一、為建立安全及可信賴之電腦化作業環境，確保本會電腦
　　資料、系統、設備及網路安全，以維持本會業務之正常
　　運作，依據行政院及所屬各機關資訊安全管理要點及個
　　人資料保護法，並衡酌原住民族委員會（以下簡稱本會
　　）業務特性與需求，特訂定本要點。
二、適用範圍如下：
　　（一）人員：包含本會編制內人員、約聘僱人員、臨時
　　　　　人員及使用本會資訊資源之委外廠商人員。
　　（二）系統：包含本會現行及未來建置之各項資訊相關
　　　　　系統。
　　（三）內容：
　　　　1.資訊安全組織及權責分工。
　　　　2.人員管理及資訊安全教育訓練。
　　　　3.電腦系統安全管理。
　　　　4.網路安全管理。
　　　　5.系統存取控制管理。
　　　　6.系統發展及維護安全管理。
　　　　7.資訊資產安全管理。
　　　　8.實體及環境安全管理。
　　　　9.業務永續運作計畫管理。
　　　　10.其他資訊安全管理事項。
三、資訊安全組織及權責分工如下：
　　（一）資訊安全組織：依據國家資通安全通報應變作業
　　　　　綱要成立本會資通安全處理小組，設置規劃組、
　　　　　管控組及督察組等三個分組，用以辦理資訊安全
　　　　　之相關工作事宜。
　　（二）權責分工：本會資訊安全工作之權責分工如下：
　　　　1.規劃組：由資訊業務單位規劃危機處理程序、蒐
　　　　　集資通安全資訊、建置資通安全措施、執行資通
　　　　　安全監控、查明安全事件原因、執行緊急應變措
　　　　　施、辦理安全事件通報、協助研判資安事件。
　　　　2.管控組：由資訊業務單位確定影響範圍並作損失
　　　　　評估、執行解決辦法、訂定系統安全等級、簽辦
　　　　　及訂定資通安全攻防演練計畫、培訓資通安全技
　　　　　術。
　　　　3.督察組：由政風室會同資訊業務單位訂定相關之
　　　　　稽核計畫執行內部及外部稽核作業。
四、人員管理及資訊安全教育訓練規定如下：
　　（一）人員安全管理：
　　　　1.本會對於新進用及調派之人員，倘其工作職掌須
　　　　　使用或處理敏感性資訊的資訊科技設施或涉及機
　　　　　密性及敏感性資訊者，應經適當的安全評估程序
　　　　　。
　　　　2.本會各級主管應負責督導所屬人員之資訊作業安
　　　　　全，防範不法及不當行為；對可存取機密性、敏
　　　　　感性資訊或系統者及配賦系統存取特別權限之人
　　　　　員，應妥適分工，分散權責。
　　　　3.本會資訊安全政策應以書面、電子或其他方式告
　　　　　知員工，員工應遵守本要點及其他相關資訊安全
　　　　　規定。員工若違反資訊安全相關規定，得依情節
　　　　　輕重予以處分。
　　　　4.本會員工應遵守維護公務機密之相關法令規定；
　　　　　在職及離退職後，均不得洩漏所知悉之業務機密
　　　　　，或為不當之使用，否則得視其情節輕重予以處
　　　　　分或追究其民、刑事責任。
　　（二）資訊安全教育訓練：
　　　　1.依員工角色及職務層級，進行適當的資訊安全講
　　　　　習，促使員工瞭解資訊安全的重要性及各種可能
　　　　　的安全風險，以提高員工資訊安全意識。
　　　　2.安排從事資訊安全業務之資訊相關人員定期進行
　　　　　資安相關課程之教育課程進修，以獲知最新之資
　　　　　安技術與知識。
五、電腦系統安全管理注意事項如下：
　　（一）電腦主機管理：
　　　　1.電腦主機及伺服器操作程序，應以書面或電子方
　　　　　式載明，以確保員工正確及安全的操作使用電腦
　　　　　。
　　　　2.各項電腦主機及伺服器設備均應指定專人管理，
　　　　　非經核准不得任意使用、拆卸及更動零組件。
　　　　3.各類電腦主機、伺服器及重要之個人電腦皆應設
　　　　　定密碼。
　　　　4.訂定電腦主機不正常停機之立即回復標準作業程
　　　　　序。
　　（二）電腦軟體及病毒防禦管理：
　　　　1.禁止使用未經授權之軟體，並遵守智慧財產權相
　　　　　關規定。
　　　　2.嚴禁使用或開啟來路不明及內容不確定之軟體、
　　　　　磁性媒體或電子郵件。
　　　　3.建置防火牆及防毒軟體以區隔內部網路與網際網
　　　　　路間之非法連結，阻絕電腦病毒及惡意攻擊性軟
　　　　　體之非法入侵或非法存取資料。
　　　　4.電腦病毒碼及防制軟體應定期更新。
　　　　5.定期修補系統漏洞程式。
六、網路安全管理注意事項如下：
　　（一）網路設備：
　　　　1.開放外界連線作業之資訊系統，應視資料及系統
　　　　　之重要性及價值，採用資料加密、身分鑑別、電
　　　　　子簽章、防火牆及安全漏洞偵測等不同安全等級
　　　　　之技術或措施，防止資料及系統被侵入、破壞、
　　　　　竄改、刪除及未經授權之存取。
　　　　2.禁止及防範網路使用者以任何儀器設備或軟體工
　　　　　具竊取網路上的通訊。
　　　　3.網路主機應關閉非必要的服務程式，並隨時更新
　　　　　程式版本。
　　（二）網路行為：
　　　　1.本會員工經申請帳號後成為合法授權的網路使用
　　　　　者並在授權範圍內存取網路資源。
　　　　2.提供給內部人員使用的網路服務，與開放業務有
　　　　　關人員從遠端登入內部網路系統的網路服務，應
　　　　　執行嚴謹的身分辨識作業，或使用資訊相關設備
　　　　　進行安全控管。
　　　　3.網路系統管理人員未經權責主管人員許可，不得
　　　　　閱覽使用者之私人檔案；但如發現有可疑的網路
　　　　　安全情事，網路系統管理人員得依授權檢查其檔
　　　　　案。
　　　　4.本會人員禁止利用本會網路從事不法及侵害他人
　　　　　權利之情事。
　　　　5.本會之網路使用者不得以任何手段蓄意干擾或妨
　　　　　害網路系統的正常運作。
　　（三）電子郵件：
　　　　1.機密性資料及文件不得以電子郵件或其他電子方
　　　　　式傳送。
　　　　2.不可隨意開啟來路不明的電子郵件，以免啟動惡
　　　　　意執行檔，使網路系統遭到破壞；收到來路不明
　　　　　的電子郵件時應通知系統管理者處理。
　　　　3.禁止發送垃圾郵件騷擾他人，導致其他使用者之
　　　　　不安與不便。
　　　　4.禁止發送匿名信，或偽造他人名義發送電子郵件
　　　　　。
七、系統存取控制管理作業如下：
　　（一）人員存取管理：
　　　　1.使用者尚未完成正式授權程序前，資訊服務提供
　　　　　者不得對其提供系統存取服務。
　　　　2.使用者應確實瞭解系統存取的各項條件及要求，
　　　　　並在授權範圍內存取系統資源。
　　　　3.對系統服務廠商以遠端登入方式進行系統維修者
　　　　　，應建立人員名冊加強安全控管，並要求其相關
　　　　　安全保密責任。
　　（二）資料存取管理：
　　　　1.重要資料之委外建檔，不論在機關內外執行，均
　　　　　應採取適當及足夠之安全管制措施，防止資料被
　　　　　竊取、竄改、販售、洩漏及不當備份等情形發生
　　　　　。
　　　　2.存放機密性及敏感性資料之電腦主機或伺服器，
　　　　　除作業系統既有的安全設定外，應強化身份辨識
　　　　　之安全機制，防止非法使用者透過遠端撥接或網
　　　　　際網路傳送資料時，被偷窺或截取登入密碼，及
　　　　　防制假冒合法使用者身分登入主機進行偷竊或破
　　　　　壞等情事。
　　　　3.利用網際網路及全球資訊網公布及流通資訊，應
　　　　　實施資料安全等級評估，機密性、敏感性及未經
　　　　　當事人同意之個人隱私資料及文件，不得上網公
　　　　　布。
　　　　4.為保護及防止不當使用向其他單位索取錄製之個
　　　　　人資料電腦檔案，凡涉及個人資料之電腦檔案，
　　　　　其操作使用及安全維護將依據個人資料保護法及
　　　　　其他相關法令規定辦理，上開法令修正時亦同。
　　（三）帳號及密碼管理：
　　　　1.建立系統使用者帳號管理制度，加強使用者通行
　　　　　密碼管理。
　　　　2.離（休）職人員，應立即取消各項資訊資源之所
　　　　　有權限，並列入離（休）職之必要手續。人員職
　　　　　務調整及調動，應依系統存取授權規定，限期調
　　　　　整其權限。
八、系統發展及維護安全管理事項如下：
　　（一）系統發展及維護管理：
　　　　1.本會自行開發或委外發展系統，應在系統生命週
　　　　　期之初始階段，即將資訊安全需求納入考量；系
　　　　　統之維護、更新、上線執行及版本異動作業，應
　　　　　予安全管制，避免不當軟體、暗門及電腦病毒等
　　　　　危害系統安全。
　　　　2.各單位對於廠商之軟硬體系統建置及維護人員，
　　　　　應要求及限制其可接觸之系統與資料範圍，並嚴
　　　　　禁核發長期性之系統辨識碼及通行密碼。基於實
　　　　　際作業需要，得核發短期性及臨時性之系統辨識
　　　　　及通行密碼供廠商使用。但使用完畢後應立即取
　　　　　消其使用權限。
　　　　3.各單位委託廠商建置及維護重要之軟硬體設施，
　　　　　應在機關相關人員監督及陪同下始得為之。
　　（二）資訊委外作業服務管理：
　　　　1.資訊作業委外時，應於事前評估潛在風險與業者
　　　　　簽訂適當的資訊安全協定，賦與相關的安全管理
　　　　　責任，並納入契約條款。
　　　　2.資訊委外服務契約應註明事項如下：
　　　　　（1）涉及機密性、敏感性或關鍵性的應用系統
　　　　　　　 之機密等級。
　　　　　（2）須經核准方得執行的事項。
　　　　　（3）業者應遵守的資訊安全要點及標準，評鑑
　　　　　　　 業者的項目及程序。
　　　　　（4）業者處理及通報事件的責任及程序。
　　　　　（5）業者應配合事項。
九、資訊資產安全管理項目及分類如下：
　　（一）資訊資產目錄之建立：
　　　　1.主管財產管理業務單位應會同主管資訊業務單位
　　　　　建立資訊資產目錄，目錄內容應包括資訊資產的
　　　　　項目、保管者及安全等級分類等。
　　　　2.資訊資產包括項目如下
　　　　　（1）資料：資料庫及資料檔案、系統文件、使
　　　　　　　 用者手冊、訓練教材、作業及支援程序、
　　　　　　　 備援回復作業計畫等。
　　　　　（2）軟體：應用軟體、系統軟體、發展工具及
　　　　　　　 公用程式等。
　　　　　（3）硬體：電腦及通訊設備、資料儲存媒體等
               。
　　　　　（4）其他相關設備。
　　（二）資訊資產安全之等級分類及標示：
　　　　1.資訊安全分類原則上依據國家機密保護法、個人
　　　　　資料保護法及政府資訊公開法等相關法規，建立
　　　　　資訊安全等級之分類標準，上開法令修正時亦同
　　　　　。
　　　　2.資訊資產安全分類標準，應考量資訊分享及資料
　　　　　的機密性、正確性及安全等級，由業務單位或指
　　　　　定的系統管理者負責界定。
　　　　3.已列入安全等級分類的資訊及系統之輸出資料，
　　　　　應以文字及顏色標示適當的安全等級以利使用者
　　　　　遵循。
十、實體及環境安全管理措施如下：
　　（一）一般辦公環境之安全保護：
　　　　1.實體環境的安全保護，應以事前劃定的各項資訊
　　　　　設施為基礎，並設置必要的身分識別程序，以達
　　　　　成安全控管的目的。
　　　　2.每項資訊設備的實體保護程度，以及實體身分識
　　　　　別程序，應依資訊資產等級及其安全風險價值決
　　　　　定。
　　　　3.電腦相關軟硬體設備或資料，須經主管資訊業務
　　　　　單位人員確認及核准後，方可帶離辦公場所，各
　　　　　業務單位自行開發之系統及建置之資料亦應於單
　　　　　位主管之核准後，方可帶離辦公場所。
　　　　4.個人電腦及電腦終端機不再使用時，應關機、上
　　　　　鎖或是其他控制措施保護。
　　　　5.個人電腦嚴禁使用非經授權及來路不明之軟硬體
　　　　　。
　　　　6.列印之文件及磁性媒體在不使用或非上班時段，
　　　　　應存放在櫃子內，機密性及敏感性資訊並應上鎖
　　　　　保護。
　　（二）電腦機房之安全管理：
　　　　1.電腦機房應考量火災、水災、地震等災害的實體
　　　　　安全防護措施，並考量鄰近空間的可能安全威脅
　　　　　。
　　　　2.危險性及易燃性的物品，應存放在遠離電腦機房
　　　　　的安全地點。
　　　　3.人員進入電腦機房應予適當的管制，並記錄進出
　　　　　時間；人員只有在特定的目的或是被授權情形下
　　　　　，才能進入電腦機房。
　　　　4.建置機房火警、空調、溫溼度、電源供應等警示
　　　　　自動通報系統，全天候掌控機房運作情況，以確
　　　　　保機房設施安全。
　　　　5.安裝適當的安全偵測及防制設備，例如熱度及煙
　　　　　霧偵測設備，火災警報設備、滅火設備及火災逃
　　　　　生設備；各項安全設備依廠商的使用說明書定期
　　　　　檢查。
　　　　6.若為機房所在為租用其他機關之場所，未能自行
　　　　　將租用場所改建裝置者，其相關之安全措施依租
　　　　　用機關之規定辦理。
十一、業務永續運作之規劃如下：
　　（一）人為及天然災害處理：為因應各種人為及天然災
　　　　　害造成業務運作受影響，各單位應依業務性質研
　　　　　擬訂定緊急應變計畫使各項業務得以永續運作。
　　（二）資安事件通報：
　　　　1.各單位在發生資訊安全事件時，應依行政院國家
　　　　　資通安全會報等單位之規定處理程序並採取反應
　　　　　措施，必要時得聯繫檢警調單位協助偵查。
　　　　2.有關本會「營運持續管理要點」授權由本會主管
　　　　　資訊業務單位參照行政院資訊安全政策及本要點
　　　　　之精神訂定之，並於奉核後通告各單位施行。
十二、其他資訊安全管理事項如下：
　　（一）本要點未盡之處及其他未定事項，依行政院及所
　　　　　屬各機關資訊安全管理規範及其他相關法令規定
　　　　　辦理。
　　（二）本要點自核定後實施，並於本會網站公告週知，
　　　　　修正時亦同。