全管理,其衍生之應用事項亦應納入安全考量。
(一) 變更管理:應管控資通系統自身相關設定之異動,如需調整設定,需填寫「NGT-ISMS-I-2-13-06南投縣政府資通服務申請單」,於審核通過後執行。
(二) 資訊交換:交換作業應考量資訊之機密性、完整性及可鑑別性的相關保護措施,應建立相關交換協議,考量諸如傳輸、配送及接收之相關責任、程序與標準等安全情況。
(三) 實體媒體傳輸管理:本府須使用可靠運輸工具或遞送進行實體媒體的傳遞,如有需要應查核遞送人員身分。
(四) 電子資訊管理:本府提供公眾線上作業服務時,使用者端應盡量採用帳號、通行碼進行身分驗證,凡資訊內容包含敏感性資訊者(包含使用者通行碼或帳號資訊),通訊傳輸均建議使用加密技術。
(五) 電子商務服務管理:營業系統如有敏感資料或機密資訊應設有保護機制,防制未經受權的存取。
(六) 公開資訊的防護:本府對外公開資訊之系統應設置防火牆、防毒系統、入侵偵測系統等防護機制,並保留各伺服器主機的稽核軌跡記錄定期稽查,避免公開資訊遭竄改。
(七) 行動運算與遠距工作管理
1. 行動運算:本府員工如使用行動運算裝置,如:筆記型電腦、平板電腦,應注意防範設備的相關風險,如:中毒、失竊。
2. 遠距工作管理:本府員工或委外廠商如因業務特殊需求,需於防火牆對外開放特殊服務(如遠端登入或檔案傳輸等),在不影響本府網路安全條件下(如採用VPN tunnel、SSH技術),提出申請並填寫「NGT-ISMS-I-2-13-03南投縣政府防火牆設定異動申請單、「NGT-ISMS-I-2-13-04南投縣政府防火牆設定異動申請單(廠商用)」、「NTG-ISMS-I-2-10-01南投縣政府資通系統權限申請單」、「NTG-ISMS-I-3-02-02南投縣政府特權帳號異動申請單」,經執行單位核可後,設定防火牆權限開放。
(八) 個人隱私之保護
1. 系統處理個人隱私資料時,應依據相關法規辦理,如個人資料保護法,審慎處理個人資料,非公務用途嚴禁調閱使用。
2. 提供公眾服務的資通系統,如有存放民眾申請或註冊之私人資訊,應設有認證機制保護,避免有心人士竊取,侵犯民眾隱私。
3. 個人資料依有關法令為特定目的外之利用時,應由各該資料檔案承辦單位簽奉核准後行之。
