國家資通安全通報應變作業綱要第2 - 法源法律網

文章推薦指數: 80 %
投票人數:10人

(二)各級政府機關(構)發現資安事件後除應循內部程序上報外,並須於1 小時內,至通報應變網站通報登錄資安事件細節、影響等級及支援申請等資訊,並評估該事件是否影響 ... 法源法律網 回首頁 網站導覽 加入會員 會員登入 購買授權與點數 設為首頁 訂閱舊報 法源電子報 精選六法 法規查詢 法規類別 判解函釋 裁判書 起訴書 英譯法規 法學論著 法學題庫 會員專區 論著投稿 綜合查詢法學期刊論著博碩論文 國家考試升學考試 相關法條 檢視現行法規 國家資通安全通報應變作業綱要 ( 民國105年08月24日 非現行法規 ) 檢視現行法條 2 第2章整體作業 2.1行政院國家資通安全會報組織架構 本會報負責國家資通訊安全相關事項之政策諮詢審議、協調 及推動,其罳僚作業由行政院資通安全處(以下簡稱行政院 資安處)辦理,本會報下設網際防護及網際犯罪偵防等二體 系,下設相關組,組織架構如圖1。

圖1行政院國家資通安全會報組織架構圖 網際防護體系由行政院資安處主辦,負責整合資安防護資源 ,推動資安相關政策;網際犯罪偵防體系由法務部及內政部 共同主辦,負責防範網路犯罪、維護民眾隱私及促進資通訊 環境及網際內容安全等工作。

網際防護體系下之資通安全防護組由行政院資安處主責,負 責規劃、推動政府各項資通訊應用服務之安全機制,提供資 通安全技術服務,督導政府機關落實資安防護及通報應變, 辦理資安稽核及網路攻防演練,協助各機關強化資安防護工 作之完整性及有效性。

為健全我國資通安全通報應變體系,相關中央目的事業主管 機關或業務轄管機關應就轄管業務範圍,明確律定資安事件 通報應變作業程序,俾利所轄單位遵循,以有效掌握資安事 件。

2.2主管機關 應由機關之副首長兼任資安長(無副首長者由首長指派), 並設置「資通安全處理小組」,由資安長擔任召集人,負責 訂定資安事件通報應變作業計畫,執行資通安全預防、危機 通報及緊急應變處理相關措施,並納入機關(構)業務永續 運作計畫之一部分;同時亦須協助所屬機關(構)之資安事 件通報及應變處理作業,主管機關列表詳如附件。

2.3資安事件影響等級 資安事件影響等級分為4個級別,由重至輕分別為「4級 」、「3級」、「2級」及「1級」。

(一)4級事件 符合下列任一情形者,屬4級事件: 1.國家機密資料遭洩漏。

2.關鍵資訊基礎設施系統或資料遭嚴重竄改。

3.關鍵資訊基礎設施運作遭影響或系統停頓,無法於可容 忍中斷時間內回復正常運作。

(二)3級事件 符合下列任一情形者,屬3級事件: 1.密級或敏感資料遭洩漏。

2.核心業務系統或資料遭嚴重竄改;抑或關鍵資訊基礎設 施系統或資料遭輕微竄改。

3.核心業務運作遭影響或系統停頓,無法於可容忍中斷時 間內回復正常運作;抑或關鍵資訊基礎設施運作遭影響 或系統停頓,於可容忍中斷時間內回復正常運作。

(三)2級事件 符合下列任一情形者,屬2級事件: 1.核心業務(含關鍵資訊基礎設施)一般資料遭洩漏。

2.非核心業務系統或資料遭嚴重竄改;抑或核心業務系統 或資料遭輕微竄改。

3.非核心業務運作遭影響或系統停頓,無法於可容忍中斷 時間內回復正常運作;抑或核心業務運作遭影響或系統 停頓,於可容忍中斷時間內回復正常運作。

(四)1級事件 符合下列任一情形者,屬1級事件: 1.非核心業務一般資料遭洩漏。

2.非核心業務系統或資料遭輕微竄改。

3.非核心業務運作遭影響或系統停頓,於可容忍中斷時間 內回復正常運作。

2.4通報及應變作業流程 資安事件通報及應變作業流程如圖2所示,相關作業程序 請參見「第3章通報作業」及「第4章應變作業」。

圖2資安事件通報及應變作業流程 各級政府機關(構)通報資安事件或進行結案,以及主管機 關審核所屬機關(構)資安事件通報或結案時,均須至國家 資通安全通報應變網站(以下簡稱通報應變網站)登錄作業 ,該網站營運維護、資安事件通報管理、技術諮詢及支援等 服務,由本會報委託技術服務中心負責,聯繫資訊如下: (一)網址:https://www.ncert.nat.gov.tw (二)聯絡電話:(02)2733-9922(24小時專線電話) (三)傳真:(02)2733-1655 (四)電子郵件:[email protected] 依本綱要進行資安事件通報、處理及聯繫等相關作業,各級 政府機關(構)須至通報應變網站登錄並定期更新資訊主管 及資安聯絡人(至少2位,並以資安專責人員為優先)等 相關資訊;倘屬主管機關,則另須登錄並定期更新資安長及 資安審核人等相關資訊,以確保資安通報流程之順利運作。

檢視現行法條 3 第3章通報作業 3.1各級政府機關(構) (一)各級政府機關(構)通報範圍應包含自建或委外之資通訊 系統,以及委託民間興建營運後轉移( Build-Operate-Transfer,BOT)之關鍵資訊基礎設施。

(二)各級政府機關(構)發現資安事件後除應循內部程序上報 外,並須於1小時內,至通報應變網站通報登錄資安事 件細節、影響等級及支援申請等資訊,並評估該事件是否 影響其他政府機關(構)或關鍵資訊基礎設施運作,需橫 向通知本會報關鍵資訊基礎設施安全管理組相關分組。

(三)如因網路或電力中斷等事由,致使無法上網填報資安事件 ,須於發現資安事件後1小時內,與技術服務中心聯繫 ,先行提供事件細節,待網路通訊恢復正常後,仍須至通 報應變網站補登錄通報。

(四)進行資安事件處理,「4」、「3」級事件須於36小時 內完成復原或損害管制;「2」、「1」級事件須於72 小時內完成復原或損害管制。

(五)完成資安事件處理後,須至通報應變網站通報結案,並登 錄資安事件處理辦法及完成時間。

3.2主管機關 (一)主管機關(資通安全處理小組)在接獲所屬機關(構)通 報後,應主動掌握事件狀況、協助所屬機關(構)進行資 安事件應變處理,並督導事件處理過程。

如資安事件屬「 4」、「3」級事件,技術服務中心將主動通知主管機關 之資安長及資訊主管。

(二)主管機關須至通報應變網站審核所屬機關(構)資安事件 通報,並評估該事件是否影響其他政府機關(構)或關鍵 資訊基礎設施運作以及事件影響等級之合理性,視需要申 請技術支援。

如資安事件屬「4」、「3」級事件,須於 通報後2小時內完成審核;「2」、「1」級事件,須 於通報後8小時內完成審核。

(三)各級政府機關(構)完成資安事件處理後,至通報應變網 站通報結案,如資安事件屬「4」、「3」級事件,主管 機關將接獲所屬機關(構)結案申請後,須至通報應變網 站審核所屬機關(構)資安事件結案內容,並針對該資安 事件填寫所配合辦理或規劃相關作業。

3.3行政院國家資通安全會報 (一)技術服務中心依據通報機關(構)及其主管機關提供之資 訊,評估通報內容及事件等級合理性,並得視需要變更事 件等級;如主管機關未能於規定時限內完成通報審核,得 逕行複核之。

(二)主管機關申請技術支援,如資安事件屬「4」、「3」級 事件,技術服務中心須於完成複核後1小時內,派員協 助主管機關處理資安事件;「2」、「1」級事件,技術 服務中心須於完成複核後2小時內,派員協助主管機關 處理資安事件。

(三)本會報資通安全防護組應彙整各級資安事件,定期提供國 家安全會議國家資通安全辦公室;如接獲「4」、「3」 級資安事件,應通報行政院國土安全辦公室及國家安全會 議國家資通安全辦公室,俾供研析相關因應作為。

(四)如接獲「4」、「3」級資安事件通報,行政院資安處得 視狀況邀集國家安全會議國家資通安全辦公室及相關機關 (單位)召開資安防護會議,並逐級陳報至本會報召集人 決定是否召開緊急應變會議。

檢視現行法條 4 第4章應變作業 4.1各級政府機關(構) 各級政府機關(構)應建立資安事件之事前安全防護、事中 緊急應變及事後復原作業之具體機制(含BOT之關鍵資訊 基礎設施),至少須包括下列各項: (一)事前安全防護 1.應依資訊系統分級作業相關規定,判定資訊系統安全防 護等級,並據以落實資安防護基準。

2.應規劃建置資通安全整體防護環境,做好機關(構)及 BOT廠商內部資料存取控制,對於機敏文件、資料及檔 案等應採取加密或實體隔離等防護措施。

3.應訂定災害預防、緊急應變程序、復原計畫等防護措施 並定期演練,以建立緊急應變能量。

4.應依資通安全防護需要,執行入侵偵測、安全檢測及弱 點掃描等安全檢測工作,並訂定系統與資料備份管理辦 法,以做好事前防禦準備。

5.應實施安全稽核、網路監控及人員安全管理等機制,以 強化資通安全整體防護能力,降低安全威脅及災害損失 。

6.應保留資安紀錄與備份,如資訊系統屬委外(含BOT) 建置管理者,應於合約內要求承商保留相關資安紀錄。

7.應針對上述建立之資通安全防護環境及相關措施,列入 年度定期稽核項目,定期實施內部稽核,以儘早發現系 統安全弱點並完成修復補強。

8.無論自建或委外資安監控(SecurityOperation Center,SOC)服務,應配合建立監控情蒐回傳機制, 定期回傳予技術服務中心。

9.應建置並保存相關設備之系統日誌。

10.應每年定期規劃辦理資安認知教育訓練。

(二)事中緊急應變 1.應就資安事件發生原因、影響等級、可能影響範圍、可 能損失及是否需要支援等項目逐一檢討與處置,並保留 被入侵或破壞相關證據。

2.依訂定之緊急應變程序,實施緊急應變處置,並持續監 控與追蹤管制。

3.查詢通報應變網站、系統弱點(病毒)資料庫或聯絡技 術支援單位(或廠商)等方式,以尋求解決方案;如無 法解決,應迅速向主管機關或技術服務中心反應,請求 提供相關技術支援。

4.評估資安事件對業務運作造成之衝擊,並進行損害管制 。

5.視資安事件損壞程度,遵循機關(構)及BOT廠商內 部備份管理辦法,啟動備援計畫、異地備援或備援中心 等應變措施,以防止事件擴大。

6.資安事件如涉及刑責,應做好相關資料(含稽核紀錄) 保全工作,以聯繫檢警調單位協助偵查。

7.各級政府機關(構)如發生重大(「4」、「3」級) 資安事件,應主動提供相關設備系統日誌予技術服務中 心,俾提供相關協助。

(三)事後復原 1.在執行復原重建工作時,應執行環境重建、系統復原及 掃描作業,俟系統正常運作後即進行安全備份及資料復 原等相關事宜。

2.在完成復原重建工作後,應將復原過程之完整紀錄(如 資安事件原因分析及檢討改善方案、防止類似事件再次 發生之具體方案、稽核軌跡及蒐集分析相關證據等資料 ),予以建檔管制,以利爾後查考使用。

3.全面檢討網路安全措施、修補安全弱點、修正防火牆設 定等具體改善措施,以防止類似入侵或攻擊情事再度發 生,並視需要修訂應變計畫。

4.資安事件結束後,應彙整事件之歷程概述、損害情形、 後續可能影響、應變措施及強化作為等資訊,並提送「 資通安全處理小組」及本會報資通安全防護組檢討,以 強化資通安全防護機制。

4.2主管機關 主管機關(資通安全處理小組)應於資安事件處理完成後, 針對以下項目進行應變作業檢討。

(一)人力資源:檢討執行人員是否充足與適當。

(二)作業程序:檢討人員辦理通報作業的熟悉程度與程序是否 適當。

(三)事件處理:檢討人員事件應變處理措施是否適當。

(四)其他:其他須檢討事項。

4.3行政院國家資通安全會報 (一)經資安防護會議評估資安事件涉及網路犯罪相關議題時, 行政院資安處應立即協調本會報網際犯罪偵防體系邀集相 關機關(單位)組成專案小組協助處理,並於事件結束後 ,由專案小組陳報處理情形,副知本會報網際防護體系( 資通安全防護組),並要求受害機關(單位)改善。

(二)經資安防護會議評估資安事件對關鍵基礎設施(Critical Infrastructure,CI)造成威脅時,行政院資安處應立即 通知行政院國土安全辦公室啟動相關應變機制,以控管損 害。

(三)經資安防護會議評估資安事件對國家安全造成威脅時,行 政院資安處應立即通知國家安全會議國家資通安全辦公室 啟動相關應變機制,以控管損害。

法源法律網 網站導覽 |關於法源 |使用規範 |策略聯盟 |聯絡我們 法源資訊股份有限公司 LexDataInformationInc. 建議將畫面解析度設定為1024*768 台北市南京東路二段150號6樓 6F.,No.150,Sec.2,NanjingE.RD.,TaipeiCityTaiwan104,R.O.C. E-mail:[email protected]  TEL:+886-2-2509-3536  FAX:+886-2-2503-1122 著作權所有未經正式書面授權禁止重製轉載節錄敬請詳閱使用規範. 返回功能列



請為這篇文章評分?