一、臺北市政府（以下簡稱本府）為有效運用本府網路資源，正確且合理
  使用網路，明確網路使用準則及維護資訊機密與安全，特訂定本規範
  。

二、本府市政骨幹網路由臺北市政府資訊局（以下簡稱資訊局）統籌負責
  網路架構規劃、建置、維護管理及網路安全等事宜。

三、本府各機關（構）（以下簡稱各機關）應由專責單位統一管理規劃及
  整合內部網路，並協助網路管理單位進行網路管理（包含機關內所有
  IP及連網設備進行造冊、核准連線、下架、禁用等）。

四、各機關原則應以本府市政骨幹網路對外服務及存取外部資源，不得未
  經申請自行申裝連外網路；如因業務需要而有申裝必要者，應向資訊
  局提出申請，並說明網路安全管理及管控架構等規劃，經同意後始得
  安裝。

五、各機關不得私自向 GSN申請開放中國大陸連接本府市政網路，如有業
  務需要應向資訊局申請開放。

六、各機關在部署完成網路規劃後，應繪製機關邏輯網路架構圖及實體網
  路架構圖，並訂定網路檢核表檢測部署狀況及運作狀況。

七、各機關對外服務網路位址通訊協定（IP）應同時支援第四版及第六版
  ，並應定期盤點所有配發網路位址。

八、重要服務之網路線路及設備，應有備援或容錯機制，避免單點失效，
  並應依資訊局訂定之相關安全基準，定期稽核。

九、網路設備應擺設於安全防護區域內，以避免遭受非授權人員進行實體
  上之接觸或存取；設備管理介面之網路應隔離。

十、無線網路、民眾上網或遠端 VPN等網段，應與辦公室、內部伺服器及
  網路設施等進行網路分區設計；內部伺服器及網路設施應依正式區或
  測試區等進行細部分區設計。

十一、各機關因業務需要連結本府市政骨幹網路者，應向資訊局申請連線
   使用，並依資訊局網路位址配置規劃辦理。

十二、各機關網路互連應以防火牆區隔，並依互連需求最小開放連線政策
   。

十三、各機關不得自行架設無線網路設備，如因業務需要而有架設必要者
   ，應向資訊局提出申請，經同意後始得架設。

十四、各機關申請自行架設無線網路設備應向資訊局提報清單，其內容應
   至少包含以下資料：
   （一）無線AP之管理IP位址。
   （二）無線AP之配置使用者IP位址範圍。
   （三）無線AP之SSID。
   （四）無線網路連線架構、網段及是否可存取內部網路等。
   （五）設備之製造商、型號及序號等資訊。
   （六）設備安裝實體位置。
   （七）設備管理者之相關資訊，如人員姓名、分機號碼等。
   （八）設備韌體版本。

十五、自行架設無線網路設備之機關應定期盤點前點各款資料及管理帳號
   清單、近期登入紀錄與密碼變更時間等，並應依資訊局訂定之相關
   安全基準定期稽核。

十六、防火牆政策規則應符合本府公告之防火牆開放原則及相關安全檢核
   規則，來源位址、目的位址、通訊埠及使用期限等應採最小開放原
   則，並明確說明開通事由。

十七、防火牆政策規則應由來源位址或目的位址之權管機關申請，如有影
   響他機關服務者，應於該機關審核同意後，始得申請開通。

十八、防火牆每年應至少進行一次全面性政策及預設政策盤點。

十九、防火牆管理員應定期檢視防火牆政策，檢測防火牆政策規則是否妥
   善控管或未使用；如未妥善控管或未使用，經防火牆管理員通知申
   請單位或受影響之機關而逾期仍未處理者，管理單位有權停用或刪
   除該規則。

二十、各機關防火牆之管理活動，如管理者帳號登入、登出或網路連線進
   出規則變更等，應留存稽核紀錄（ log）；通過防火牆之網路連線
   亦應留存目的與來源IP位址、通訊埠等連線稽核紀錄（ log）。上
   述紀錄之留存期間至少一年，如法規另外規定外不在此限，並應異
   機備份保存妥善保護，防止未經授權之存取、竄改與刪除。

二十一、因應本府政策或作業需要，須與本府網路資源進行遠端連線者，
    其遠端連線作業原則應使用虛擬私有網路（ VPN），並應採用符
    合本府所定之基本安全原則之設備。

二十二、使用虛擬私有網路（ VPN）應遵循提供服務機關之規定，來源位
    址、目的位址、通訊埠及使用期限等應採最小開放原則；如未妥
    善使用或未使用，經網路管理員通知而逾期仍未處理者，管理單
    位有權停用或限制使用權限及範圍。

二十三、各機關應依機關資通安全責任等級及風險評估情形，建立防火牆
    、入侵偵測及防禦、應用程式防火牆、進階持續性威脅攻擊防禦
    措施等網路安全防護措施，針對內外網網路威脅進行偵測與防護
    及依機關安全需求針對連線存取設施進行存取控管機制，並納入
    資通安全威脅偵測管理機制，持續監控及調查處理。

二十四、各機關應定期針對網路架構、網路惡意活動、防火牆政策等進行
    資通安全健診；網路設備組態應導入政府組態基準（ GCB）及資
    訊局訂定之安全基準。

二十五、依各機關對危害國家資通安全產品限制使用原則，屬資通安全管
    理法主管機關或本府公告有資通安全疑慮之產品，應禁止使用；
    如有該類產品，亦不得與公務網路環境介接。

二十六、各機關針對有資通安全疑慮、非公務用途或大量耗用頻寬之連線
    行為應阻斷、限制及監控清查連線，並應依資通安全管理法主管
    機關或資訊局提供之惡意中繼站或網域等資通安全情資，進行阻
    斷、清查、監控及確認。

二十七、各機關應尊重網路隱私權，不得利用其網路管理權限任意窺視使
    用者之個人資料或有其他侵犯隱私權之行為。但有下列情形之一
    者，得不經通知逕行就所屬IP位址執行網路掃描及監測活動，並
    將掃描及監測異常結果通知該單位：
    （一）為維護或檢查系統安全，以因應網路安全事件、網路病毒
       或蠕蟲大量傳播。
    （二）依合理之依據，懷疑有違反本規範之情事時，為取得證據
       或調查不當行為。
    （三）為配合司法機關之調查。
    （四）其他依法令之行為。

二十八、違反本規範或有資通安全相關威脅者，本府得立即停止其網路使
    用權，並視情節輕重處以停權一個月、限制或撤銷其網路資源存
    取權，同時依相關法令處理。觸犯法令者，須自負相關責任。

二十九、各機關使用網路資源應依臺北市政府資通安全管理規定辦理；如
    有違反，依相關規定議處。

三十、各機關得依業務需要，自行訂定其他執行管理規範，並依機關流程
   簽核發布。

三十一、本規範之內容，應由資訊局每年至少辦理檢視及整理一次，以符
    合相關法令、技術、組織及營運之最新發展現況。
    於資通安全之客觀環境發生重大變動，本規範之內容有不能因應
    之虞時，資訊局應即時辦理檢視及整理。