Page 63 - 捷運技術第32期

P. 63

捷運技術半年刊第 32 期 94 年 2 月 53

接著網際網路的應用普及了，為避免該連接上網際網路的通道，成為外界入侵本局企業
網路的管道，於是本局因應這項弱點建立了阻絕企業網路和網際網路間的內部防火牆，並且
在本局網際網站伺服器外架設外部防火牆，來保護本局網際網站及企業網路內電腦設備安全。
另外，電子郵件的使用也已成為現在工作上不可或缺的一環，垃圾廣告信件及電腦病毒
透過電子郵件進入企業內部的事件層出不窮，所以本局也因應電子郵件夾帶病毒的威脅，建
立了郵件過濾及掃毒的作業服務。上述所描述的是本局針對保護資訊安全作業，配合資訊發
展現況造成的資安漏洞，所採取的因應對策，基本上可歸納出，先是有資安漏洞的發生，管
理層面有實務上保護的需求，再衍生出建置對應保護措施的三階段循環。反觀本局電腦機房
的安全管理工作，由於制度的建立較早也較完善，且執行非常徹底，實體安全這部份較不會
受到整體資訊環境改變的影響，因此所產生的資安問題相對的也很少，目前本局對資訊安全
衝擊最嚴重的還是電腦病毒的危害，網路應用快速發展所導致的資訊安全問題在未來資訊充

份使用的作業環境裡，將會是個永無止盡的攻防議題。

4.2 品質系統管理的規定
資訊作業與安全的管理是否完善，仍有賴於企業內部所訂定作業程序的規定，是否足以
提供企業內部同仁於資訊環境作業時的充分參考，本局自早期成立之初，即訂定頒布電腦作
業相關規定及要點，供同仁處理資訊作業時之依據，日後並配合 ISO9001 認證作業制定本局
與電腦作業相關的品質系統管理程序書，如表 1，可做為本局同仁辦理資訊作業之準則。
表 1 捷運工程局資訊安全管理作業程序書一覽表

序號程序書編號程序書名稱
1 QSOP-J9001 電腦設備管理維護作業
(含 QI01-9001 電腦設備管理維護工作說明)
2 QSOP-J9002 電腦設備管理維護作業
3 QSOP-J9003 電腦作業申請程序
4 QSOP-J9004 電腦設備故障報修程序
5 QSOP-J9005 電腦機房管理及安全維護作業
6 QSOP-J9006 年度電腦概算編審程序
7 QSOP-J9007 電腦作業資料編碼程序
8 QSOP-J9008 便民服務自動化單一窗口網站作業規定
9 QSOP-J9009 電腦耗材管理及申請流程
10 QSOP-J9010 電子郵件信箱使用作業程序書
11 QSOP-J9011 資訊管理稽核作業

4.3 資訊安全政策
本局為配合資訊安全工作的推動，提昇同仁對資訊安全工作重要性的認知意識，制定並
頒布本局資訊安全政策，其內容如下：

建立完善資訊作業安全環境，保護捷運建設智慧財產，維持業務持續運作。
基於保護本局所擁有建設捷運工程相關專業資產，包括軟硬體設施、資料、資訊等之實
體及環境的安全，本局全體員工、相關人員及廠商均應遵循本局所訂定符合現行法令要求之
資訊安全相關措施及規範，對所保管專業資產應負妥善維護之責，杜絕資產未經授權的不當
存取、竄改、損壞、散播及洩密，以確保資產的機密性、完整性及可用性，使本局資產能提
供即時且正確的服務，維持業務的持續運作。
本局全體員工應依其職務接受資訊安全相關知識訓練，發現資訊安全事故或可疑安全弱

58 59 60 61 62 63 64 65 66 67 68