說 明:
該要點業於本局資安文件「可攜式資訊設備管理工作指導書」中規範。
法規內容:
一、為保護本局資訊資產,減少同仁因業務上使用可攜式資訊設備所引發
之安全問題,以便達成本局資訊資產安全控管目的,特訂定本要點。
二、本要點所稱可攜式資訊設備,包括筆記型電腦、PDA 、可攜式硬碟、
可攜式燒錄器、USB 可攜式拇指碟等資訊設備。
三、本局全體員工及外部人員(包含委外廠商)均需遵守本要點,妥善保
管使用可攜式資訊設備,以防止本局資訊資產遭未授權存取。
四、作業程序
(一)可攜式資訊設備使用規範
1.本局全體員工僅能使用本局提供之可攜式資訊設備,禁止使用非
本局資訊資產之可攜式資訊設備。
2.本局可攜式資訊設備由該設備財產保管人專責保管,並限公務需
要使用,不得外借。
3.各單位人員借用可攜式資訊設備時,應填寫「可攜式資訊設備借
用登記表」(如附表一),由各單位資訊資產管理人員登錄控管
。
4.委外廠商如須在本局辦公處所使用可攜式資訊設備時,應填寫「
委外廠商使用可攜式資訊設備登記表」(如附表二)經由資訊業
務承辦人員評估其使用之合理性後,始可使用,且業務承辦人員
應全程陪同。
5.除前項之外部人員,禁止於本局內使用可攜式資訊設備。
6.借用可攜式資訊設備時,於用畢歸還前,應將檔案備份至個人電
腦中,並將存於可攜式資訊設備之電子檔刪除,使可攜式資訊設
備維持淨空,僅保留共用之應用程式及軟體,避免資料遭未授權
存取。
7.本局可攜式資訊設備嚴禁私自交換使用,避免資料遭未授權存取
。
(二)資料保護
1.辦公時間內,無論是在本局內部或外部,同仁均應妥善保管可攜
式資訊設備。當使用可攜式資訊設備時,應加強安全防護措施。
例如:上鎖於固定之位置等。辦公時間外,禁止使用可攜式資訊
設備。
2.同仁攜帶可攜式資訊設備外出洽公時,應妥善保管,避免遺失。
3.嚴禁私自交換可攜式資訊設備,避免資料遭未授權存取。
4.可攜式資訊設備若存有本局之密級或敏感級資料時,應加強安全
防護措施,例如資料加密機制等。
5.可攜式資訊設備遺失時,應即時通知單位主管及單位資訊資產管
理人員,以進行相關處理。
6.本局員工使用可攜式資訊設備,需暫時離開座位時,務必採取適
當保護措施,避免資料遭未授權存取。
7.筆記型電腦或 PDA 應設置帳號密碼登入,並確實執行密碼防護
。
8.必要時由資訊單位協助,不定期將筆記型電腦重新安裝,以確保
僅保留共用之應用程式及軟體,避免資料遭未授權存取。
9.筆記型電腦應啟用螢幕保護程式,一般等候時間設定為 5 分鐘
。
(三)電腦病毒防範
1.勿任意開啟不明人士寄來的電子郵件,且注意附件包含*.exe 、
*.com (執行檔)、*.doc(word 檔)或* .vbs 等類型檔案,
以降低電腦中毒的機率。
2.勿任意安裝無版權之軟體或從網站下載檔案,避免違反法令規範
,或遭惡意程式之威脅。
3.應隨時注意關於資安事件與電腦病毒之相關公告,提高電腦、電
子郵件使用之安全警覺。
4.使用可攜式資訊設備時,須先掃瞄病毒,以偵測是否感染電腦病
毒、特洛依木馬及邏輯炸彈等惡意軟體之入侵。
5.敏感級或密級資料及軟體應事先備份,以免感染電腦病毒後資料
無法復原。
6.須使用合法版權之防毒軟體安裝,並定期更新病毒碼。
7.筆記型電腦或 PDA 之資料夾除公務需要外,儘量避免設定為共
用;若特定情況須設定為共用時,應執行使用權限設定,限制特
定使用者才可存取資料夾,降低電腦病毒入侵機率。
8.如遭病毒感染,應立即與網路離線,直到網管人員確認病毒已移
除後,才可重新連線。
(四)設備維修
可攜式資訊設備故障需送外部維修時,單位資訊資產管理人員應確
保資訊設備內不含本局之敏感級或密級資訊,填具「資訊設備外送
維修登記表」(附表三)送交資訊單位人員處理送修事宜。
(五)控管機制
1.為有效預防可攜式資訊設備之不當使用,資訊單位不定期透過監
控系統產生報表,將各單位可攜式資訊設備使用情形以公文會簽
至各單位資訊資產管理人員。
2.各單位資訊資產管理人員依據「可攜式資訊設備借用登記表」進
行比對,將差異情形陳報各單位主管,由單位主管針對違規使用
可攜式儲存媒體人員進行後續處理,並將結果回報資訊單位。
五、附件
附件一:可攜式資訊設備使用登記表。
附件二:委外廠商使用可攜式資訊設備登記表。
附件三:資訊設備外送維修申請表。