資訊安全政策

壹、目的

臺中市政府中央公園管理所 (以下簡稱本所) 資訊相關系統設備除提供內部人員作業處理外，亦透過電腦網路提供與市民互動之溝通管道，其相關資訊系統作業應用之持續性運作，攸關本府形象及市政業務推動，故訂定本資訊安全政策，作為資訊安全工作之指導方針，藉以降低資訊風險。

貳、適用範圍

臺中市政府中央公園暨所屬機關。

參、權責

肆、名詞定義

資訊機房：資訊中心所管理之機房包含臺灣大道市政大樓共構電腦機房及陽明大樓備援機房。

伍、作業內容

陸、政策聲明

（一）為確保資訊系統安全及建立可信賴之環境，相關使用者需經過正常程序之申請授權，方能閱讀或存取授權範圍內之機敏資訊，期間並保障資訊於處理、傳輸、儲存之過程中皆能正確無誤之使用，及避免資訊與系統被無意或惡意之竄改或變更，並確保智慧財產權及個人資料都能得到妥適的保護，避免不當的使用。

（二）對於個人資料之蒐集、處理及利用，將依相關法令之規定，僅就其特定目的之用，不會恣意對其他第三者揭露。

（三）以簡單且容易記憶並符合資訊安全管理為原則，訂定資訊安全政策聲明口號：機密資料保護好，資安管理不可少，持續服務為首要，養成習慣沒煩惱。

柒、目標

（一）依據資訊安全管理系統 (Information Security Management System ， ISMS) 之精神與要求，作為本府推廣資訊安全管理制度之基礎準則。

（二）確保本府相關資訊系統之資料的機密性 (Confidentiality) 、完整性 (Integrity) 、可用性 (Availability)與法規/合約(Legal)，以達正常持續運作之目標。

（三）依據 PDCA （Plan、Do、Check、Action）流程模式，以循序漸進及週而復始的精神，確保本府資訊業務運作之有效性與持續性，並訂立資訊安全目標量測機制，期能不斷精進。

捌、作業流程執行與要求

（一）高層支持：推動資訊安全管理，必須由高層主管支持與參與。

（二）政策先行：列出優先實施範圍，逐步推廣與落實。

（三）全體共識：充分了解資訊安全管理制度的重要性，建立使命感。

（四）教育訓練：適度資訊安全教育訓練，加強資訊安全管理觀念與技能。

（五）定期稽核：透過稽核程序，發現資訊安全問題，提出改善建議，降低資安風險。

（六）適時改善：發生資訊安全問題，即時研商對策，謀求改善機制，健全資訊安全管理制度。

（七）電腦病毒及惡意程式之防範：

1.事前預防及保護措施，防制及偵測電腦病毒及惡意程式侵入。

2.建立個人電腦使用規範及適當宣導，促使同仁正確認知電腦病毒及惡意程式的威脅並提升資訊安全警覺。

（八）重要資訊備份：

1.正確及完整的重要備份資料，除存放在主要的作業場所外，應另外存放在不同的安全場所，以防止主要作業場所發生災害時可能帶來的傷害。

2.不定期測試並還原重要備份資料，以確保可用性與完整性。

3.重要資料的保存時間，以及檔案的保存需求，由資料擁有者研提及控管。

（九）資訊交換：

1.資訊資料交換應有妥善安全措施，以防止資料遭破壞、誤用或未經授權存取。

2.確保傳送過程中之實體媒體安全，不受未經授權的存取、誤用或毀損。

（十）營運資訊保護：使用辦公室電子設備（含影印機與傳真機），應注意資訊安全； 產出機敏性文件時，應全程監看並於產出後妥善收存。

（十一）存取控制：

1.訂定系統存取授權規定，並告知使用者相關之權限及責任。

2.人員異動或職務調整時，應依系統存取授權規定，限期調整其權限。

3.強化使用者通行密碼管理並定期更新。

4.使用機敏性媒體應於離開座位時放置安全處所，避免未授權者取閱；電腦設施亦應設置螢幕保護機制並設定密碼保護，於離開操作後限定時間內啟動。

5.除申請核准之事由外，不得攜帶可攜式之儲存裝置或個人筆記型電腦進入資訊機房，避免機敏資料外流。

6.辦公桌面、伺服器及個人電腦螢幕應保持淨空，不置放機敏性文件。

（十二）電腦網路服務的使用：

1.被授權的電腦網路使用者，只能在授權範圍內存取電腦網路資源。

2.訂定電子郵件使用規定，機敏性資料不宜以電子郵件方式傳送。

（十三）行動通訊及遠距工作：未經授權禁止於本府資訊機房內使用行動式通訊設備及以遠端連線方式存取本府之資訊資產。

玖、智慧財產權

於自己架設的網站上傳他人之著作（圖片、文字、影音等），可能會涉及「重製」及「公開傳輸」等他人著作之利用行為規範 規範

 發文機關：經濟部智慧財產局

發文字號：經濟部智慧財產局 106.04.07. 電子郵件字第1060324號

發文日期：民國 106 年 04 月 07 日

（一）、於自己架設的網站上傳他人之著作（圖片、文字、影音等），可能會涉及「重製」及「 公開傳輸」等他人著作之利用行為，除符合著作權法第44條至第65條合理使用規定外， 應徵得著作財產權人之同意，始為合法利用。又依著作權法第37條第 1項規定，著作財 產權人得授權他人利用著作，其授權利用之地域、時間、內容、利用方式或其他事項， 依當事人之約定；其約定不明之部分，推定為未授權。亦即著作權之授權利用基本上為 利用人與著作財產權人間私權契約關係，其授權之範圍基於契約自由原則，悉由雙方當 事人自行約定，如契約未約定的，即未獲授權，合先敘明。

（二）、所詢欲利用創用CC授權之圖片，按「創用CC」授權條款係著作財產權人就其享有之著作 財產權，免費授權利用人依授權之內容利用其著作（創用CC之相關資訊，可參閱中央研 究院資訊科學研究所建置之「創用CC」網站，網址：http://creativecommons.org .tw/），建議您先確認所欲利用之「創用CC」圖片的授權範圍，如利用之情形屬於各該 圖片所標示的授權條款可以利用的授權範圍，則不會有侵權問題，反之，若超出授權範 圍或未獲授權，仍應徵得著作財產權人之同意或授權，始得為之。

（三）、將公開於 Instagram、Facebook、 Youtube、Flickr等網站之圖片及影片，轉貼 到自己架設的網站，或蒐集整理其他網站之「超連結」等行為，其分別說明如下：

1.如您是單純以連結網址或以「嵌入」之方式分享前開網站之圖片或影片，在技術面 係藉由網站間連結之方式，由使用者點選連結後直接開啟該等網站瀏覽、收聽，而 未將該圖片或影片重製在自己的網頁時，並不會涉及著作的「重製」及「公開傳輸 」行為，無須取得著作權人之同意或授權。但若明知該連結或嵌入之網站有侵害著 作權之情事，而仍透過超連結的方式提供給公眾，則有可能成為侵權者的共犯或幫 助犯，而須負相關之民、刑事責任。

2.如將他人之著作予以下載後再上傳至自己的網站上，則已涉及著作權法所稱之「重 製」及「公開傳輸」等利用行為，除有符合著作權法第44條至第65條規定之情形 外，應取得著作財產權人之同意或授權，始得為之。

（四）、又按著作權法第52條規定，為報導、評論、教學、研究或其他正當目的之必要，在合理 範圍內，得引用已公開發表的著作，亦即如符合該條規定，可主張合理使用，惟須注意 的是，該條所謂之「引用」，係指任何人基於報導、評論、教學、研究或其他正當目的 之必要，在合理範圍內，以節錄或抄錄他人已公開發表之著作，供自己創作之參證或註 釋之用（亦即必須先有自己的創作），並得與自己創作部分加以區辨，才有主張本條合 理使用之空間，且須依第64條規定明示其出處；若未符合前述要件，縱使註明出處，亦 不屬於合理使用，仍可能構成著作權之侵害。

（五）、至網路上其他免費圖庫，建議您先確認各該圖庫之授權範圍，如利用行為非屬各該圖片 所標示的授權條款運用的授權範圍，仍應徵得該美術著作之著作財產權人之同意或授權 ，始得為之，否則會有侵權的疑慮。

（六）、由於著作權係屬私權，如有爭議發生，仍需由司法機關依具體個案調查事實認定之

拾、溝通或傳達

為使本所之政策、需求及目標能有效地傳達到與業務相關之關注方，將利用媒體、函文、會議、網頁、電子郵件及文宣等途徑，進行彼此關注議題討論及溝通，於必要時得邀請相關人員參與，並留存紀錄做為後續之依據。

拾壹、政策修訂

本政策應至少每年評估一次，以反映政府法令、技術及業務等最新發展現況，確保資訊安全管理實務作業之可行性及有效性。

拾貳、參考文件

無

拾參、附件

無