九、資訊系統作業程序及責任： （一）資訊系統應依「資通安全責任等級分級辦法」之附表九「資通 系統防護需求分級原則」，進行系統分級作業，機關並應依據 評估結果，參考「資通安全責任等級分級辦法」之附表十「資 通系統防護基準」進行防護。 （二）測試與正式作業資訊系統應分開處理，避免作業軟體或資料遭 意外竄改或不當使用。 （三）資訊業務委外時，應於事前審慎評估可能之潛在安全風險，並 與廠商簽訂適當之資訊安全協定，將安全管理責任相關事項納 入契約條款。 （四）委外人員資訊系統使用權限應經適當控管；委外期間結束後， 應立即收回該項權限。 （五）系統文件應予適當儲存與保護。

十、日常作業之安全管理： （一）對於資訊系統作業中斷及更正等異常事項，應詳實記錄。 （二）重要資訊系統應隨時監測作業環境狀況。

十一、電腦病毒及駭客防範： （一）電腦應設定密碼保護、安裝防毒軟體，並即時更新系統與軟 體漏洞修補。 （二）防毒軟體應更新病毒碼，除線上即時防護外，每月至少實施 一次完整檔案掃瞄。 （三）各機關業管之電腦系統（例如戶政機關辦理戶政業務所使用 之電腦系統）應每年至少實施二次弱點檢核，防止被駭客入 侵而影響業務運作及損害信譽。

十二、稽核存錄： （一）資訊系統應啟動稽核存錄功能，留存帳號登入、登出與特殊 權限使用等電腦稽核紀錄（ log）。 （二）電腦稽核紀錄應予妥善保護，防止未經授權之存取、竄改與 刪除。 （三）電腦稽核紀錄應視需求保留，至少應保留六十天以上。 （四）重要系統電腦稽核紀錄得異機備份保存。

十三、軟體使用： （一）各機關使用軟體應遵守智慧財產權相關法令規定及契約約定 。 （二）使用廠商提供之套裝軟體，各機關應儘可能避免自行變更或 修改。

十四、個人資料保護： （一）應依據「個人資料保護法」等相關規定，審慎處理及保護個 人資料。 （二）資訊系統應合理留存個人資料之新增、修改、刪除、資料匯 出、列印等活動之操作紀錄。 （三）處理含個人資料之資訊系統，除了執行業務所必要者外，應 避免提供資料整批匯出功能。 （四）任何系統如具個人資料，應考量個資外洩風險，於必要時執 行滲透測試。

十五、資料備份： （一）各機關應準備適當及足夠容量（例如硬碟或儲存設備空間） ，定期執行必要之資料及軟體備份。 （二）備份資料應定期測試以確保其可用性。

十六、電腦媒體之安全： （一）可隨時攜帶及移動的電腦媒體，於儲存含有機密性、敏感性 或個人資料檔案時，應加密或以密碼保護。 （二）保存重要資料檔案之儲存媒體應以安全之方式保存（例如： 儲存於上鎖之箱櫃）。 （三）儲存機密性、敏感性或個人資料檔案之媒體，當不再繼續使 用時，應以實體破壞或燒毀等安全方式處理。

十七、資料及軟體交換之安全： （一）各機關間或與往來對象進行例行性資料或軟體交換，得訂定 交換協定將機密性及敏感性或個人資料檔案之安全保護事項 及有關人員責任列入。 （二）電腦媒體運送及傳輸過程應有妥善之安全措施，以防止資料 遭破壞、誤用或未經授權之取用。