中央研究院資訊機(jī)密維護(hù)作業(yè)要點(diǎn)

1、中央研究院資訊機(jī)密維護(hù)作業(yè)要點(diǎn) 民國(guó)98年10月28日資訊安全委員會(huì)審議通過(guò) 民國(guó)98年11月30日院長(zhǎng)核定規(guī) 定說(shuō) 明一、中央研究院(以下簡(jiǎn)稱本院)為確保各單位使用、保存與公務(wù)機(jī)密有關(guān)資料，防止機(jī)密資料遭洩露或破壞，特訂定本要點(diǎn)。強(qiáng)化本院各單位公務(wù)機(jī)密維護(hù)，防止機(jī)密資料遭洩露或破壞。二、本要點(diǎn)所稱資訊機(jī)密，係指使用資訊設(shè)備、保存與國(guó)家安全、公務(wù)機(jī)密有關(guān)之資，及處該資有關(guān)之文件與電子訊息。定義何謂資訊機(jī)密。三、本院之資訊機(jī)密維護(hù)，除依照國(guó)家機(jī)密保護(hù)法、機(jī)密檔案管理辦法等相關(guān)法令規(guī)定外，悉依本要點(diǎn)辦理。揭示本院之資訊機(jī)密維護(hù)，除依照國(guó)家機(jī)密保護(hù)法、機(jī)密檔案管理辦法等相關(guān)法令規(guī)定外，悉依本要點(diǎn)辦理

2、。四、本要點(diǎn)所稱之公務(wù)機(jī)密包括如下： (一)國(guó)家機(jī)密：由主管機(jī)關(guān)依國(guó)家機(jī)密保護(hù)法之規(guī)定核定為絕對(duì)機(jī)密、極機(jī)密、機(jī)密之資料者。 (二)一般公務(wù)機(jī)密：依政院文書(shū)處及檔案管手冊(cè)規(guī)定，以機(jī)密文書(shū)處理之機(jī)關(guān)內(nèi)部事務(wù)機(jī)密事項(xiàng)者。依國(guó)家機(jī)密保護(hù)法，機(jī)密等級(jí)區(qū)分為絕對(duì)機(jī)密、極機(jī)密、機(jī)密三種。而公務(wù)機(jī)密則包括國(guó)家機(jī)密及一般公務(wù)機(jī)密二種，前者係依國(guó)家機(jī)密保護(hù)法規(guī)定所核定之機(jī)密；後者則依政院文書(shū)處及檔案管手冊(cè)第48點(diǎn)規(guī)定，以機(jī)密文書(shū)處之機(jī)關(guān)內(nèi)部業(yè)務(wù)機(jī)密事項(xiàng)，包括：1.密碼（語(yǔ)）編撰及分析技術(shù)事項(xiàng)。2.檢舉或告密案件。3.人事動(dòng)及考核、考績(jī)、獎(jiǎng)懲等尚未公開(kāi)之文書(shū)。4.會(huì)議決定之機(jī)密事項(xiàng)。5.重要案件正在商討、調(diào)查或處

3、中之事項(xiàng)。6.預(yù)算及決標(biāo)前之底價(jià)等事項(xiàng)。7.涉及個(gè)人尊嚴(yán)或名譽(yù)，宜公開(kāi)事項(xiàng)。8.機(jī)關(guān)職員人事名冊(cè)。9.其他應(yīng)保密事項(xiàng)。其他應(yīng)行保密事項(xiàng)：如尚未發(fā)表的研究成果、收費(fèi)授權(quán)的技術(shù)資等。五、本院資訊機(jī)密維護(hù)由政風(fēng)室會(huì)同相關(guān)單位辦理。明訂本院資訊機(jī)密維護(hù)由政風(fēng)室會(huì)同相關(guān)單位辦理。六、各單位對(duì)於資訊機(jī)密應(yīng)採(cǎi)取相關(guān)維護(hù)措施，其單位主管或指定之負(fù)責(zé)人，應(yīng)於權(quán)責(zé)範(fàn)圍內(nèi)負(fù)監(jiān)督之責(zé)，並定期或不定期檢討資訊機(jī)密維護(hù)實(shí)施情形。明訂各單位對(duì)於資訊機(jī)密應(yīng)採(cǎi)取相關(guān)維護(hù)措施，其單位主管或指定之負(fù)責(zé)人，應(yīng)於權(quán)責(zé)範(fàn)圍內(nèi)負(fù)監(jiān)督之責(zé)，並定期或不定期檢討資訊機(jī)密維護(hù)實(shí)施情形。七、機(jī)密性資，非經(jīng)授權(quán)得存取。其他機(jī)關(guān)非經(jīng)法定程序要求本院提供

4、機(jī)密性資者，應(yīng)予拒絕。第一項(xiàng)的授權(quán)應(yīng)依據(jù)本院電子資安全管要點(diǎn)第五點(diǎn)第二項(xiàng)所稱的使用條件及存取權(quán)限辦。第二項(xiàng)的法定程序，如必須司法或檢警調(diào)機(jī)關(guān)方可文本院要求提供機(jī)密性資。八、各項(xiàng)資之輸出入，均應(yīng)建別碼、通碼等之管制，並應(yīng)視需要經(jīng)常新；機(jī)密性資之存取，應(yīng)採(cǎi)取較一般帳號(hào)密碼機(jī)制為嚴(yán)格之控制措施，並應(yīng)注意其相關(guān)安全事項(xiàng)。存有機(jī)密性資之個(gè)人電腦，應(yīng)設(shè)具相當(dāng)安全程之開(kāi)機(jī)或資料存取密碼。為落實(shí)公務(wù)機(jī)密，明訂各項(xiàng)資料之輸出入，均應(yīng)建立識(shí)別碼、通行碼等之管理制度。參照本院資訊系統(tǒng)存取控制管要點(diǎn)所有資訊系統(tǒng)必須以帳號(hào)、密碼控管之規(guī)定。第一項(xiàng)的嚴(yán)格措施，如長(zhǎng)且頻繁變的密碼、增加帳號(hào)和通行碼之外的其他識(shí)別碼、限制系統(tǒng)

5、存取處所、採(cǎi)用身分鑑別技術(shù)等。相關(guān)安全事項(xiàng)可參考個(gè)人資訊安全注意事項(xiàng)。第二項(xiàng)的安全密碼設(shè)計(jì)，可考資訊系統(tǒng)密碼設(shè)計(jì)原則。九、機(jī)密性資應(yīng)加密儲(chǔ)存。機(jī)密性資未經(jīng)加密，得經(jīng)由公眾網(wǎng)傳送或儲(chǔ)存於可攜式儲(chǔ)存媒體。第一項(xiàng)的加密儲(chǔ)存，意指資儲(chǔ)存前先加密，或儲(chǔ)存於具加密功能之儲(chǔ)存裝置。第二項(xiàng)的可攜式儲(chǔ)存媒體，包括抽取式硬碟、動(dòng)碟、隨身碟、磁片、磁帶、光碟等。十、電腦系統(tǒng)送修，應(yīng)先由使用人會(huì)同資訊相關(guān)人員拔除硬碟或抹除機(jī)密性資檔案；報(bào)廢時(shí)，應(yīng)抹除或銷毀儲(chǔ)存於硬碟之所有檔案?？蓴y式儲(chǔ)存媒體送修或報(bào)廢時(shí)亦同。抹除包括使用“Eraser這程式完整清除檔案、強(qiáng)磁場(chǎng)消磁等。銷毀包括打碎或焚燒等手段。十一、本院機(jī)密性資原則上應(yīng)委外處。如有特殊情形必須委外處者，需以專案提出，經(jīng)資訊安全委員會(huì)審查同意，並採(cǎi)取必要的監(jiān)督作為；但尚未發(fā)表之研究成果由研究計(jì)畫(huà)主持人決定是否須送資訊安全委員會(huì)評(píng)估其可行性與安全性。明訂本院機(jī)密性資原則上應(yīng)委外處。如有特殊情形必須委外處者，需以專案提出，經(jīng)資訊安全委員會(huì)審查同意，並採(cǎi)取必要的監(jiān)督作為；但尚未發(fā)表之研究成果由研究計(jì)畫(huà)主持人決定是否須送資訊安全委員會(huì)評(píng)估其可行性與安全性。十二、本院應(yīng)定期或不定期實(shí)施有關(guān)資訊