司法院及所屬各機關資訊安全管理要點柒、網路安全管理

二十三、本院利用公眾網路傳送資訊或進行交易處理，應評估可能之安全風險，考量資料傳輸之完整性、機密性、身分鑑別及不可否認性等安全需求，並對資料傳輸、撥接線路、網路線路與設備、對外連接介面及路由器等事項，採行妥適的安全控管措施。

二十四、本院開放外界連線作業之資訊系統，應依資料及系統之重要性及價值，採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施，防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。必要時應以代理伺服器等方式提供外界存取資料，避免外界直接進入資訊系統或資料庫存取資料。

二十五、本院與外界網路連接之網點，應以防火牆及其他必要安全設施，控管外界與機關內部網路之資料傳輸及資源存取。 司法網路由本院資訊管理處統一規劃、建置及管理，本院所屬各機關不得自行將司法網路與外界網路連接。 各機關如為服務民眾，得於公共區域建置無線上網服務，惟必需與司法網路及機關之資訊設備實體隔離。 各機關區域網路應設置於各機關辦公室內，不得設置於辦公室以外之場所。資訊設備，未經核可，不得連接司法網路及司法體系資訊系統，或擅自修改本院及所屬各機關資訊設備相關系統設定。 同仁自行攜帶之可攜式資、通訊設備（如智慧型手機）得使用無線網路服務功能，惟必需與本院司法網路實體隔離。

二十六、各機關利用網際網路公布及流通資訊，應實施資料安全等級評估，除法令另有規定者外，機密性、敏感性及未經當事人同意之個人隱私資料及文件，不得上網公布。 機關網站存有個人資料及檔案者，應加強安全保護措施，防止個人隱私資料遭不當或不法之竊取使用。

二十七、各機關採購資訊軟硬體設施，應依國家標準或權責主管機關訂定之政府資訊安全政策，研提資訊安全需求，並列入採購規格。 各機關發展及應用加密或電子簽章技術，應採用權責主管機關認可之密碼模組產品。 各機關採購密碼模組產品，應請廠商提出輸出許可或相關授權文件，確保密碼模組之安全性，並避免採購金鑰代管或金鑰回復功能之產品。