您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容
:::
回首頁
網站導覽
意見信箱
開放資料
中央銀行法令規章查詢系統
小
中
大
English
.
English
回首頁
網站導覽
意見信箱
開放資料
最新消息
法規查詢
行政令函查詢
訴願決定書查詢
法規草案預告
相關網站
開放資料
分享到facebook
分享到twitter
分享到Plurk
分享到line
以e-mail分享
中央銀行法令規章查詢系統-編章節
:::
首頁
法規內容
編章節
編章節
名稱:
中央銀行資訊業務處理規範
非現行法規
訂定時間:
中華民國77年7月7日
修正時間:
中華民國九十五年一月十七日
所有條文
編章節
條文檢索
條號查詢
歷史沿革
規範基礎
授權規定
相關規定
相關令函
所有條文
編章節
條文檢索
條號查詢
歷史沿革
規範基礎
授權規定
相關規定
相關令函
(一) 系統分析人員:指負責應用系統分析、設計及維護之人員。
壹 資訊安全組織
一 本行資通安全工作由督導資訊業務之副總裁主持。
一 小組召集人會同有關人員確認是否發生安全事件,若否,記錄結案。
一 重要資訊資產,含資料、硬體、軟體、網路等,應指定專人管理。
一 存放重要資料之電腦主機應配置於具門禁管制之機房,除各電腦主機管理人員、機房操作人員及其直屬長官,其他人員若需進入機房,應先經核准,並填寫機房進出人員登記簿;非經授權不得攜出資料。
一 資訊系統中之資料應在系統規劃時由該資料主管單位訂定機密等級,並依據所訂定之機密等級建置適當之存取控管措施;系統中資料非經該資料主管單位書面同意,不得對外發佈或提供。
一 新開發或經重大修正之軟體,於正式使用前,應檢討其安全措施是否符合需求。
一 經行外線路傳輸之重要資料均應保護。
一 每一資訊設備均應指定專人管理;獲指派人員應妥慎辦理管理工作。
壹 系統開發之推動
一 應用系統之開發,皆應研擬開發計畫或工作大綱,陳奉 核准後據以推動。
一 實施現況調查前,應先請業務單位填製「業務電腦化功能及管理需求表」(附件二),憑以進行現況調查。對具有重大安全需求之系統,得邀請行外專家共同參與討論。
一 程式製作應依「程式說明書」(附件四)撰寫程式。
壹 應用系統之維護
一 業務單位對使用中之應用系統,認有變更其功能之需要時,應填具「系統修改申請書」(附件十四),送系統分析人員,憑以辦理功能變更維護。
一 廠商提供之各項系統程式,應指派系統工程人員負責其作業效能維護。
一 本行與其他行政機關資訊需定期交流時,應共同訂定資訊交流計畫實施要點,作為交流作業之依據。
壹 連線作業系統推展實施前,系統分析人員應先依作業需求,研擬需連接主機之個人電腦數量及位置,陳主管核可後,送資訊室系統科及管理科憑以實施。
一 電纜線路或電信線路之規劃申請
一 系統轉換作業環境之建立
一 本行資訊作業有關媒體之收授,應建立提送管理程序,以防止媒體之遺失並提高媒體之傳遞時效。
一 將連線機構在訊框傳送網路上之邏輯通信埠編號建入本行通信前置處理機之通信環境設定表,並將連線機構經准許使用之應用作業項目建入通信前置處理機之應用作業環境設定表。
一 主機連線個人電腦硬體設備之配置管理
一 各單位因業務需要須增購電腦設備時,應說明業務需求及作業處理量等資料,洽會資訊室評估後,依規定程序辦理。
一 屬操作不當之故障或疑難,可即時解答者,逕行電告處理後結案。
一 制式用紙之送印、入庫、列管。
二 制式用紙修改、變更、標準化之管制。
二 系統故障或疑難,無法立即處理者,應併原填製之紀錄,送有關維護人員處理。
二 個人電腦建置或功能提昇時,應於本行財產管理系統辦理異動登記。
二 主機連線個人電腦操作之開機/關機管理
二 將連線機構代號建入本行電腦通信服務系統安控子系統之環境設定表。
二 媒體提送應填製「磁性資料送件單」(附件廿六),檢附媒體一併送交。
二 轉換輔導人員之指派
二 電源設備之規劃申請
貳 資訊室系統科應依主機終端網路架構,辦理電信線路申請、規劃連線作業環境之建立及網路作業環境之變更,並由資訊室管理科申辦個人電腦購置事宜。
二 本行可公開之資料可由連接行外網路之應用系統如本行之全球資訊網、電話傳真系統等發佈,其使用應依下列原則辦理: (一)透過網路對外發佈有關本行之訊息,均應先經核准。 (二)若所連接之行外網路具資料安全顧慮,則相關設備上不得存放本行重要資料或與運跑本行重要資料之網路相連。
二 系統環境維護,應依下列原則辦理: (一)應配合應用系統之開發及修改,建立有效之系統測試環境(TESTENVIRONMENT)。 (二)應配合應用系統之使用,建立有效之正式作業環境(PRODUCTIONENVIRONMENT)。 (三)為提高正式作業環境上應用系統之可靠度,應建立有效之備援作業環境(BACKUP ENVIRONMENT),並定期演練。 (四)應定期研析使用中系統測試環境及正式作業環境之效能。 (五)系統環境倘需調整(TUNING)時,應研擬方案,陳主管核可後辦理。 (六)系統工程人員得採用廠商提供之軟體工具,依其指定之程序,定期實施系統之檢驗維護作業。 (七)系統之檢驗維護作業,應填製「系統檢驗維護/軟體備援保存作業紀錄」(附件十七),陳主管核閱後,由系統工程人員歸檔。
貳 資通安全事件處理本行資訊系統管理者、維護者、使用者及其他有關人員發現本行資訊業務可能發生安全事件時,應即知會所屬單位之資通安全聯絡人員,以及通報本行「資通安全處理小組」。 資通安全事件依下列程序儘速處理:
貳 系統環境之維護
二 依「系統修改申請書」(附件十四)受理之功能變更維護,應依下列步驟辦理: (一)「系統修改申請書」應先登記(控制表如附件廿七)並予編號,俾利追蹤辦理情形。 (二)系統分析人員,就申請變更之內容,進行可行性分析。 (三)經分析,技術上有困難時,應陳主管核可後,洽知申請單位另擬對策。 (四)經分析,技術上可行時,應擬具配合方案,方案內容應包含相關備援程序如重載/復原(RELOAD/RECOVERY )程序之修改,並與申請單位研議預定完工日後,陳主管核可後,辦理系統修改。 (五)定期檢視逾期未完成之「系統修改申請書」,以瞭解延遲之原因並謀求改進方法。
二 程式製作階段,遇有程式功能、檔案內容、表單格式等…詳細設計之內容變更時,應填製「資訊業務備忘錄」(附件一),送有關工作人員週知。
二 現況調查應包含下列工作項目: (一)業務項目調查 (二)作業程序調查 (三)業務量調查 (四)輸出/輸入憑證、表單調查 (五)電腦化功能需求調查
二 應用系統開發計畫經核定後,應依計畫編組「專案計畫工作小組」(以下簡稱專案小組)負責計畫之執行,小組成員應包含使用人員、稽核人員及系統開發人員。
二 正式作業環境之管理,應注意分散權責,實施人員輪調,並建立人力備援制度。
二 個人電腦與網際網路之連結,原則上應透過本行連外區域網路(CBCLAN)辦理,若因業務需要,須建立個別之連線,應經書面申請核准,此個人電腦不得同時連接本行內部各計算環境,且不得存放重要資料。
二 委外開發之軟體於委外開發前,應檢討其安全規劃是否符合需求,有關之安全事項應明訂於於合約中。
二 資訊系統開始正式使用前,或系統發生異狀,經緊急維修重新啟用前,資料主管單位應核對重要資料之正確性。
二 機房之規劃要注意安全。
二 重要資訊資產應建立清冊,注意更新。
二 若是,則研判該事件對本行的影響,向督導之副總裁報告。
二 本行資通安全處理小組,由資訊室主任為召集人,資訊室副主任、各科科長、及政風室代表一人為組員,辦理本行資通安全事件處理工作。
(二) 系統工程人員:指負責主機及網路系統工程工作之人員。
(三) 資料管制人員:指負責正式作業應用程式及資料檔案管理之人員。
三 本行各一級單位應指派資通安全聯絡人員;該人員異動時應知會資通安全處理小組。
三 依行政院資通安全會報規定通報。
三 資料應區分機密等級,如機密、敏感、一般等。
三 用以辦理業務之正式作業環境應與開發環境有效隔離。
三 緊急維修應用系統時,若需以系統工具更改資料,應由資料管制人員協同應用系統維護人員辦理。
三 軟體維護人員不得兼辦正式作業環境之管理;軟體之原始碼由軟體維護人員負責保管,對於本行擁有著作權之系統,並應定期或於系統修正時,另留存乙份正式作業軟體之原始碼交該軟體主管科長或其指定人員保管,供必要時確認及核對之用;編譯碼由正式作業環境管理人員負責保管;並應注意異地備份存放。
三 不得用電子郵件傳送機密或敏感性資料。但法令另有規定者,依其規定。
三 對憑以使用資訊系統之通行碼應妥慎保管,勿洩漏他人。
三 「專案小組」應指定計畫主持人一人,負責該計畫之規劃、推展、進度管制及事務協調等事宜。
三 調查工作之實施,除應確實瞭解業務之現況外,應與業務單位充分溝通,並依據業務單位對電腦化之需求作為電腦化規劃之依據。
三 程式製作階段,應包含各程式之單體測試(UNITTEST),程式員應依程式之功能要求,自行建立測試資料,實施程式之單體測試。
三 作業中之應用系統發生異狀或故障時,應依下列原則辦理: (一)填具「作業環境異常狀況紀錄表」(附件十五),憑以辦理異狀處理維護。 (二)正式作業中之應用系統,發生異狀或故障時,該系統分析人員應即研判狀況,分析原因。 (三)異狀原因經查明後,系統分析人員得先以口頭向主管提出報告後,立即進行異狀排除處理。若研判無法於短時間內排除,應陳報主管,會同使用單位共同考量啟用人工備援程序,以確保業務不致中斷。 (四)異狀排除後,仍應研擬系統改進方案,陳主管核可後,辦理系統修改。 (五)程式修改,應由系統分析人員填製「程式修改通知單」(附件十六),核交有關程式員辦理。
參 資訊資產分類及管制
三 系統異狀維護,應依下列原則辦理: (一)系統工程人員除依系統異狀,採行異狀排除措施外,必要時應立即電洽維護廠商系統支援部門,派員協助解決。 (二)異狀之處理,必要時可請維護廠商派遣硬體及軟體工程師,共同會診。 (三)異狀處理之結果,應填報於「作業環境異常狀況紀錄」(附件十五),陳主管核閱後,存檔備查。 (四)系統工程人員應依「作業環境異常狀況紀錄」(附件十五),定期彙整分析各類異狀發生原因、類別、次數等資料,陳主管核閱後,請維護廠商參考改進。
三 未與本行訂定資訊交流計畫之行外機構需本行透過電腦連線或電腦媒體方式提供資訊時,應先經本行主管該資料之單位同意,並簽報核准後辦理。 第五章電腦機房與設備管理 壹電腦機房管理 一本行台北主中心電腦機房應設置「台北機房電腦操作日誌」(附件二十),記錄開機/關機及當日操作情形,桃園備援中心電腦機房應設置「桃園機房輪值人員工作紀錄表」(附件廿一),記錄每週開機/關機及當週工作事項,「台北機房電腦操作日誌」、「輪值人員工作紀錄表」應陳主管核閱後,歸檔存查。 二正式作業環境操作遇有異狀,應即通知維護人員處理,並應填製「作業環境異常狀況紀錄表」(附件十五),送資訊室系統科列管追蹤,使用備援環境時應比照正式作業環境辦理有關事項。 三正式作業環境操作,應依下列原則管制: (一)定期之例行性作業,應於系統開發完成,正式作業前,製作操作日誌、手冊,陳主管核可後,送資訊室系統科開始作業。 (二)不定時之作業,應逐次填製「資料處理申請書」(附件廿二),陳主管核可後,送資訊室資料科登記(管制表如附件廿八)後送系統科處理。 (三)電腦機房應設門禁管制,未持有通行卡之人員非經許可不得擅入,若有需要則應填寫「機房/磁帶室進出人員登記簿」(附件廿三)。 (四)「機房/磁帶室進出人員登記簿」(附件廿三)應由系統工程人員彙整每月呈閱。 (五)機房內主機之操作應由操作人員執行,其他人員若須操作主機有關設備,應先陳報。
參 連線相關設備故障時,應即通知維護人員處理,並將故障處理情形,填註於「作業環境異常狀況紀錄」(附件十五)。
三 作業場地之規劃建議
三 轉換工作之輔導協助
參 資料媒體之提送
三 連線機構之加密解密器應在本行加密解密器管理系統中定義。 以上設定工作及新申請機構之連線測試工作均應經核定程序審慎辦理,此程序由資訊室訂定。
三 主機連線個人電腦電源設備之安全管理
三 個人電腦如發生故障或異狀,應逕行判斷如屬硬體或個人電腦系統軟體之異狀應通知維護廠商,如屬其他異狀,則應通知資訊室系統工程人員,並提供必要之異狀資料,填製「作業環境異常狀況紀錄」(附件十五)。於故障排除後,記錄故障原因及處理情形,留存備查。各個人電腦應設置「個人電腦維護卡」(附件卅),由維護廠商記錄各個人電腦之維護情形。
三 未結案之「作業環境異常狀況紀錄」(附件十五),應定期將處理進度陳報主管。
三 依本規範稽核管制各文件之製作及保存。 伍資訊業務有關文件製作之時點、方法、內容重點及陳核歸檔程序等事宜,均應依本規範有關規定辦理。 陸依本規範規定,應歸檔保存之各類文件,均應依下列原則編號保存: 一應用系統開發有關文件(參照本章貳、一各項),應依下列原則編號: (一)編號以不超過七位為原則。 (二)各程式文件,應以程式編號( PROGRAM ID)為文件之編號。 (三)各檔案文件,應以檔案編號(FILE ID)為文件之編號。 (四)其他文件編號,首位為科別代碼,次位為類別代碼,再次二位為年度編號,末三位為文件序號。 (五)系統開發結案時,應彙整各系統有關文件,填製「系統文件清單」(附件卅二)。 二資料管理有關文件(參照本章貳、二各項),應依年度別編號: (一)編號以不超過七位為原則。 (二)首三位為年度編號,末四位為文件序號。 三操作有關文件(參照本章貳、三各項),應依年度別編號: (一)編號以不超過七位為原則。 (二)首位為科別代碼,次二位為年度編號,末四位為文件序號。
四 其他訓練及庶務有關文件(參照本章貳、四各項),應依年度別編號: (一)編號以不超過七位為原則。 (二)首位為科別代碼,次二位為年度編號,末四位為文件序號。 柒資訊室管理科應負責稽核、管制各文件彙整歸檔事宜。 附件相關附件包含資訊業務有關規定、正式作業環境管理程序及常用表格,後兩者於業務運作需要時可作必要修正,並於本規範修訂時檢陳。 附件目錄附件壹:列管程式正式作業程序附件貳:列管資料檔案處理程序附件一:資訊業務備忘錄附件二:業務電腦化功能需求調查表附件三:現況調查紀錄附件四:程式說明書附件五:檔案說明書附件六:程式編寫工作分派表附件七:檔案一覽表附件八:報表帳冊一覽表附件九:系統測試紀錄附件十:程式正式作業申請書附件十一:檔案正式作業申請書附件十二:主機連線環境正式作業申請書附件十三: 正式作業系統通知單附件十四:系統修改申請書附件十五:作業環境異常狀況紀錄表附件十六:程式修改通知單附件十七:系統檢驗維護/軟體備援保存作業記錄附件十八:異常資料更正申請書附件十九: 應用系統正式作業磁帶申請書附件二十:台北機房電腦操作日誌附件廿一:桃園機房輪值人員工作紀錄表附件廿二:資料處理申請書
四 結案之「作業環境異常狀況紀錄」(附件十五),應陳主管核可後,歸檔存查。
四 各單位應指派專人管理各個人電腦相關軟硬體設備及文件、負責資料安全,並注意以下各點: (一)硬碟使用之規劃及作業系統、公用程式與套裝軟體之建立與管理;必要時可向資訊室申請支援。 (二)應使用有版權之軟體,並依規定程序安裝,不得使用不合法之軟體;且已安裝之軟體不得任意再安裝至其他機器上。若要換機安裝,應將原先安裝之軟體清除,再安裝至其他機器上,並應於本行財產管理系統辦理異動登記。 (三)對資料應區分機密等級,機密性資料應由專人保管,非經授權不得使用。 (四)對重要資料應定時備份至輔助儲存體。 (五)應依節省儲存空間之原則,定時清理磁碟檔案。 (六)對執行業務具重要性之.COM及.EXE檔案應設定為唯讀。 (七)為防範電腦病毒,各電腦應裝設防毒及偵毒軟體。 (八)個人電腦及其週邊設備旁應避免擺置飲料、花瓶、食物、溶劑等容易污損機器之物品。
四 主機連線個人電腦通行碼之使用管理
肆 電腦資訊交流作業
四 雙軌作業之輔導協助
四 各類電腦作業用品之申請備用
肆 連線作業系統之實施,資訊室應於實施前、轉換期及實施後,應使用單位要求,提供完善之支援服務。
四 輪值之操作人員,應負責當日電腦機房之管理,辦理下列事項: (一)主機之操作及「台北機房電腦操作日誌」(附件二十)之填製。 (二)操作使用媒體之領用登記及歸位。 (三)機房出入之管制。 (四)機房整潔之保持、管理。 (五)電腦主機有關設備之清潔保養。 (六)電腦主機有關設備維護之協辦。 (七)電腦主機各項附屬設備之起動及關閉。
四 重要系統環境之維護,得依需要召集業務檢討會,提出工作報告,並做成會議紀錄。 第四章程式與資料檔案管理 壹程式管理 一程式管理,包含下列項目之建檔、變更、清除及保存: (一)租用或購用之各類系統程式 (二)本行自行維護之正式作業應用程式 (三)本行開發中之各類應用程式 二程式之增置及建檔應依下列原則辦理: (一)系統程式,於電腦廠商完成系統建立( SYSTEMGENERATION)後,由系統工程人員驗收,並列印或請廠商提供軟體清單,為軟體增加登記。如需異動,應先陳報核可後建置,完成時再列印或請廠商提供軟體清單。 (二)正式作業之應用程式,程式目的碼(OBJECTCODE)於開發完成後,併同填具之「程式正式作業申請書」(附件十)交資料管制人員,建置正式作業環境(PRODUCTION ENVIRONMENT );程式原始碼(SOURCE CODE)由系統分析人員集中列管,另留存乙份正式作業軟體原始碼交該軟體主管科長或其指定人員保管;並應注意異地備份存放。 (三)開發中之應用程式,應由程式設計人員建檔於自有之程式館(LIBRARY)內,自行列管。 三程式之變更,應依下列原則辦理: (一)系統程式之變更,應由維護廠商具文說明變更原因,經系統工程人員研擬配合方案,陳主管核可後辦理。 (二)本行開發之程式變更,應依本規範第三章規定辦理。 四程式之作廢清除應依下列原則辦理: (一)如遇屆期停租或版本換新,須廢止清除系統程式時,應由廠商具文說明,經系統工程人員研擬配合方案,陳主管核可後辦理。 (二)各系統分析人員,應依節省儲存媒體之原則,確實檢討現有應用程式之內容,有無已作廢可予清除之應用程式。將已作廢程式之名稱(或 PROGRAMID) 表列於「程式正式作業申請書」(附件十),陳主管核可後,送資料管制人員清除之。 (三)應用程式經清除後,應於「程式正式作業申請書」註明作廢日期,並歸檔存查。 (四)測試中之應用程式,應由各程式員自行負責作廢程式之清除,以減少儲存媒體之浪費。 (五)各科辦理軟體減損之登記後,其處理方式有依約辦理或轉贈或銷毀。
肆 硬體安全政策
四 經核可實施之系統維護工作,應由該系統分析人員,負責維護工作之規劃、協調及管制。
四 製作完成之程式,應檢具單體測試結果,送系統分析人員驗收存查。 柒系統測試 一重要系統測試前,應先擬訂測試計畫,經專案小組同意後,實施之。 二測試計畫,至少應包含下列各項: (一)測試項目 (二)資料來源 (三)工作分派 (四)測試進度 三連線作業程式,應依連線作業項目,逐項測試之。 四整批作業程式,應依批次作業執行程序( PROCEDURE)測試之。
四 現況調查完成後,應編製「現況調查紀錄」(附件三),或訪談紀錄,並送業務單位確認。 參系統分析 一系統分析應以「現況調查紀錄」(附件三)或訪談紀錄為依據,實施之。 二系統分析應完成下列分析工作: (一)現行系統之問題 (二)可實施電腦化之項目及內容 (三)系統電腦化之資料流程圖 (四)系統電腦化中各作業項目之處理型態 (五)系統電腦化之硬體、軟體、安全及備援需求(六)系統電腦化之成本效益 (七)系統電腦化規劃與業務單位需求之配合 三系統分析之過程應與業務單位充分溝通。 肆概要設計 一概要設計應以系統分析結果為依據,實施之。 二概要設計應完成下列設計工作: (一)電腦作業之系統範圍 (二)電腦作業之系統架構及程式模組功能 (三)電腦作業之檔案架構及資料內容 (四)電腦作業之安全控制及帳務稽核 (五)電腦作業之備援措施 三設計使用者擷取控管機制應注意下列幾點: (一)通行碼設定及更改機制應完整週延。 (二)使用者通行碼應以加密方式儲存於資料庫中,此加密方式不得洩露給指定人員以外之人員。 (三)初次使用之通行碼,應強迫使用者更改。新通行碼長度原則上應至少八個字元,並應包含英文字母及數字。 (四)通行碼有效期限原則上不超過6 個月。若一通行碼使用超過期限,系統應於使用者再次登入時要求變更通行碼,而變更後之新通行碼不可與前 2次之舊通行碼相同。 (五)使用者通行碼超過規定之期限未使用,該使用者識別碼應予鎖死,不允許登入系統。 (六)使用者登入時,應即顯示該使用者上次登入的日期、時間及狀態。 (七)通行碼錯誤累計次數超過限制次數,該通行碼應即註銷或鎖死,不再允許登入系統。 (八)使用者通行碼之異動應予記錄。 四對「主管授權」及「錯誤沖正」交易,應每日提供主管授權及錯誤沖正交易清單。
四 計畫實施中,應定期舉辦系統檢討會,向主管提出工作報告,並應做成會議紀錄,或填製「資訊業務備忘錄」(附件一),於呈核後歸檔存查。
四 識別碼管理者應注意每一識別碼乃核發給獲授權之人員,經常注意有無重複或閒置情形。
四 機密公文應在獨立之個人電腦上作業,並採取保密措施,亦不得於網路上儲存或傳輸。
四 機密資料儲存時應採取加密或設定密碼等保護措施。 機密資料之擷取應在系統中留存紀錄。
四 機房應指派專人管理。
四 儲存重要資料之網路伺服機應設定識別碼及通行碼,個人電腦(含攜帶型電腦)應設定開機通行碼。使用攜帶型之資訊設備應先申請及登記。
四 採取措施,消除該事件對本行的影響。
四 資通安全規劃,含風險評估、安全措施設計及定期檢討、資訊安全政策更新等,由資訊室負責。
(四) 程式設計人員:指負責設計應用系統程式之人員。
(五) 操作人員:指負責主機及網路操作及管理機房之人員。 目錄第一章 資訊安全政策第二章 應用系統開發與廢止第三章 系統維護第四章 程式與資料檔案管理第五章 電腦機房與設備管理第六章 主機終端網路及主機聯外網路管理第七章個人電腦及個人電腦區域網路管理第八章 委外處理及受託代理第九章 資訊用品管理及資訊訓練第十章 資訊業務文件製作及儲存附件第一章 資訊安全政策資訊安全在保護本行電腦資源,包括硬體、軟體、資料及作業程序,確保本行業務正常運作,防止有意或無意造成資料之毀損、暴露、遺失、竄改。為達此目的,每一自動化系統均應考量安全及備援需求,定期檢討並建置充分有效之安全措施,定期演練備援回復程序,其範圍不僅包括技術層面,尚應包括作業程序、人員組織等管理層面。 以下陸續說明本行資訊安全組織、資通安全事件處理、資訊資產分類及管制、硬體、軟體、資料、網路及人員之資訊安全政策。
五 資訊機密維護由政風室負責。
五 恢復本行資訊系統正常運作。
五 資訊資產攜出本行辦公場所,應先申請放行條。
伍 軟體安全政策
五 資訊系統中資料應定期備份,異地儲存。
五 個人電腦若需連接兩個(含)以上作業環境,需採取適當安全措施。
五 通行碼之製作及分發應以密件處理。
五 應用系統開發過程之各項協調事宜,應做成會議紀錄,或填製「資訊業務備忘錄」(附件一)呈核後歸檔存查。
五 概要設計結果應提報概要設計說明會,經專案小組確認。
五 系統測試之結果,應填製「系統測試紀錄」(附件九);所發現之錯誤或異狀情形,除應詳填於「系統測試紀錄」送核外,並應逐項追蹤協調解決。
五 系統維護所涉之應用程式修改,應於測試(開發)用系統環境下為之,不得影響作業中系統之正常運作。
五 程式之備援( BACK-UP)保存,應依下列原則辦理: (一)程式應定期實施備援保存作業,複製之程式應分地保存,用以回復本行正式作業環境所需程式,並應備份存放於遠地,如桃園備援中心及安康備份資料儲存室。 (二)系統程式備援保存作業,應填製「系統檢驗維護/軟體備援保存作業紀錄」(附件十七),陳主管核閱後,由系統工程人員歸檔。正式作業之應用程式目的碼備援保存作業,由資料管制人員填寫「資料處理申請書」(附件廿二)送系統工程人員處理,申請書於陳主管核閱後,由資料管制人員歸檔。 (三)備援保存之程式,應建立程式重載/復原(RELOAD/RECOVERY)程序,以備遇有程式毀壞時,得立即重建作業。
五 主機房內,應依下列規則管理: (一)值班操作員不得擅離工作崗位。 (二)開機前,應先起動冷氣設備及不停電系統。 (三)關機時,應逐項關閉各設備電源。 (四)應隨時注意機房溫度及濕度,溫度須保持22℃至26℃之間,相對濕度須保持50%至70%之間,遇有不正常時,應即通知維護人員處理。 (五)電腦主機運轉時,非因失火或其他緊急狀況,不得關閉機房總電源。 (六)電腦作業中遇空襲時,應儘速結束作業,關機斷電後,離開機房,平日演習時,為免影響正式作業運作,應關閉電燈,機房留守一人。 (七)機房內嚴禁跑、跳、吸煙、進食、飲水或存放私人物品。 (八)機房內磁帶、磁片等各類媒體,應由操作人員負責整齊放置於指定位置,作廢之報表紙必須經過碎紙處理後,放置於盛器內。 貳機房其他設備之管理 一機房冷氣系統,應視需要洽有關單位派員保養及清洗濾風網。 二機房防火設備,應視需要洽有關單位派員檢查及更換滅火劑。 三機房所有電力系統,應視需要洽有關單位派員檢查。 四機房內高架地板下,應視需要洽有關單位派員清潔。 五機房內及其四週,應視需要洽有關單位派員實施鼠害及蟲害防治措施。
伍 行內連線作業系統實施前,資訊室應提供下列支援服務,協助使用單位完成連線作業之準備工作:
五 主機連線個人電腦之安裝測試
五 雙軌作業期間所發生問題之記錄分析
五 主機連線個人電腦磁片媒體之保存管理
五 本行個人電腦如因業務需要須和本行以外機構之設備連接時,應先洽資訊室就資料安全及防毒措施加以檢討,簽報 核可後辦理。
六 貯存「密」以上等級資料之磁片於不再需要使用後,須立即予以銷毀或重新格式化( FORMATTED)。
六 與資訊室間之協調連繫事宜
陸 行內連線作業系統轉換時,資訊室應提供下列支援服務,協助使用單位,完成連線作業系統之轉換工作:
六 雙軌改行正式作業之協助配合
六 轉換建檔資料之整理彙計
六 應訂定電腦主機與其他設備之開機及關機順序,指導有關人員使用。
六 對指定列管之重要應用系統之程式,除依上述規定辦理外,並應依「列管程式正式作業程序」(附件壹)辦理。
六 應用程式之修改,應由程式員負責各程式之單體測試,系統分析人員主持系統(結合)測試。
六 系統測試完成後,其結果應提報系統檢討會經專案小組確認,「系統測試紀錄」(附件九)應裝訂成冊,陳主管核閱後歸檔存查。
六 經確認之概要設計結果為驗收系統之依據。 伍詳細設計 一詳細設計應以概要設計之結果為依據,實施之。 二詳細設計應完成下列設計工作: (一)電腦作業之系統結構 (二)各程式之「程式說明書」(附件四) (三)各檔案之「檔案說明書」(附件五) (四)各項交易輸入憑證、 (三)各檔案之「檔案說明書」(附件五)表單 (五)各項資訊輸出表單、帳冊 (六)連線作業之網路架構 (七)整批作業之處理流程圖 (八)測試計畫
六 系統開發各項工作之權責劃分,悉依本行分層負責明細表辦理。
六 每一識別碼之核發應具備一書面申請紀錄。如使用者為全行每一行員,則可用職員錄及人事異動通知為識別碼管理依據,而無需書面申請,唯識別碼管理人員仍應掌握每一使用者識別碼與在職行員之對應資料,並確定識別碼乃分發給該識別碼之擁有者。
六 網路安全事件指在本行個人電腦區域網路上發生如下之事件: (一)網路遭非法入侵 (二)網路資料遭竄改 (三)網路資料遭非法洩露 (四)病毒感染 (五)網路效能突然大幅下降
(六) 其他網路安全有關事項 七網路管理人員接獲所管網路可能發生安全事件之通報時,應考量立即切斷入侵者及被入侵者與網路之連接。 八定期檢測網路環境,注意可能之安全漏洞。 九網路安全注意事項應迅速通告網路使用者。 十為了解本行同仁正確使用網路資源,若有需要,本行相關單位可於簽奉核准後監看同仁網路使用習慣及電子郵件內容。 捌人員安全政策
陸 資料安全政策
六 電腦設備報廢前應將設備內之資料及軟體移除。
六 檢討事件發生之原因,採取改進措施。
六 有關「電腦化作業內部控制」及「資訊使用管理」之稽核由會計處會同政風室辦理。
七 陳報辦理情形。
七 儲存重要資料之磁性媒體應存放儲存設備,指定專人管理,設置擷取管制。
柒 網路安全政策
七 每年至少應舉辦一次行員資訊安全訓練;製發行員使用電腦注意事項;並經常注意資訊安全新知之宣導。
七 應用系統之開發應依下列階段進行: (一)現況調查 (二)系統分析 (三)概要設計 (四)詳細設計 (五)程式製作 (六)系統測試
(七) 系統轉換
七 系統測試應另建測試環境(TEST ENVIRONMENT )實施,不得影響作業中系統之正常運作。
七 系統維護之單體測試及結合測試,應比照系統開發作業之測試原則辦理。
七 資料管制人員對所負責管理之應用程式異動時,應將異動資料登錄於系統,並應每月至少一次比對正式作業環境中之程式與登錄資料是否相符,每年至少一次以書面資料抽查比對系統紀錄是否正確,比對結果均應作成紀錄。 貳資料檔案之管理 一資料檔案之管理,包含下列檔案項目之建立、變更、清除及保存: (一)系統資料檔案 (二)正式作業之業務資料檔案 (三)應用系統開發用之測試資料檔案 二資料檔案之建立,應依下列原則辦理: (一)系統資料之建立,係於電腦廠商完成系統建立(SYSTEM GENERATION)後,由系統工程人員驗收,並備份重建系統所需之程式及資料,分三地存放。 (二)正式作業之業務資料檔案,應於實施正式作業前,由系統分析人員依檔案之性質、內容填具「檔案正式作業申請書」(附件十一),交資料管制人員,於正式作業環境建置檔案,供作業使用。 (三)正式作業之業務資料檔案,應依業務需要建立檔案保護措施,非經授權,不得任意更改。 (四)正式作業之業務資料輸入檔案,應由業務單位以規劃之應用系統功能辦理,非業務單位人員不得逕行執行建檔作業。 (五)測試用資料檔案,得於測試環境( TESTENVIRONMENT)下,由系統分析人員自行建檔使用,必要時得請系統工程人員協助準備所需環境。 三資料檔案之變更,應依下列原則辦理: (一)系統資料檔案之變更,應由廠商系統工程師具文說明變更原因,經系統工程人員研擬配合方案,陳主管核可後辦理。 (二)正式作業之業務資料檔案內容變更,應依應用系統規劃之功能,由業務單位自行作業處理,資訊單位不得索取、變更、查閱檔案內容。倘因程式功能疏失或操作錯誤,導致資料錯誤且無法以系統現有功能更正時,應由業務單位提出「異常資料更正申請書」(附件十八)陳報主管核可後,交資料管制人員收件登記(控制表如附件卅四),會同業務單位人員或應用系統分析人員共同更正。其辦理情形經業務單位確認無誤後,陳主管核閱後存查。若因系統故障等與業務單位無關之原因造成正式作業環境中之資料受損,於修正系統後,應知會業務單位人員確認資料正確無誤後重新開放系統使用,並作成紀錄。 (三)正式作業之業務資料檔案,倘因業務單位之申請修改系統功能導致檔案架構或規格必須變更時,應由應用系統分析人員,依「系統修改申請書」(附件十四)研擬檔案變更方案,陳主管核可後填寫「檔案正式作業申請書」(附件十一),送資料管制人員辦理。 (四)測試用資料檔案之更改,由系統分析人員自行處理之。 四資料檔案之作廢清除,應依下列原則辦理: (一)系統資料檔案,配合系統程式之停租或版本換新,需作廢清除作業中之系統資料時,應由廠商具文說明原因,經系統工程人員研擬配合方案,陳主管核可後辦理。 (二)各應用系統分析人員,應依節省儲存媒體之原則,確實檢討系統開發環境中檔案之內容,再表列已作廢檔案之名稱(FILE ID),陳主管核可後,送資料管制人員清除之。 (三)正式作業之資料檔案因業務單位系統功能變更須清除,應由應用系統分析人員填寫「檔案正式作業申請書」(附件十一)陳主管核可後,送資料管制人員辦理;檔案經清除後,應將其原填之「檔案正式作業申請書」抽出,註明作廢日期後歸檔存查。 (四)測試用資料檔案,應由系統分析人員自行負責作廢檔案之清除,以減少儲存媒體之浪費。 五資料檔案之備援( BACK-UP)保存,應依下列原則辦理: (一)各類檔案均應依作業週期訂定備份份數,抄錄備份資料分地保存。 (二)各類檔案之抄錄及保存,均應依儲存之媒體標籤確實填記於電腦操作日誌(例如附件二十)。 (三)保存之媒體資料,除已印製報表另行保存者外,均應定期重行拷貝,以確保內容免遭毀壞。 (四)備援保存之資料檔案,均應建立重載/復原(RELOAD/RECOVERY)程序,以備遇有資料檔案毀壞時,得立即重建作業。 六對指定列管之重要資料檔案應區分資料安全等級,依不同安全等級,採取適當及充足之資訊安全措施,並應依有關規定辦理。
七 冷氣、電力、消防等設施,應訂定正確之操作方式(手冊)交有關人員使用。
七 轉換作業之訓練講習
七 電腦斷線後人工作業處理流程之演練
柒 連線機構申請參加本行電腦通信服務系統時,本系統上應完成下列事項:
七 貯存「密」以上等級資料之磁片應由保管人列冊記錄其名稱、內容、機密等級、備份數量、保管人及使用人;並應嚴格控制其複製作業(COPY),以確保資料不致誤用或外流。
八 本行各單位申請加裝連接點時,應由系統科同仁確認新申請之連接點是否可連接兩個以上作業環境,並採取適當之措施,以確保同一時間,該個人電腦僅可與單一作業環境相連。 貳個人電腦軟體管理 一本行之電腦軟體財產管理,由資訊室集中管理,統籌登錄。 二軟體使用之權利及義務,依著作權法及有關議定之合約辦理。 三軟體之使用人及保管人負軟體保管之責,如有使用或保管不當,造成毀損或遺失,應負賠償責任。 四軟體保管人或使用人,對於保管或使用之軟體如有盜賣、循私營利或其他不法情事時,應依法究辦。 五關於個人電腦軟體財產之管理: (一)屬於本行財產之軟體,初次交付本行時,由資訊室建立軟體保管單。對隨電腦共同採購之軟體,由秘書處將所建立之電腦硬體財產編號及軟體採購之明細資料送資訊室,據以建立軟體保管單;對零星採購之軟體,由秘書處於廠商交貨安裝後,將清單及軟體送資訊室,據以建立軟體保管單。 (二)軟體使用人或保管人遇有下列異動情形,應填寫「軟體財產異動申請單」(附件卅一)送資訊室更新軟體保管單及有關資料:
捌 本行電腦通信服務系統由資訊室管理,其管理方法由資訊室訂定。
八 各項設備之操作手冊,由資訊室系統科歸檔。
八 應用程式修改並測試完成後,系統分析人員應填製「程式正式作業申請書」(附件十)送資料管制人員更換正式作業環境中之程式;對指定列管之重要應用系統則應依「列管程式正式作業程序」(附件壹)辦理。
八 系統測試完成應檢討系統之資料安全及備援計畫。建置於資訊室所管設備之應用系統,由資訊室會洽使用及稽核單位簽報;建置於資訊室以外單位所管設備之應用系統,由設備管理單位會洽資訊室及稽核單位簽報;建置於本行以外機構所管設備之應用系統,應請該機構將安全檢討報告送本行使用單位,再由使用單位會洽資訊室及稽核單位簽報;並於陳奉 核可後,進行系統轉換及正式作業。前項備援計畫應包括人工備援程序,說明啟動之時機、執行之人員及系統修復後回復自動化作業之程序。備援計畫應定期演練及檢討。 捌系統轉換 一系統之轉換,應研擬系統轉換計畫,陳主管核可後實施。 二系統轉換進度,應與業務單位協調溝通共同研擬。 三應用系統正式作業前,應填寫「程式正式作業申請書」(附件十)及「檔案正式作業申請書」(附件十一)送資料管制人員,俾憑以建置正式作業之環境;對指定列管之重要作業並應依「列管程式正式作業程序」(附件壹)及「列管資料檔案處理程序」(附件貳)辦理。 四在正式作業主機CICS(Customer InformationControl System)環境下建置之連線作業應填寫「主機連線環境正式作業申請書」(附件十二)送系統工程人員,俾憑以建置正式作業環境。 五系統轉換,應訂定雙軌作業期間,配合辦理下列工作: (一)系統功能與原擬電腦化目標之驗核 (二)人工作業與電腦作業資料內容之覆核 (三)使用單位技術之移轉及作業訓練 (四)硬體設備及軟體環境之調整 (五)其他有關工作 六系統轉換期間發生之問題及業務單位意見應逐項記錄,並應定期提報系統檢討會討論。 玖正式作業 一系統轉換完成,即可正式作業。 二系統開發完成時,應填製「正式作業系統通知單」(附件十三)辦理移轉事宜。 三完成開發之系統,屬正式作業系統,應交資訊室資料管制人員控管,非依本規範第三章規定不得任意變更。 四電腦主機及網路伺服機上管理、維護工作同仁之使用權限及正式作業中各應用系統使用者之權限經單位主管核定後設定,修改時亦同,其有關文件應建檔管理。 拾應用系統之廢止 一業務單位因業務變更,研判業務上已不需要使用運作中之應用系統時,應填具「系統修改申請書」(附件十四),經該單位主管同意後,送應用系統維護單位,憑以辦理該系統之廢止。 二應用系統維護單位收到業務單位申請廢止應用系統之「系統修改申請書」後,應彙整該應用系統所使用之程式及資料檔案,將該系統之程式原始碼備份至磁帶,並檢討該應用系統與其他應用系統間之關係;若該應用系統須執行整批作業,則應先將該「系統修改申請書」洽會整批作業執行單位,於該系統廢止日起停執行該系統整批作業,並於陳主管核可後,由資料管制人員將該系統之程式目的碼及資料檔案備份至磁帶,並清除該系統在正式作業環境中之資料及程式。 第三章系統維護
(八) 正式作業 貳現況調查
八 本行員工違反本章之安全政策者,依【中央銀行職工獎懲要點】議處。 第二章應用系統開發與廢止
八 事件編號存查,應注意事件發生之環境、日期、時間、訊息來源等,以利追查;上述資料應視為機密。
(九) 備援計畫
九 系統變更時,有關系統文件應一併更新,系統維護工作應俟程式軟體及各類文件全部更新完成後,方得於「系統修改申請書」(附件十四)或「程式修改通知單」(附件十六)上,填註結案日期,陳主管核可後結案。
九 除電腦設備外之其他設備故障,應即通知資訊室管理科,洽有關單位派員維修,並應於「台北機房電腦操作日誌」(附件二十)上,登載故障情形及維修結果。
玖 對本行電腦通信服務系統之連線機構,資訊室系統工程人員應提供故障排除及疑難諮詢服務。
九 區域網路伺服機上之磁碟空間由系統管理者統一規劃及管理。為確保資料安全,並應設定各目錄區之使用權限,定期備份系統環境。為有效使用磁碟空間,系統管理者應常檢查磁碟空間之使用情形,並做必要之調整,對於使用不當之磁碟空間應通知使用者改善。
十 系統管理者應妥善保存及更新區域網路系統相關之軟體、手冊及文件。
拾 資訊室系統工程人員,受理連線網路故障之電話申告及疑難諮詢時,應即填製「作業環境異常狀況紀錄」(附件十五),並依下列原則處理:
十 電腦機房可能遭遇之各種災變(如火災、漏水、停電、空調失靈等)平日應訂定復原程序並加以演練;如發生時應即通知主管並採取相關復原措施。 參媒體之管理 一磁帶主要存放於磁帶室,由資訊室資料科管理,應設門禁管制,未持有通行卡之人員非經許可不得擅入,若有需要則應填寫「機房/磁帶室進出人員登記簿」(附件廿三),並應由資訊室資料科定期呈閱。 二作業用之磁性媒體,皆應黏貼媒體標籤,標示磁帶名稱、編號、啟用日期、使用期限、使用主機、更新方式、保留期限。磁性媒體使用期限訂為五年,超過有效使用期限後應予汰換,擬汰換之磁性媒體應經核准並予註記後消磁或銷毀。 三正式作業之磁性媒體,應依應用系統別設置「應用系統正式作業磁帶申請書」(附件十九),登記磁性媒體之使用情形;應用系統使用之磁性媒體由資訊室資料科負責保管,主機系統使用之磁性媒體由資訊室系統科負責保管。 四空白之磁性媒體,應依第九章有關資訊用品管理辦法,由資訊室管理科負責保管。 五操作員因操作需要使用磁性媒體時,應填寫「領用/歸還媒體清單」(附件廿四)向資料管制人員領取磁性媒體,使用後並填寫「領用/歸還媒體清單」歸還,資料管制人員應核對磁性媒體與清單所載是否相符。若應用系統分析人員欲查閱磁性媒體上之資料,應填寫「正式作業磁帶借用申請書」(附件廿五),陳主管核可後,向資料管制人員領取;歸還時,應於「正式作業磁帶借用申請書」註明歸還日期,並於呈核後由資訊室資料科歸檔存查。 六磁性媒體之維護及使用應注意下列事項: (一)磁性媒體不用時,應蓋緊盒蓋或裝入封套,以免灰塵侵入。 (二)磁性媒體盒護片等不可損壞。 (三)儘可能保存於定溫(20℃至28℃)定濕(50%至75%)環境中。 (四)勿移除磁帶導帶頭,並勿開啟保護閘門;勿用手指直接接觸磁帶表面、磁片及光碟片顯露處。 (五)磁性媒體附近不可置放磁性物體或煙灰缸、茶杯等什物。 (六)磁帶應經常保持豎立狀況存放,如因需要採取平疊方式存放時,其卷數不得超過五卷,存放時間不得超過24小時;磁片應保持直立方式存放,避免折疊或壓損。 (七)磁性媒體應按所屬類別放置於固定之櫃架上,以利存取。 (八)各項電腦作業所使用之備份磁帶檔案,應與正式作業檔案分開存放,依其使用時間及安全性要求,存放於磁帶室、電腦機房、辦公場所或其他安全場所。 (九)行外單位送交之磁性媒體,應由資料管制人員檢查無誤後,於「磁性資料送件單」(附件廿六)第一聯上簽收;磁性媒體取回時應於送件簿上簽章領回。 (十)磁片及光碟片標籤應先填妥粘貼其上,勿直接在磁片及光碟片上書寫文字或記號。
十 現有應用系統若有重大維護或修改,如系統改造、跨系統整合、主要資料流程變更、機密等級提高、作業平台改變等,相關處理程序應比照應用系統開發有關規定辦理。
(十) 電腦作業後之人工配合事項 三詳細設計完成,應整理下列報表,憑以分派工作進行程式製作。 (一)「程式編寫工作分派表」(附件六) (二)「檔案一覽表」(附件七) (三)「報表帳冊一覽表」(附件八) (四)程式製作工作詳細進度表 四詳細設計完成後,應依實際規劃結果,檢討原發展計畫之進度,倘有重新調整進度之需要時,應陳報主管核可後調整之。 陸程式製作
(十一) 磁帶使用前,應先開封置於室溫24小時。 第六章主機終端網路及主機聯外網路管理
十一 系統管理者應使用伺服機上之指令或網路管理軟體,定期編製網路系統使用狀況報表,陳單位主管或副主管核閱,以了解網路使用之情形及效率,以為管理及調整系統之參考。
拾壹 資訊室系統科應依「作業環境異常狀況紀錄」(附件十五),定期彙整分析各類故障原因、次數、及疑難情形陳報,供系統調整及訓練服務之參考。
拾貳 主機連線個人電腦之使用單位,應指派專人負責下列端末設備使用有關事宜:
(十二) 系統測試記錄
十二 使用者如發現區域網路系統有異常狀況,無法正常運作時,應即知會系統管理者研判原因,如須洽請維護廠商協助,即通知維護廠商派員解決,排除故障後應填寫「作業環境異常狀況紀錄表」(附件十五),記錄故障原因及處理情形。
十三 區域網路之軟、硬體更新或操作方式改變時,系統管理者應研擬使用系統之注意事項,陳單位主管或副主管核可後通知使用者。 肆本行連外區域網路CBCLAN之使用及管理一CBCLAN與網際網路連結,不得存放機敏性業務資料(〝機〞表公務機密,〝敏〞表敏感資料,即洩露後會影響本行的資料)。 二本行員工均可使用本網路,並自行選擇識別碼。此識別碼於行員離職時應予註銷。 三本網路使用者應瞭解有關規定;若有違反,將限制或註銷使用網路權利。 四本網路之規劃、建置、維護及管理等事宜由資訊室辦理。 五各單位原則上應經由本網路使用網際網路(Internet),不得在本網路上自行建置對外之連線環境。 六各單位應指派人員管理各該單位所管與本網路連線之個人電腦及區域網路。 七使用單位因業務需要,需增設連接本網路之線路時,應填具「中央銀行電腦軟硬體購置簽辦單」,向資訊室申請。 八本網路使用者不得將分配所得之各項網路資源轉借或告知他人使用。 輸入識別碼或通行碼時,應避免遭人偷窺或竊取。 九連接本網路之電腦若須連接其他計算環境,應設置適當之防護措施,且經資訊室同意。 十本行訊息未經核准,不得藉由本網路對外發布或轉送有關本行之訊息。 十一使用網際網路,不得涉及公務機密。 十二本網路使用者不得使用任何儀器設備或軟體工具,竊取網路之通訊資料。 十三本網路使用者不得以任何方法干擾或妨害網路之正常運作。
(十三) 系統轉換進度表
拾參 使用處理重要資料之主機連線個人電腦,應嚴格實施使用前「簽到」,離開時「簽退」作業,以明確區分責任。「簽到」作業應有識別碼及通行碼控管。
拾肆 帳務性交易專用設備之「交易日誌」,應依業務需要訂定保存期限,存檔備查。
(十四) 正式作業系統通知單
十四 本網路使用者僅得於授權範圍內存取網路資源;並禁止於網路上取用未經授權之檔案、軟體或網路硬碟空間等網路資源。
十五 連結本網路之電腦皆須安裝資訊室規定之防毒軟體。
(十五) 系統文件清單
拾伍 多人共同使用之數位簽章用途IC卡應設置「IC卡備查簿(附件卅七)」,登錄IC卡之領用、移交、作廢事項。 第七章個人電腦及個人電腦區域網路管理 壹個人電腦
(十六) 系統修改申請書管制表
十六 本網路使用者不得使用及傳播來源不明或未經證實安全無虞之軟體。
十七 本網路使用者不得發送匿名信,或偽造他人名義發送電子郵件。
(十七) 委外維護系統修改申請書
(十八) 委外維護系統異常資料更正申請書
十八 本網路使用者不得於網路上存取或散播色情文字、圖片、影像等不法或不當資訊,亦不得進行賭博、猥褻、不友善、營利及可能影響本行形象之行為。 第八章委外處理及受託代理 壹委託外包作業 一本行各類資訊業務委外時,應於事前審慎評估可能的潛在風險(例如資料或使用者通行碼被破解、系統被破壞或資料損失等風險),並應簽奉 核准後方得辦理。 二本行各類資訊業務委外時,應與廠商簽訂適當的資訊安全協定及課予相關的安全管理責任,納入契約條款。應納入資訊委外服務契約的資訊安全事項配合: (一)廠商如何配合執行本行業務永續運作計畫。 (二)廠商應遵守的安全規範,及如何評鑑廠商是否遵守安全規範的評估程序。 (三)廠商處理及通報資訊安全事件的責任及程序。 三本行委託外包之資訊業務,性質分「委託設計」及「委託處理」,應依下列原則辦理: (一)委託處理案之廠商工作人員在本行系統中之使用權限應經本行單位主管核定後設定,修改時亦同,其有關文件應存檔備查。委外廠商建置及維護本行具安全顧慮之軟硬體設施時,應在本行人員監督下辦理。 (二)委託設計之應用系統,須於測試環境測試,系統初次移入正式作業環境前,開發廠商應檢具程式清單並出具程式中無不該有功能之保證書。系統中與系統安全有關之程式,並應由本行人員審核編譯置入正式作業環境。應用系統中正式資料之移入,須俟安全及備援檢討完成、正式作業環境建立後,由本行人員置入。 (三)委託設計及委託處理之系統,於開發過程中,均應由本行業務單位、資訊單位及稽核單位人員共同參與。 (四)「委託設計」完成之系統,對於保固期滿後之維護工作,由資訊室洽會業務主管單位評估業務及安全需求情形後,簽報委外或由資訊室收回辦理。 (五)委託設計完成之系統,經交本行驗收後,由本行資訊室維護者,其有關系統之維護,資料檔案之管理或連線網路之管制等,悉依本規範有關規定辦理。 (六)委託處理之系統,應由受託廠商負責該系統之一切運用及維護支援事宜,業務單位負責該系統之使用及各項資料檔案管制事宜,包括採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。 (七)對委外開發且本行無所有權之程式原始碼,應考量在合約中簽訂原始碼託管協議,俾本行在必要時可至公正第三者處檢視或取得該程式原始碼。 四應用系統正式作業前廠商應提供軟體清單及檔案清單送資訊室資料管制人員俾憑以建置正式作業之環境。 五委託廠商維護之系統,功能若需修正,業務主管單位應提出「委外維護系統維護申請書」(附件卅五),交廠商研辦。若申請修改系統功能之單位並非業務主管單位,則應填寫附件卅五之一,交廠商研辦。 廠商完成應用程式修改並測試完成後,應填製「委外維護程式正式作業申請書」(附件廿九)送主管單位簽核後,交由或會同本行資料管制人員更換正式作業環境中之程式。若資料錯誤需要更正,但系統既有功能無法處理時,業務主管單位應填製「委外維護系統異常資料更正申請書」(附件卅六)交廠商研辦,廠商修正資料時,須會同本行相關環境管理人員辦理。 六「委託設計」完成之系統,經交本行驗收後,由本行資訊室維護,視同本行自有系統運用,有關系統之維護,資料檔案之管理或連線網路之管制,悉依本規範有關規定辦理。 七「委託處理」之系統,應由受託廠商負責該系統之一切運用及維護支援事宜,業務單位負責該系統之使用及各項資料檔案管制事宜,包括採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。 貳受託代理作業 一本行資訊單位以不接受委託代辦資訊業務為原則,屬本行附屬單位因業務上之需要,或其他單位因政策上之配合,需委託本行代為設計規劃或委託處理資訊業務時,應簽奉 核准後方得辦理。 二本行受託代理之資訊業務,其設計開發、維護支援、資料檔案管制等事宜,悉依本規範有關規定辦理。 第九章資訊用品管理及資訊訓練 壹資訊用品管理 一資訊業務有關之各類消耗品,如色帶、紙卷、磁片、磁帶... 等,除已屬秘書處保管者外,應由資訊室管理科負責該類資訊用品之管理事宜。 二各類資訊用品應設置「資訊用品庫存登記簿」(附件卅三),登錄各項用品之入庫、領用及庫存數量。 三各類資訊用品之領用,應依本行消耗品領用方式,填具「中央銀行領物證」及各單位自行保管之「領用物品登記簿」,向資訊室管理科領用。 四資訊室管理科應對各項資訊用品,預估全行各單位之需用量,訂定安全存量,簽請秘書處辦理統籌採購。 五各類資訊用品之領用及庫存情形,應按月編製「資訊用品統計月報」,陳主管核備。 六資訊用品之庫存情形,應定期(或不定期)實施庫存盤點,並編製「庫存盤查記錄」陳主管核閱。 七【可攜式之儲存設備】諸如筆記型電腦、光碟、隨身碟、磁片等之管理應依下列原則辦理: (一)使用【可攜式之儲存設備】儲存本行重要資料,須遵守【中央銀行公務機密維護實施要點】之規定,妥適保管。 (二)各單位對二人以上共享之可攜式儲存設備應指定專人保 管,並記錄使用情形。 貳資訊教育訓練 一為提高同仁資訊安全觀念,應定期或不定期舉辦資訊安全講習課程。 二應擬定年度資訊教育訓練計畫辦理相關訓練,並得應業務需要辦理。 第十章資訊業務文件製作及儲存 壹本行資訊業務各項文件之製作,設有制式用紙者,應使用制式用紙填製,未訂有制式用紙者,以使用 ASIZE 規格用紙製作為原則。 貳本行資訊業務各項文件規格之訂定,依業務性質計分四大類: 一資訊室規劃科負責之文件類: (一)業務電腦化功能需求調查表 (二)現況調查紀錄 (三)概要設計書 (四)詳細設計書 (五)程式說明書 (六)檔案說明書 (七)程式編寫工作分派表 (八)檔案一覽表 (九)報表帳冊一覽表 (十)系統修改申請書 (十一)程式修改通知單
(十九) 其他規劃及設計有關文件 二資訊室資料科負責之文件類 (一)異常資料更正申請書 (二)程式正式作業申請書 (三)檔案正式作業申請書 (四)資料處理申請書 (五)磁性資料送件單 (六)領用 /歸還媒體清單 (七)機房/磁帶室進出人員登記簿 (八)正式作業磁帶借用申請書 (九)應用系統正式作業磁帶申請書 (十)資料處理申請書管制表 (十一)異常資料更正申請書管制表 (十二)其他資料管理有關文件 三資訊室系統科負責之文件類 (一)台北機房電腦操作日誌/桃園機房輪值人員工作紀錄表(二)系統檢驗維護/軟體備援保存作業記錄 (三)主機作業異常狀況紀錄 (四)作業環境異常狀況紀錄表 (五)主機連線環境正式作業申請書 (六)媒體使用登記簿 (七)機房/磁帶室進出人員登記簿 (八)其他主機作業有關文件 四資訊室管理科負責之文件類 (一)資訊業務備忘錄 (二)個人電腦維護卡 (三)資訊用品庫存登記簿 (四)軟體財產異動申請單 (五)其他訓練及庶務有關文件 參資訊室管理科負責各項資訊文件標準化之管理,主辦單位設計完成之各項文件用紙,應先洽會資訊室管理科認可後,陳主管核訂頒行。 肆核訂頒行之各項文件用紙,應送資訊室管理科,辦理下列事宜:
:::
最新消息
法規草案預告
法規查詢
相關網站
行政令函查詢
開放資料
訴願決定書查詢