九、資訊系統作業程序及責任 （一）關鍵資訊系統（資訊系統分類分級與鑑別機制等級「高（等級 3）」以上）應訂 定作業程序，除載明執行作業規定外，應包含不正常停機及發生錯誤或遭遇非預 期性問題時之處理。 （二）測試與正式作業資訊系統應分開處理，避免作業軟體或資料遭意外竄改或不當使 用。 （三）資訊業務委外時，應於事前審慎評估可能之潛在安全風險，並與廠商簽訂適當之 資訊安全協定，將安全管理責任相關事項納入契約條款。 （四）委外人員資訊系統使用權利應經適當控管；委外期間結束後，應立即收回該項權 利。 （五）系統文件應予適當儲存與保護。

十、日常作業之安全管理 （一）對於資訊系統作業中斷及更正等異常事項，應詳實記錄。 （二）重要資訊系統應隨時監測作業環境狀況。

十一、電腦病毒及駭客防範 （一）電腦應設定密碼保護、安裝防毒軟體，並即時更新系統與軟體漏洞修補。 （二）防毒軟體應更新病毒碼特徵，除線上即時防護外，每月至少實施一次完整檔案 掃瞄。 （三）機關業管之電腦系統應每年至少實施二次弱點檢核，防止被駭客入侵而影響業 務運作及損害信譽。

十二、稽核存錄 （一）資訊系統應啟動稽核存錄功能，留存帳號登入、登出與特殊權限使用等電腦稽 核紀錄（log）。 （二）電腦稽核紀錄應予妥善保護，防止未經授權之存取、竄改與刪除。 （三）電腦稽核紀錄應視需求保留，至少應保留六十天以上。

十三、軟體使用 （一）機關使用軟體應遵守智慧財產權相關法令及契約約定。 （二）廠商提供之套裝軟體應儘可能避免自行變更或修改。

十四、個人資料保護 （一）應依據「個人資料保護法」等相關規定，審慎處理及保護個人資訊。 （二）資訊系統應合理留存個人資料之新增、修改、刪除、資料匯出、列印等活動之 操作紀錄。 （三）處理含個人資料之資訊系統，除了執行業務所必要者外，應避免提供資料整批 匯出功能。

十五、資料備份 （一）各機關應準備適當及足夠容量，定期執行必要之資料及軟體備份。 （二）備份資料應定期測試以確保其可用性。

十六、電腦媒體之安全 （一）可隨時攜帶及移動的電腦媒體，於儲存含有機密性、敏感性或個人資料檔案時 ，應加密或以密碼保護。 （二）保存重要資料檔案之儲存媒體應以安全之方式保存（例如：儲存於上鎖之箱櫃 ）。 （三）儲存機密性、敏感性或個人資料檔案之媒體，當不再繼續使用時，應以實體破 壞或燒毀等安全方式處理。

十七、資料及軟體交換之安全 （一）機關間或與往來對象進行例行性資料或軟體交換，宜訂定交換協定將機密性及 敏感性或個人資料檔案之安全保護事項及有關人員責任列入。 （二）電腦媒體運送及傳輸過程應有妥善之安全措施，以防止資料遭破壞、誤用或未 經授權之取用。