:::

訂定「公務出國(含大陸地區、香港及澳門)資通訊設備管理須知」,並自即日生效,請查照並轉知所屬。

主管機關: 數位發展部資通安全署
發布機關: 數位發展部
發布日期: 115.07.01
發布字號: 數授資法字第1150003280號函
異動性質: 訂定
法規名稱: 公務出國(含大陸地區、香港及澳門)資通訊設備管理須知
容:
一、為推動資通安全管理法第六條第一項所定資通安全整體防護事宜,強
    化中央與地方機關(構)人員公務出國(含大陸地區、香港及澳門)
    期間資通訊設備及儲存媒體管理,防止公務機密資料遭竊取、竄改、
    毀損、滅失或洩漏,影響其機密性、完整性及可用性,訂定本須知。

二、名詞定義
(一)資通訊設備:電腦、平板、手機、穿戴裝置等設備;惟不含已落實
      實體隔離且配有保密裝備之設備。
(二)儲存媒體:隨身碟、硬碟、記憶卡等儲存裝置。
(三)一般人員:因公務出國之中央及地方機關(構)人員,不含公立學
      校之教職員及駐外館處長期派駐人員;但駐外館處長期派駐人員若
      因臨時、短期公務需求,需離開駐在國並派赴他國者,仍適用之。
(四)重要人員:政務人員及其秘書人員、國家機密保護法第二十六條第
      一項所列涉及國家機密人員、涉及國家安全或重大利益公務人員特
      殊查核辦法第二條第一項所稱涉及國家安全或重大利益公務人員,
      及其他經機關認定攜有高度機敏性資料或具備機敏資料存取權限之
      人員。
(五)高資安風險地區:指反滲透法第二條第一款所定義之境外敵對勢力
      所管地區。

三、本須知管理措施分為二級,適用時機如下:
(一)一般管理措施:一般人員及重要人員公務出國,均適用一般管理措
      施。
(二)進階管理措施:重要人員前往高資安風險地區,除一般管理措施外
      ,尚須適用進階管理措施。

四、一般管理措施
    公務出國人員攜帶機關配發提供平時公務使用(以下簡稱公務配發)
    之資通訊設備及儲存媒體,或攜帶存有公務資料、用於公務聯絡之自
    有資通訊設備及儲存媒體者,均應採行下列管理措施,並依附件一資
    通安全檢核表檢核一般管理措施之項目;攜帶自有資通訊設備及儲存
    媒體,無法自行完成檢測者,應簽署附件二資通安全檢測同意書,由
    機關設備管理人員協助完成檢測:
(一)出國前
      1.公務配發資通訊設備僅安裝公務需用且為官方合法授權之穩定版
        本軟體;且不得下載、安裝或使用危害國家資通安全產品。
      2.公務配發資通訊設備應確實套用政府組態基準(Government
        Configuration Baseline, GCB) 或機關自訂之組態基準,並記
        錄例外項目。
      3.公務配發資通訊設備應安裝防毒軟體並確認病毒碼更新至最新版
        ,並執行全機掃描;確認資通訊設備之作業系統及各項軟體更新
        至最新穩定版本,勿使用已停止更新版本。
      4.自有或公務配發資通訊設備應預設以純文字瀏覽電子郵件,並關
        閉自動預覽、讀取窗格及自動下載圖片等有潛在風險之功能。
      5.公務配發資通訊設備建議安裝機關提供之虛擬私人網路(VPN)
        及虛擬桌面基礎設施(VDI) 等強化連線安全之軟體。
      6.公務配發資通訊設備及儲存媒體應備份其所儲存之資料於安全之
        儲存設備及場所。
(二)出國期間
      1.倘有連網需求,應使用漫遊上網;當地無提供漫遊服務者,應使
        用來源可信任之 SIM  卡或 eSIM 服務,且不得連線任何公共場
        所(包含會議場地及洽公場所)提供之有線及無線網路。
      2.於確保可安全連網時,應即時更新各項軟體及防毒軟體病毒碼。
      3.公務配發資通訊設備連線公務資通系統及公務雲端資通服務,建
        議使用 VDI、VPN 或其他適宜之防護措施。
      4.與機關進行資料傳遞宜用公務電子郵件傳輸,並應加密機敏資料
        (如使用壓縮軟體加密或其他適當方式),另以其他安全管道傳
        遞密碼。
      5.避免將公務資料存放於自有儲存媒體、非公務機關配置之雲端儲
        存空間或未限制存取權限之網路共用資料夾。
      6.資通訊設備如有遭駭疑慮,應即關閉設備或關閉對外網路通訊,
        並通知機關及留存紀錄;若帳密疑似外洩,應立即變更密碼。
      7.公務配發資通訊設備及儲存媒體應限於公務使用,並妥善保管;
        如有遺失或遭竊,應立即通知機關,並記錄遺失或遭竊時間、所
        遺失或遭竊資通訊設備及儲存媒體、所儲存之資料清單,另評估
        能否使用端點管理功能清除所遺失資通訊設備上儲存資料。
(三)返國後
      1.公務配發資通訊設備及儲存媒體應交予設備管理人員完成資通安
        全檢測,檢查是否有連線惡意中繼站紀錄或存在惡意程式,並確
        認連線行為留有稽核軌跡等。
      2.公務配發資通訊設備及儲存媒體如發現連線惡意中繼站紀錄或存
        在惡意程式,設備管理人員應完成稽核紀錄備份,並應保留日誌
        至少六個月,以備日後事件查察所需,並評估透過格式化或恢復
        原廠設定等方式清除設備上之所有資料。

五、進階管理措施
    重要人員前往高資安風險地區,有儲存公務資料或用於公務聯絡之需
    要時,應攜帶機關配發臨時使用且恢復原廠設定(以下簡稱臨時配發
    )之資通訊設備及儲存媒體;不得攜帶公務配發之資通訊設備及儲存
    媒體,或存有公務資料,用於公務聯絡之自有資通訊設備及儲存媒體
    。機關就臨時配發之資通訊設備及儲存媒體,應依前點管理措施辦理
    且採行下列管理措施,並依附件一檢核一般管理措施及進階管理措施
    之項目:
(一)出國前
      1.臨時配發資通訊設備建議安裝端點管理或啟用相關服務。
      2.臨時配發資通訊設備應例外開放使用網頁瀏覽無痕模式或其他不
        儲存瀏覽紀錄、網站資料及表單輸入之模式。
      3.行前設立臨時電子郵件及點對點加密功能之通訊軟體(如
        Signal、Juiker  及 WhatsApp 等)帳號,並於公務完成返國後
        刪除。
      4.機敏業務資料應於出境前完成備份並加密儲存(如使用保密設備
        或利用壓縮軟體加密)。
(二)出國期間
      1.於入境海關期間保持手機關機或啟用飛航模式,以免國際行動用
        戶識別碼(IMSI)資訊遭竊;各項資通訊產品任何時候都應隨身
        攜帶,並採用通過安全檢驗之充電裝置,避免以通用序列匯流排
        (USB) 連接任何來路不明資通訊設備或資料儲存媒體,或將連
        接手機之傳輸線接至不可信任之設備進行充電或檔案移轉。
      2.臨時配發資通訊設備瀏覽網站時,應使用網頁瀏覽無痕模式或其
        他不儲存瀏覽紀錄、網站資料及表單輸入之模式。
      3.與國內支援單位通聯時,宜使用支援點對點加密功能之通訊軟體
        ,且勿使用真實姓名聯繫,並應檢查有無異常登入手機、電子郵
        件或通訊軟體等情形。
      4.臨時配發手機應僅儲存當次行程所必要之人員通訊錄。
      5.所攜機敏業務資料無使用需求後即刪除。
      6.臨時配發資通訊設備如有遺失或遭竊時,評估能否使用端點管理
        功能清除所遺失資通訊設備之資料,並將設備恢復原廠設定。
(三)返國後:臨時配發之資通訊設備及儲存媒體交由各機關設備管理人
      員檢測後,除發現連線惡意中繼站紀錄或存在惡意程式情形,須留
      存證據及保留日誌之情形外,應還原至出廠設定後,重設臨時配發
      密碼,方可移至他用。

六、機關為防護行動裝置相關之資安威脅,對行動裝置之規劃、部署、維
    運、控制及監督機制導入,可參考國家資通安全研究院發布之「行動
    裝置資安防護資安參考指引」。

立法理由:
圖表附件: