Skip to content

2026-07-03 警政資訊系統與資安實習日

🏛️ 實習單位:內政部警政署(警政資訊與資通安全)|實習前兩天(07-02~07-03)於警政署,其中 07-02 未留下對話筆記。

今天的課程集中在「中央警政資訊單位在做什麼」,從資訊系統的定位、資通安全法規、勤務電子化,一直到大型機關的網路架構觀念。以下是我整理出、可以公開分享的學習重點;涉及內部實際配置的細節不在此記錄。

今日目標

  • 了解中央警政資訊單位的核心角色與業務範疇。
  • 建立符合《資通安全管理法》的政府資安防護與事件通報框架。
  • 認識值勤應勤簿冊電子化如何結合法制保障基層權益與提升稽核品質。
  • 學習大型機關網路架構之「縱深防禦」與「維運韌性」通用設計原則。

一、警政資訊單位的角色與職責

佐證:資安治理與主管機關可對照 《資通安全管理法》第 2、3 條

座談表中防範措施中最重要的一個觀念是:警政資訊工作不是單純寫程式,而是把長官政策、法規要求、資安控管、個資保護、第一線勤務流程與系統易用性結合起來。

中央資訊單位在全國性系統中扮演統籌角色,涵蓋系統整體規劃、開發與維運、資安與稽核、前瞻應用(如 自動化輔助、行動載具應用、數據關聯分析)。因為警政資料常涉及民眾隱私(適用《個人資料保護法》)、偵查不公開(適用《刑事訴訟法》第 245 條)與跨機關查詢,系統設計必須在便利性與合規性之間取得平衡:

  • 安全與稽核機制:每次查詢均須留存 Log,包含查詢帳號、時間、目的、IP 與所查詢對象,以利事後防弊與個人資料稽核。
  • 權限最小化原則:依業務需求(Need-to-know)核給權限,避免非相關業務人員濫用系統查詢無關個資。

最值得反思的是「系統落地」的問題:電子化可以提升效率、減少紙本,但第一線巡邏、值班與突發案件常使流程難以標準化。若系統只依長官視角設計,容易造成基層負擔——因此,開發過程必須實施試辦(Pilot Run)、使用者體驗(UX)優化、教育訓練與反饋機制,以收斂系統與實際勤務的落差。

實務情境與學習反思 課堂中探討了行動警政載具之查詢介面優化與防弊設計。在實務上,為防止濫查,系統查詢常與「刑案受理編號(案號)」或「勤務表」進行關聯驗證。若無合法勤務或案號,系統會限制查詢或將該次查詢列為高風險稽核對象。這讓我知道:一個好的系統不能只有功能實現,必須將防弊稽核與業務流程進行強耦合,才能在不增加基層填寫負擔下達到安全防護。

反思:自動化工具普及後對資訊警察的角色要求 過去「會寫程式」是資訊人員的主要優勢,但隨著低代碼(Low-Code)工具與低代碼與自動化工具的普及,開發門檻已大幅降低。未來關鍵在於「架構設計能力」與「業務理解力」,即如何將警政法規、行政程序與第一線需求轉化為安全、可稽核且具備維運韌性的系統。

二、資通安全法規與防護框架

佐證:資安維護、通報與稽核可對照 《資通安全管理法》第 10、16、17 條;GCB/VANS/ZTA 見 來源索引

本節涵蓋資訊安全核心的 CIA 三要素(機密性、完整性、可用性)及其在警政系統的實務應用,並說明《資通安全管理法》下政府機關的國家級資安責任等級(A 至 E 級)與資安事件通報機制。此外,政府資安防護策略可歸納為「進不來、出不去、打不開、查得到」四大面向,並結合「零信任架構(ZTA)」進行身分、設備與信任推斷的持續驗證。

完整整理見 〈警政資訊系統與資安概念〉

三、勤務管理電子化:制度如何保障基層

佐證:若系統處理個資,須對照 《個人資料保護法》第 5、15、16 條

值勤臺應勤簿冊電子化系統於 115 年 1 月 2 日正式全面上線,代表基層員警傳統手寫簿冊時代的終結。這項變革不僅是文書的數位化,更是結合警政勤務法制與權益保障的系統性工程。

  • 解決傳統紙本痛點:過去出入登記簿、勤務分配表、工作紀錄簿等皆為紙本,多人共用時需排隊填寫,且紙本簿冊保存、歸檔耗時費力,事後統計、稽核極度困難。
  • 提升稽核品質與防竄改性(Non-repudiation):電子化後,每筆勤務登記均有時間戳記與電子簽章,無法事後隨意抽換或塗改,確保勤務紀錄的完整性與不可否認性,這對於涉及爭議案件的訴訟舉證極具法律價值。
  • 離線可用性設計(學習心得): 在今天討論中,我特別關注到如果派出所因天災或線路中斷導致無法連線中央系統時的處置。系統設計了「離線暫存機制」:前端設備(如警用平板或電腦)會使用本機加密資料庫(如加密型 SQLite)暫存值勤登入資料,並進行雜湊值鎖定,待網路回復後自動安全上傳與核驗。這保證了業務連續性,也確保基層員警不會因技術中斷而使值勤紀錄產生法律瑕疵。
  • 基層權益之法律與制度保障
    • 超勤加班費報支:配合《公務人員保障法》及行政院對公務員超勤補償的規範,電子化系統可精確記錄每次超勤分鐘數,自動於月底累計未滿 1 小時之餘數,滿 1 小時即可報支超勤加班費或換取補休,解決過去手寫時代小數點時間易被忽略的痛點。
    • 深夜危勞津貼:依據《警察勤務條例》與相關津貼規定,系統能自動核算 0 時至 6 時深夜外勤勤務之時數,作為報支深夜危勞性勤務津貼之依據,確保權益核撥之透明與準確。
  • 中央統一建置之資源最適化:相較於由各縣市警察局各自編列經費開發系統(易導致規格不一、資料孤島與地方財政負擔),由中央統一開發與維護,能大幅節省國家公帑,並確保全國基層警察勤務資料格式之一致性。

四、大型機關網路架構的通用設計原則

佐證:架構、備援、准入與日誌稽核可對照 《資通安全管理法》第 10 條ZTA 官方專區

為兼顧資訊安全與業務維運,大型公務機關的網路架構必須採用實體與邏輯隔離、縱深防禦與網路分區等通用原則,並建置 Web-AP-DB 三層式安全防禦架構。此外,系統需透過雙機備援(HA)、備份與異地備援(DR)等機制,消除單點故障(SPoF)並提升維運韌性與高可用性。

完整整理見 〈警政資訊系統與資安概念〉

五、延伸整理:警政科技的行動化、維運與治理

今天的內容還延伸出五個面向,這裡先做可公開層次的摘要,完整深度整理放在對應主題篇。(涉及實際可查項目、系統操作細節與內部配置者,一律不記錄。)

(一)警政服務行動化

警政查詢與勤務逐步從桌機走向公務配發的行動載具:把原本要回內勤、進不同系統才能查的資料,整合到單一行動平台,支援第一線盤查、交通稽查與反詐查詢。最核心的制度觀念是 「因公查詢、留痕稽核」——每一次查詢都必須有勤務或案件依據,並留下可事後檢核的紀錄;不得因好奇或私人關係查詢自己、親友或無關民眾。

(二)資料中心與智慧化維運

「機房」只是放設備的房間;「資料中心」則是一套涵蓋電力、冷卻、消防、門禁、監控、備援與資安稽核的基礎設施治理制度。在人力有限、系統與資料量持續成長的情況下,維運走向 「先標準化 → 再自動化 → 才 AI 化」,並導入 IaC(基礎設施即程式碼)讓部署一致、可版控、可稽核。完整整理見 〈警政資訊系統與資安概念〉

(三)治安資料整合與反詐騙協作

資訊系統的價值不在「查一筆資料」,而在把分散的資料整合成可分析的情資;反詐騙更是需要警察、金融、電信與網路資料的跨機關協作。影像/相片比對的定位是輔助縮小範圍、提供線索,而非直接認定嫌疑或定罪,最終仍須人工研判。完整整理見 〈科技犯罪偵查基礎〉

(四)數位警政策略與計畫治理

警政科技從「科技化」走向「智慧化」。公開的數位警政策略常以 S.M.A.R.T. 五個面向統整:Security(資安)、Mobility(行動勤務)、AI(情資與辦案)、Resilience(系統韌性與備援)、Training(數位訓練)。而科技建設不是「想做就能做」,要走完 先期作業 → 預算審查 → 建置 → 管考 的政府計畫流程。完整整理見 〈警政資訊系統與資安概念〉〈實習觀察與方法〉

(五)政府開放資料與 API 治理

公部門把資料做成 API,等於開一個自動化資料窗口:外部系統用固定網址與固定格式即可自動取得資料,不必再寄公文或人工下載。重點不是「把資料放上網」,而是先盤點哪些資料能開放(排除個資、偵查不公開與資安敏感者),經去識別化後以開放格式、機器可讀方式提供,並做好權限、流量控管與稽核。完整整理見 〈警政資訊系統與資安概念〉

法源對照

今日內容官方來源對照重點
資通安全法規與防護框架《資通安全管理法》第 10 條維護計畫第 16 條通報應變政府機關資安治理、維運、通報與應變。
個資、權限控管、稽核《個人資料保護法》第 5 條第 12 條第 15 條第 16 條最小必要、資料外洩通知、公務機關蒐集與利用。
GCB、VANS、ZTAGCB 專區GCB FAQVANS FAQZTA 專區組態基準、弱點比對與零信任驗證。
偵查不公開《刑事訴訟法》第 245 條對照筆記中「不記錄具體個案與敏感細節」的公開化原則。

完整來源集中於 法規與官方來源索引

今日收穫小結

資訊人員的工作不只是讓系統「連得通」,而是讓系統在安全、可控、可追蹤、可復原的條件下穩定運作。資安、勤務電子化、網路架構看似三個主題,其實都指向同一件事:把制度、法規、技術與第一線需求整合起來。

明日待辦

  • 複習資安法責任等級與事件分級的判準。
  • 整理三層式架構與四大防護策略的對應關係。

本日對應主題

補充筆記

本篇整理重點

  • 補實警政資訊單位在個人資料保護法與刑事訴訟法偵查不公開原則下的權限控管與 Log 稽核機制。
  • 補強 CIA 三要素定義及其在警政系統(如 110、戶役政)之具體對應。
  • 詳述《資通安全管理法》組織權責(數發部、資安署、資安院)與等級評定標準,並補齊通報與結案時限。
  • 詳述 GCB、VANS、零信任架構(ZTA)之三大支柱與三層式架構(Web-AP-DB)之防禦原理.
  • 補足值勤應勤簿冊電子化全面上線的法治基礎(公務人員保障法、警察勤務條例)、防竄改特徵,以及超勤與深夜危勞津貼核算之制度意義。
  • 釐清備份、備援、異地備援之明確定義。

主要參考來源類型

  • 中華民國法規(資通安全管理法及其施行細則、個人資料保護法、刑事訴訟法、警察勤務條例、公務人員保障法)。
  • 國際標準與技術架構(NIST SP 800-207 零信任架構、通用三層式架構設計、ISO/IEC 27001 資訊安全管理系統概念)。

後續需查證

  • 115 年 1 月 2 日為原檔載明之應勤簿冊全面電子化上線時點,實務上各地方警察局是否已完全無紙化或仍有部分雙軌並行,需視各局處實際狀況而定。

知識結構圖

本篇重點的結構示意圖:

公務機關網路縱深防禦架構與服務流向

單純筆記站:內容已去識別化,法規以官方來源為準。