行政院及所屬各機關資訊安全管理要點
|
壹、目 的
|
|
|
一、
|
行政院為推動各機關強化資訊安全管理,建立安全及可信賴之電子化政府,確保資料、系統、設備及網路安全,保障民眾權益,特訂定本要點。
|
|
貳、通 則
|
|
|
二、
|
本要點所稱各機關,指行政院所屬各部、會、行、處、局、署、院、台灣省政府、台灣省諮議會及其所屬機關(構)。
|
|
三、
|
各機關應依有關法令,考量施政目標,進行資訊安全風險評估,確定各項資訊作業安全需求水準,採行適當及充足之資訊安全措施,確保各機關資訊蒐集、處理、傳送、儲存及流通之安全。
|
|
四、
|
本要點所稱適當及充足之資訊安全措施,應綜合考量各項資訊資產之重要性及價值,以及因人為疏失、蓄意或自然災害等風險,致機關資訊資產遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務之程度,採行與資訊資產價值相稱及具成本效益之管理、作業及技術等安全措施。
|
|
五、
|
各機關應就下列事項,訂定資訊安全計畫實施,並定期評估實施成效:
|
|
(一)
|
資訊安全政策訂定。
|
|
(二)
|
資訊安全權責分工。
|
|
(三)
|
人員管理及資訊安全教育訓練。
|
|
(四)
|
電腦系統安全管理。
|
|
(五)
|
網路安全管理。
|
|
(六)
|
系統存取控制管理。
|
|
(七)
|
系統發展及維護安全管理。
|
|
(八)
|
資訊資產安全管理。
|
|
(九)
|
實體及環境安全管理。
|
|
(十)
|
業務永續運作計畫管理。
|
|
(十一)
|
其他資訊安全管理事項。
|
|
六、
|
本要點所稱資訊安全政策,指機關為達成資訊安全目標訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等。
|
|
參、資訊安全政策擬訂
|
|
|
七、
|
各機關應依實際業務需求,訂定機關資訊安全政策,並以書面、電子或其他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠商共同遵行。
|
|
八、
|
各機關訂定之資訊安全政策,應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
|
|
肆、組織及權責
|
|
|
九、
|
各機關應依下列分工原則,配賦有關單位及人員之權責:
|
|
(一)
|
資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資訊單位負責辦理。
|
|
(二)
|
資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務單位負責辦理。
|
|
(三)
|
資訊機密維護及稽核使用管理事項,由政風單位會同相關單位負責辦理。
|
|
|
各機關未設置資訊及政風單位者,由機關首長指定適當單位及人員負責辦理。
|
|
|
機關業務性質特殊者,得由機關首長調整第一項分工原則。
|
|
十、
|
各機關對所屬機關(構)資訊作業,應進行定期或不定期之資訊安全稽核。
|
|
|
各機關對所屬機關(構)進行外部稽核作業,由資訊單位會同政風單位或稽核單位辦理。
|
|
十一、
|
各機關應指定副首長或高層主管人員負責資訊安全管理事項之協調及推動。
|
|
|
各機關得視需要,成立跨部門之資訊安全推行小組,統籌資訊安全政策、計畫、資源調度等事項之協調研議。
|
|
|
前項資訊安全小組之幕僚作業,由資訊單位或首長指定之單位負責。
|
|
十二、
|
各機關應視資訊安全管理需要,指定適當人員負責辦理資訊安全相關事宜。
|
|
伍、人員管理及資訊安全教育訓練
|
|
|
十三、
|
各機關對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
|
|
十四、
|
各機關應針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升機關資訊安全水準。
|
|
十五、
|
各機關應加強資訊安全管理人力之培訓,提升資訊安全管理能力。
|
|
|
各機關資訊安全人力或經驗如有不足,得洽請學者專家或專業機關(構)提供顧問諮詢服務。
|
|
十六、
|
各機關負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。
|
|
十七、
|
各機關首長及各級業務主管人員,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。
|
|
陸、電腦系統安全管理
|
|
|
十八、
|
各機關辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
|
|
十九、
|
各機關對系統變更作業,應建立控管制度,並建立紀錄,以備查考。
|
|
二十、
|
各機關應依相關法規或契約規定,複製及使用軟體,並建立軟體使用管理制度。
|
|
二十一、
|
各機關應採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。
|
|
柒、網路安全管理
|
|
|
二十二、
|
各機關利用公眾網路傳送資訊或進行交易處理,應評估可能之安全風險,確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求,並針對資料傳輸、撥接線路、網路線路與設備、接外連接介面及路由器等事項,研擬妥適的安全控管措施。
|
|
二十三、
|
各機關開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
|
|
二十四、
|
各機關與外界網路連接之網點,應以防火牆及其他必要安全設施,控管外界與機關內部網路之資料傳輸與資源存取。
|
|
二十五、
|
各機關開放外界連線作業之資訊系統,必要時應以代理伺服器等方式提供外界存取資料,避免外界直接進入資訊系統或資料庫存取資料。
|
|
二十六、
|
各機關利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。
|
|
|
機關網站存有個人資料及檔案者,應加強安全保護措施,防止個人隱私資料遭不當或不法之竊取使用。
|
|
二十七、
|
各機關應訂定電子郵件使用規定,機密性資料及文件,不得以電子郵件或其他電子方式傳送。
|
|
|
機密性資料以外之敏感性資料及文件,如有電子傳送之需要,各機關應視需要以適當的加密或電子簽章等安全技術處理。
|
|
|
機關業務性質特殊,須利用電子郵件或其他電子方式傳送機密性資料及文件者,得採用權責主管機關認可之加密或電子簽章等安全技術處理。
|
|
二十八、
|
各機關採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府資訊安全規範,研提資訊安全需求,並列入採購規格。
|
|
|
各機關發展及應用加密技術,應採用權責主管機關認可之密碼模組產品。
|
|
|
各機關採購外國產製之密碼模組產品,應請廠商提出輸出許可或相關授權文件,確保密碼模組之安全性,並避免採購金鑰代管或金鑰回復功能之產品。
|
|
捌、系統存取控制
|
|
|
二十九、
|
各機關應訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
|
|
三十、
|
各機關應依資訊安全政策,賦予各級人員必要的系統存取權限;機關員工之系統存取權限,應以執行法定任務所必要者為限。對被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員,應經審慎之授權評估。
|
|
三十一、
|
各機關離(休)職人員,應立即取消使用機關內各項資訊資源之所有權限,並列入機關人員離(休)職之必要手續。
|
|
|
機關人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
|
|
三十二、
|
各機關應建立系統使用者註冊管理制度,加強使用者通行密碼管理,並要求使用者定期更新;使用者通行密碼之更新周期,由機關視作業系統及安全管理需求決定,最長以不超過六月個為原則。
|
|
|
對機關內外擁有系統存取特別權限之人員,應建立使用人員名冊,加強安全控管,並縮短密碼更新周期。
|
|
三十三、
|
各機關開放外界連線作業,應事前簽訂契約或協定,明定其應遵守之資訊安全規定、標準、程序及應負之責任。
|
|
三十四、
|
各機關對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。
|
|
三十五、
|
各機關之重要資料委外建檔,不論在機關內外執行,均應採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。
|
|
三十六、
|
各機關應確立系統稽核項目,建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業;系統中之稽核紀錄檔案,應禁止任意刪除及修改。
|
|
三十七、
|
各機關自行開發或委外發展系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
|
|
玖、系統發展及維護安全管理
|
|
|
三十八、
|
各機關對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。
|
|
|
各機關基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。
|
|
三十九、
|
各機關委託廠商建置及維護重要之軟硬體設施,應在機關相關人員監督及陪同下始得為之。
|
|
拾、業務永續運作之規劃
|
|
|
四十、
|
各機關應訂定業務永續運作計畫,評估各種人為及天然災害對機關正常業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。
|
|
四十一、
|
各機關應建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依規定之處理程序,立即向權責主管單位或人員通報,採取反應措施,並聯繫檢警調單位協助偵查。
|
|
四十二、
|
各機關應依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資訊安全措施。
|
|
拾壹、其 他
|
|
|
四十三、
|
各機關應就設備安置、周邊環境及人員進出管制等,訂定妥善之實體及環境安全管理措施。
|
|
拾貳、附 則
|
|
|
四十四、
|
機關業務性質特殊者,得參照本要點另定有關規定。
|
|
四十五、
|
直轄市或縣(市)政府未訂定資訊安全管理規定者,得準用本要點。
|
基因轉殖植物遺傳特性調查及生物安全評估原則 壹、前言 行政院農業委員會依據植物品種及種苗法第五十二條第三項規定授權訂定發布之基因轉殖植物田間試驗管理辦法(以下簡稱本辦法),係自九十四年六月三十日起施行。依據本辦法第十八條,基因轉殖植物之田間試驗應分兩階段進行:第一階段為遺傳特性調查,遺傳特性調查之申請,應於完成實驗室試驗後或自國外引進前為之;第二階段為生物安全評估,原則上應於遺傳特性調查完成,並經審議通過後始得申請。 上開遺傳特性調查項目及生物安全評估項目,已分別明定於本辦法第二十二條及第二十五條。惟因基因轉殖植物之特性甚為多樣化,其表現常因植物種類不同而有所差異,為符實際,得依基因轉殖植物種類及外源基因之特性,視個案決定所需調查及評估之項目。如相關調查評估項目業經申請人提供足資信賴之科學證據時,亦得省略該部分試驗。為使各界明瞭上述基因轉殖植物田間試驗兩階段應行調查及評估之內容,爰訂定本「基因轉殖植物遺傳特性調查及生物安全評估原則」。 貳、遺傳特性調查 植物之繁殖特性(有性或無性繁殖)、授粉方式(自交或異交作物)、花粉傳播途徑(蟲媒或風媒)等特性甚為多樣化;外源基因之特性與花粉稔性、交配親合性、種子之活力、萌芽率、壽命等,因植物種類不同而有所差異,且基因產物可能存在之毒性亦因而有所不同。因此,基因轉殖植物遺傳特性之調查,實有其必要。 一、基因轉殖植物之繁殖特性及一般性狀表現 (一) 繁殖特性:依植物學之繁殖特性區分如下: 1、有性繁殖植物:調查項目包括基因轉殖植物之開花期、花朵數目、花粉量、 花粉萌芽力、花粉壽命、種子數目、種子成熟期、種子壽命、種子休眠性與 種子萌芽力等特性;調查重點在於繁殖特性是否因轉殖基因之過程或所轉殖 之基因而改變其在自然狀態下之繁殖與生存能力。 2、無性繁殖植物:基因轉殖後改變其繁殖特性者,依有性繁殖植物之調查項目 及重點調查;如基因轉殖後未改變其繁殖方式者,本項調查得予省略。 (二) 一般特性 調查項目包括基因轉殖植物之株高、鮮重、乾重、葉數、產量等一般農園藝性狀。調查重點在於基因轉殖植物之性狀是否有所改變。 二、基因轉殖植物與近緣植物、野生種或同種雜交之可能性 近緣植物、野生種係指作物種原利用所稱「初級基因庫」之植物,其界定範圍為與基因轉殖植物同屬之近緣植物、野生種。同種係指與基因轉殖植物同種之植物。雜交之定義係指作物於正常生育條件下所發生之「天然雜交」。 基因轉殖植物與近緣植物、野生種雜交可能性之調查,須先蒐集相關資料,說明基因轉殖植物之近緣植物、野生種存在狀況及其繁殖方式,包括花器構造、開花期間、授粉方式等之異同。若可證實無雜交之可能,則不需進行調查;若無法證實無雜交之可能,則需在適當的隔離設施內進行雜交可能性之調查。調查原則如下: (一) 在試驗期程上至少需有兩個期作之重複試驗,其中一個期作需有一個適合 開花、授粉及產生雜交種子之條件。若有必要,可進行人工或輔助授粉。 (二) 雜交可能性之調查方法,應選取適量之近緣植物、野生種進行雜交試驗, 收穫之種子得調查後裔種子外觀性狀、外源基因或其產物。 三、外源基因在基因轉殖植株之表現部位及其穩定性 (一) 外源基因的特性:提供外源基因之構築、基因套數及已達同質結合品系之 證明,如為無性繁殖植物則無需提供同質結合品系證明。 (二) 外源基因的表現:調查外源基因之表現部位及表現時期。 (三) 外源基因的穩定性:基因轉殖品系繁殖二至三代後,調查外源基因之穩定 性及其性狀表現。 四、外源基因在基因轉殖植株之基因產物毒性分析 (一) 外源基因產物與已知毒性、抗抗生素或過敏原物質DNA序列,及其相對 應胺基酸序列之比對分析。 (二) 外源基因產物的含量分析。 (三) 外源基因產物消化水解特性分析。 五、其他必要項目 依個案而定。 參、生物安全評估 基因轉殖植物對環境安全之影響,因轉殖之外源基因的種類和受體植物之遺傳特性而有所差異,故而應就基因轉殖植物之雜草化、基因之流佈及對目標及非目標生物之毒性及影響等加以評估及探討。 一、基因轉殖植物演變成雜草之可能性及其影響 在不同環境下,比較基因轉殖植物與原受體植物之生長及繁殖能力之差異。由實際測試及文獻取得相關資料,進行下列之雜草化潛力評估。 (一) 環境適應性評估:主要評估項目包括株高、葉數、乾重、種子數目、種子 休眠力、花粉量及開花期等特性。 (二) 競爭及野化能力評估:主要評估項目包括種子數目、種子萌芽力、生長速 率、乾重、花粉量等特性。 (三) 植株及繁殖體長存性評估:主要評估項目包括種子數目、種子壽命、種子 休眠性、營養生長期、開花期、老化期及越冬性等特性。 二、基因轉殖植物對目標生物可能之直接或間接影響 (一) 除不具抗蟲基因之轉殖植物免進行本試驗外,基因轉殖植物與目標害蟲之 關係及影響之評估項目如下: 1、基因轉殖植物對目標害蟲之危害測定。 2、目標害蟲抗性調查。 3、目標害蟲族群變動調查。 4、對目標害蟲之天敵的生物及生態影響測試。 (二) 除不具抗病基因之轉殖植物免進行本試驗外,基因轉殖植物與病害之關係 及影響之評估項目如下: 1、病害:病害發生種類、傳播、發病生態、發病時期、基因轉殖植物與受體植 物之罹病率比較及新病害發生觀察。 2、病原性:抗病性基因轉殖植物或其罹病率高於受體植物時,其病原性強弱比 較及引發強病原性菌株之可能性評估。 3、抗病性:抗病基因轉殖植物,其抗病性之表現及抗病性之穩定性。 4、抗藥性:田間管理達需藥劑防治狀態下,其藥效(防治率)比較及有效防治 藥劑比較。 三、基因轉殖植物對非目標生物可能之直接或間接影響 (一) 基因轉殖植物與非目標昆蟲之關係及影響之評估項目如下: 1、害蟲與天敵種類及其族群變動調查。 2、對土壤昆蟲或類之影響評估。 3、授粉昆蟲:基因轉殖植物對授粉昆蟲可能之毒害、田間訪花昆蟲種類調查 及訪花行為觀察。 4、保育昆蟲:依基因轉殖植物與政府法定保育類昆蟲之寄主植物的類緣關係 及分布棲地等,決定是否進行室內試驗或提出文獻說明以審查其風險。 (二) 基因轉殖植物與非目標病害之關係及影響之評估項目如下: 1、病害:病害發生種類、傳播、發病生態、發病時期、基因轉殖植物與受體 植物之罹病率比較及新病害發生觀察。 2、病原性:抗病性基因轉殖植物或其罹病率高於受體植物時,其病原性強弱 比較及引發強病原性菌株之可能性評估。 (三) 基因轉殖植物對土壤微生物相之影響,為調查土壤微生物族群結構的變 異,評估項目如下: 1、總細菌數、總真菌數之調查。 2、土壤細菌群落之調查:萃取土壤微生物DNA,進行聚合聯鎖反應,與變 性梯度凝膠電泳分析。 3、指標性微生物族群數之調查:含尿素氧化菌、游離性固氮菌、溶磷菌、蛋白 分解菌、纖維素分解真菌、土壤病原菌(真菌、細菌與放線菌)。 (四) 基因轉殖植物對動物之影響,經調查基因轉殖植物成份中含殺蟲、抗抗生 素蛋白質或過敏性物質,且具野生動物可食用部份者,其評估項目如下: 1、動物過敏性試驗或抗抗生素蛋白質對胃腸內菌相改變之試驗。 2、動物口服急毒性試驗。 3、鳥禽類二十八天餵食亞急毒性試驗(當上述2、之資料無法確認其安全性時 始需進行)。 4、鳥禽類生殖毒性試驗(當上述3、之資料無法確認其安全性時始需進行)。 5、其他必要之試驗。 四、基因轉殖植物所含外源基因流入其他動植物、病原生物之可能性及其影響 (一) 外源基因在土壤微生物間之水平移轉,其評估項目如下: 1、外源基因在土壤微生物間水平移轉頻率。 2、土壤中特定微生物含外源基因之比例。 (二) 外源基因流入其他生物之風險評估係依個案而定。 五、基因轉殖植物發生基因外流時,對國內生態環境及原生種可能之影響係依個案而定。 六、其他必要之評估事項係依個案而定
經濟部中小企業處社會創新標章授權要點 專利法施行細則