一、目的
立法院（以下簡稱本院）為維護整體資訊安全，強化各項資訊資產之安全管理，確保其具機密性、完整性、可用性、鑑別性與不可否認性，以因應業務運作需要，妥善支援立法委員依法行使職權，特訂定本要點

• 機密性(Confidentiality)指確保只有經過授權的人才能存取資訊資產。
• 完整性(Integrity)指確保資訊資產其處理方法的準確性及完整性。
• 可用性(Availability)指確保授權的使用者在需要時，可以使用資訊資產。
• 鑑別性(Authentication)指確保網路中之個體（Entity）的身分確實如他所表明，或由網路所接收的資料確實為該傳送者（ Sender ）所傳送。
• 不可否認性(Non-repudiation)指發送端不可否認其所同意傳送出的資料或他所完成的交易行為

• 資訊使用者係包含委員、助理、職員、聘僱人員、技工、工友、建置維護廠商及其他經授權使用資訊資產之人員。

• 除左列第四條所述法令外，以下各項為訂定本院資訊安全管理制度的重要參考標準。
  • 國際標準組織的資訊安全標準(ISO17799：2000；資訊技術-資訊安全管理實施要則)。
  • 經濟部中央標準檢驗局的資訊安全標準(CNS17800；資訊技術-資訊安全管理規範)。
  • 英國標準協會的資訊安全標準(BS7799：2002；資訊安全管理)。
• 依據本要點所訂定之各項附屬規定-憑證政策、資訊安全組織作業原則、 資訊安全文件管理、資訊資產分類分級、網路安全管理、主機安全管理、資訊應用系統安全管理、一般資訊設備管理、PKI資訊安全管理、電腦機房管理、資訊安全通報處理、資訊安全稽核、資訊存取控制、辦公區域管理、委外管理、資訊安全風險評鑑與管理等作業原則。
  

• 成立以下必要組織推動資訊安全管理制度。
• 資訊安全會報置召集人一人，由秘書長兼任；執行秘書一人，由資訊處處長兼任。
• 資安稽核小組之幕僚作業由召集人指派人員兼任。
• 資訊處資安小組之幕僚作業由執行秘書指派人員兼任。
• 訂定資訊安全組織作業原則，說明以下事項：
  • 資訊安全組織架構、工作職掌及運作方式。
  • 資通安全會議及資訊安全小組會議召開頻率及討論事項。
  • 資訊安全組織人員資格及教育訓練。
    

• 本院之資訊資產分為資訊類資產(如檔案資料、系統文件、資料庫等)、實體類資產(如電腦硬體、通訊設備等)、軟體類資產(如應用軟體、系統軟體等)、服務 類資產（如電源、空調等）。
• 資訊資產清冊內容應註明資訊資產類別、擁有者、使用者及機密等級。
• 訂定資訊資產分類分級作業原則，說明以下事項：
  • 資訊資產分類原則。
  • 資訊資產分級原則。
  • 資訊資產管控措施。

• 各單位含各委員研究室、服務處及各黨團辦公室。

• 訂定委外管理作業原則，說明以下事項：
  • 規範保密協定。
  • 委外績效評鑑。
  • 委外廠商駐點人員管理。
  • 委外人員存取規範。

• 威脅指資訊資產遭受外來安全衝擊的影響，如火災、水災及駭客入侵。
• 弱點指資訊資產的安全控制不足所帶來的影響，如人為疏失、網路漏洞。
• 風險評鑑指資訊安全確認的過程，藉由評估各個資訊資產的威脅與弱點以產出風險值，並確認其控制適足性。
• 風險管理指在可接受的成本內，對可能影響資訊安全之因素進行確認、控管，以降低其影響程度。
• 訂定風險評鑑暨管理作業原則，說明以下事項：
  • 資訊安全風險評鑑步驟。
  • 資訊安全風險管理步驟。
  • 資訊安全風險評鑑時機。

• 訂定電腦機房管理作業原則，說明以下事項：
  • 機房內設備例行性檢查。
  • 機房內資訊設備及資訊媒體使用管理注意事項。
  • 門禁管理。
• 訂定辦公區域管理作業原則，說明以下事項：
  • 桌面淨空管理。
  • 螢幕保護程式設定。
  • 傳真(機)資料管理注意事項。
  • 設備安全管理。
• 訂定一般資訊設備管理作業原則，說明以下事項：
  • 個人電腦管理。
  • 個人電腦報廢。

• 主機系統係指大型電腦、伺服器、資料庫等。作業平台係指Windows Server、Unix及網站伺服器等。
• 訂定主機系統安全管理作業原則，說明以下事項：
  • 作業平台建置標準。
  • 日常操作管理。
  • 異常狀況排除。

• 應用系統指管理資訊系統及應用服務系統。
• 訂定應用系統安全管理作業原則，說明以下事項：
  • 應用系統開發管理。
  • 應用系統驗收測試。
  • 應用系統上線作業。
  • 應系統維護。

• 訂定網路安全管理作業原則，說明以下事項：
  • 網路設備安裝維護事宜。
  • 防火牆建置與管理注意事項。
  • 網路安全監控檢核注意事項。
  • 電腦病毒防治注意事項。
  • 入侵偵測系統(IDS)注意事項。

• 訂定憑證政策，說明以下事項：
  • 憑證申請及簽發。
  • 憑證下載事宜。
  • 憑證管理單位責任。
  • 憑證註銷事宜。
• 制定憑證實務作業基準，針對憑證政策內容，說明憑證實務作業的必要管理程序，並依據憑證標準之變異執行修訂。

• 本院現行可採行加解密及身份鑑別技術使用公開金鑰基礎建設（Public Key Infrastructure，PKI）。PKI指運用公開金鑰及電子憑證，確保電子資料交換的安全性及確認對方身分之機制。
• 訂定資訊存取控制作業原則，說明以下事項：
  • 使用者存取權限區分與管理。
  • 主機平台使用者帳號密碼管理。
  • 網路設備系統管理員帳號管理機制。
  • 筆記型電腦連線管理機制。
  • 無線裝置、攜帶式行動設備等使用管理機制。
• 訂定PKI資訊安全管理作業原則，說明以下事項：
  • 晶片卡(CA)空白卡之使用管理注意事項。
  • PKI憑證應用管理管理注意事項。

• 災害指因資訊安全事件的發生，所造成之損失。
• 訂定業務永續運作管理作業原則，說明以下內容：
  • 災害處理程序。
  • 異地備援機房災害處理程序。
  • 應用系統回復處理程序。
  • 關鍵業務之復原優先順序。
  • 分析業務停頓的損失和備援措施。
  • 在地備援管理規範。

• 資訊安全稽核工作可由內部或外部具備專業資格之人員進行，並秉持獨立性及客觀性。
• 資訊安全內部稽核計畫之擬訂應參考過去稽核結果以決定稽核範圍及查核重點。
• 訂定資訊安全稽核管理作業原則，說明以下內容：
  • 稽核計畫之訂定。
  • 稽核範圍、頻率、方法。
  • 稽核紀錄與報告。
  • 改善行動與跟催。

• 訂定資訊安全文件管理作業原則，說明以下內容：
  • 文件內容綱要。
  • 文件變更管理。
  • 文件編號編制方式。
• 本要點之版本變更應依據資訊安全文件管理作業原則。