設備安全需求評估

對於處理個人資料設備於清查後應進行對於該等設備安全需求的評估作業，包括以 下之評估：

13.2.1 設備實體安全防護

評估設備是否需要適當的實體安全控管，例如：

13.2.1.1 是否需要實體存取預防措施：例如上鎖、加上密碼控管、專人看管、

或其他實體保護。

13.2.1.2 如設備數量較多時，應評估是否進行數量盤點及控管。

13.2.1.3 是否需要編製資訊室電腦設備開關機操作程序。

13.2.1.4 是否進行定期維護保養，確保設備的完整性及可用性。

13.2.1.5 是否進行設備及媒體的管控，資訊設備、資料或軟體，未經管理人員 同意，不得帶離辦公室。

13.2.2 電源供應系統管理需求

13.2.2.1 相關電腦設備之電源使用應依據製造廠商提供規格設置、並需防止斷 電或電力不正常導致的傷害。

13.2.2.2 緊急供電系統暨不斷電系統應由專人負責管理及制定開關機操作程 序，並定期維護保養及測試。

13.2.2.3 謹慎使用電腦延長線，避免電力無法負荷導致火災等危害安全情事。

13.2.2.4 4.電腦專用電源除資訊相關設備外，其他任何電器均不得使用。

13.2.3 電腦機房消防系統管理需求

13.2.3.1 電腦機房環控系統由專人負責。

13.2.3.2 定期維護保養及測試，確保設備的完整性及正常運作。

13.2.3.3 電腦機房消防安全緊急處理作業程序以書面記載，並定期演練及測 試。

13.2.4 設備邏輯及網路安全防護措施需求

如果設備可以接上網路、通訊網路等邏輯(非實體)通路時，應注意對於此類 網路安全的需求評估。

13.2.4.1 設備之網路安全措施。

13.2.4.2 評估設備是否需要適當的網路安全措施，例如進行適度的網路區隔，

進行相關的 NAT (Network Address Translation) 以確保 IP 位置不被外部 人員所知悉，安裝防火牆設備或設定連線端條件(固定 IP、 回撥、特 殊路由等)。

13.2.4.3 資料傳輸安全防護措施

13.2.4.4 評估此類設備在傳輸資料時，是否需要進行額外的資料保護，例如傳 輸加密、安全通道、VPN 等強化傳輸安全之防護措施。

13.2.5 資料安全防護措施

13.2.6 如果設備具備存放或短暫存放資料的能力，應評估此類設備是否需要進行資 料安全的防護包括：

13.2.6.1 資料機密性的保護需求：評估資料是否需要進行機密性的保護，例如 加密機制、設置存取控制、通行碼管制、進行資料遮罩等。

13.2.6.2 評估該等設備是否需要在送修、維修前應移除資料或以其他方式控制 不被維護廠商未授權存取。

13.2.6.3 評估該設備是否需要進行資料完整性的保護，例如避免震動、電流不 穩、資料傳輸後複核等保護。

13.2.6.4 資料可用性的保護需求：該等設備是否需要進行備分，不斷電保護及 其他確保資料可用性之防護需求。

13.2.7 設備存取權限之管制需求

如果設備可以讓多人進行存取，應評估如何進行存取權限的控管保護，包括 評估。

13.2.7.1 帳號申請作業需求，應具備帳號申請作業，確保開放該設備存取之過 程經過相關人員核准。

13.2.7.2 .帳號存取權限安全措施：例如帳號長度控管，通行碼更換頻率，通行 碼複雜度及通行碼的交付安全保護。

13.2.7.3 帳號審查作業需求：評估是否進行定期的帳號權限審查，以確保該設 備之存取權限開放均為正確。

13.2.7.4 其他防止未授權存取的安全保護需求：例如進行 OTP (One Time Password), 雙因認證等強化存取控制的作法，螢幕保護控制、Session Time Out 等對於存取控管的安全防護。

13.2.8 其他安全需求

13.2.8.1 電腦機房實施門禁安全控管。

13.2.8.2 資訊支援或維護服務人員需由資訊室人員授權並登記後，始得進出管 制區域。

13.2.8.3 電腦不使用時，應關閉結束作業或設定螢幕密碼等控制措施保護。

13.2.8.4 嚴禁安裝或下載未經授權使用或來路不明之軟體。

13.2.8.5 電腦機房及各項電腦軟、硬體設備應強化設（放）置處、所防護措 施，避免遭致水患、風災、火災等災害，造成損失。