資通安全宣導事項
發佈日期 :
2023-12-25
- 不任意下載或安裝不明軟體、開啟不明網站或電子郵件,以免感染病毒、木馬、或惡意程式。
- 二維條碼(QR code)提供者若非可信任對象,請勿掃描,以免遭引導至釣魚網站詐騙個資、密碼、或感染病毒!
- 作業系統應經常更新,修補系統漏洞,避免被駭客惡意程式攻擊(例如:勒索病毒)。
- 一般使用者及主管,每年應接受3小時以上之資通安全通識教育訓練,以維持並強化個人資通安全知見。
- 個人電腦應安裝掃毒軟體,定期更新病毒碼,防堵病毒潛在感染管道,隨身碟或外接式硬碟等儲存設備,放入電腦讀取前應先進行掃毒再使用。
- 公務用之資通訊產品不得使用大陸廠牌、不得安裝非公務用軟體。
- 公務資料應定期備份,並有適當環境及實體保護,以在中毒或遭受攻擊時將損失風險降到最低。
- 不使用公務電子信箱帳號登記做為非公務網站的帳號,如社群網站、網路銀行、電商服務等。
- 應注意不使用即時通訊軟體傳送帳號、密碼、或公務敏感資料。
- 傳送公務資訊或個人資料等,應有適當保護,例如加密傳送。
- 公務使用之物聯網設備(如網路印表機、網路攝影機、門禁設備、環控系統、無線網路基地台、無線路由器等),帳號密碼必須妥善保存,並遵守機關規定,密碼設定應注重複雜度,有資安疑慮或異常時,除儘速更換密碼外,應即時通報資安窗口。
- 業務承辦人接獲指示交辦之郵件,應小心求證,確認為長官或業務相關對口之本意,方可配合辦理。
- 委外辦理資通系統時,應將資通系統依防護基準要求之安全需求,明定委外契約,並於上線前落實安全檢測。
- 資通系統存取控制,應採最小權限原則,非業務需要,不得提供授權。
- 公務資訊設備如未經授權,禁止攜離所屬區域,若需攜出,應遵守財管相關規定並填寫設備進出紀錄表。
- 非正式人員、約聘(僱)人員,因業務需要而接觸公務機密、個人權益及學校機敏資料者,須填寫保密切結書。
- 應遵守個人資料保護法及資通安全管理法之相關要求,尊重智慧財產權。
密碼設定原則參考:
- 密碼不能空白or沒有設定、不能與帳戶名稱完全相同、不能用預設密碼
- 密碼最小長度為8碼(重要設備建議12碼)。
- 密碼複雜度必須包含下列四種字元中的三種:
- 英文大寫字元(A到Z)
- 英文小寫字元(a到z)
- 10進位數字(0到9)
- 特殊符號(例如:!、$、#、%)
*介接公務環境之系統或設備參照行政院國家資通安全會報技術服務中心公布的政府組態基準(GCB)中密碼設定原則辦理。