資通安全責任等級分級辦法應辦事項-其他
雲端服務同樣可取得CNS 27001或ISO 27001等驗證,機關如需使用雲端服務,請選擇通過ISMS驗證之雲端服務商。
A、B、C級機關之核心資通系統,不論其屬IT或OT,皆應依資通安全責任等級分級辦法附表一至六之規定,辦理安全性檢測。
惟特定非公務機關之中央目的事業主管機關得就特定類型資通系統之防護基準認有另為規定之必要者,得自行擬訂防護基準(詳參資通安全責任等級分級辦法第11條第2項後段)。
資通安全健診對於使用者端電腦惡意活動檢視並無明確比例之規定,原則上檢測範圍為全機關,機關如囿於經費,可將部分非從事核心業務之使用者電腦,分年完成使用者電腦檢測 ,惟檢測週期不宜逾2年。
另建議機關單位正副主管以上及機要人員、資訊單位同仁、委外廠商駐點人員、維護機關核心資通系統之承辦同仁等電腦,應加強檢測頻率,以利及早掌握資安威脅狀態。
依資安法施行細則第七條規定之核心資通系統,係指滿足任一條件者(支持核心業務持續運作必要之系統、或資通系統防護需求等級為高),都為核心資通系統,核心資通系統的擇選範圍以應用系統為原則。
如該資通系統屬由其他機關(含上級機關)提供之共用性系統,則由該資通系統之主責設置、維護或開發機關判斷是否屬於核心資通系統(系統防護需求分級亦同),本原則並已列示於資通安全責任等級分級辦法附表一至六之備註一。
一、同等或以上效果之資訊安全管理系統或標準,係指資安法納管對象針對其特殊事業領域已有國際或國內慣用之特定資訊安全管理系統標準,且效果同等或高於CNS 27001或ISO 27001者。
二、有關公正第三方係指通過我國標準法主管機關(經濟部)委託機構(財團法人全國認證基金會,TAF)認證之機構,可至TAF官網之「認證名錄」查詢「管理系統驗證機構」(https://www.taftw.org.tw/directory/scheme/msv)。
三、考量第三方驗證作業之公正性及獨立性,機關如委外辦理ISMS輔導及驗證時,輔導案及驗證案之服務契約,應分別招標。
考量資安法納管對象為全機關,並確保內部稽核有效性,機關內部資安稽核範圍應涵蓋機關資通安全維護計畫之適用範圍,而非僅限資訊單位,另建議先擬定整體稽核計畫,確認各單位之稽核頻率、稽核委員組成及稽核發現之後續追蹤管考機制等。
針對無建置資通系統之單位,稽核重點可針對同仁對資通系統之使用行為、社交工程演練落實情形及資安意識訓練等。
有關不同地點備份,宜朝「不遭受同一風險或事件影響」的方向考量,目前並未設置距離要求;有關距離建議,機關亦可參考「我國電腦機房異地備援機制參考指引」中,異地備份/備援機制提及之主機房與異地備援機房之距離應距離30公里以上,做為參考依據,以期在發生地震等區域性毀損時,仍能夠保存完整之備份資料及縮短回復時間。
各機關於日常維運資通系統時,應訂定日誌之記錄時間週期及留存政策,並保留日誌至少6個月,其保存項目建議如下:
- 作業系統日誌(OS event log)
- 網站日誌(web log)
- 應用程式日誌(AP log)
- 登入日誌(logon log)
另為確保資通安全事件發生時,各機關所保有跡證足以進行事件根因分析,相關日誌紀錄建議定期備份至與原日誌系統不同之實體,詳參國家資通安全研究院網站發布之「資通系統防護基準驗證實務」2.2.1.記錄事件章節之內容(https://www.nics.nat.gov.tw/cybersecurity_resources/reference_guide/Common_Standards/)。
一、依資通安全責任等級分級辦法,A、B級公務機關應於初次受核定或等級變更後1年內,依主管機關公告之項目,完成GCB導入作業,並持續維運。
二、主管機關如有公告新增項目,A、B級公務機關應於公告1年內,完成新增項目GCB之導入。
三、GCB係規範資通訊終端設備的一致性安全設定,套用原則為專版專用,各機關導入GCB時,應充分進行測試後再套用,以避免發生預期外之狀況。各機關得依實務需求進行例外管理,並落實審核及定期檢討。
一、公務機關VANS導入範圍以全機關之資訊資產為原則,有關支持核心業務持續運作相關之資通系統主機與電腦應於規定時限內完成導入;關鍵基礎設施提供者VANS之導入範圍至少應涵蓋關鍵資訊基礎設施及營運持續運作必要相關資通系統。
二、有關資訊資產盤點資料上傳頻率,除重大弱點通報或大量資產異動外,建議每個月定期上傳1次,並應針對發現弱點設定修補期限。
三、機關發現高風險以上之弱點,應即時完成修補;弱點完成修補前,應規劃緩解措施及管理作為,加強監控、防護配套與異常偵測,確保弱點管理之即時性及有效性,以降低資安風險;相關弱點處置方式應於一週內至VANS系統填寫,並納入機關內部稽核與管理審查等機制進行管理,確認弱點改善措施之有效性。
- 一、「資訊資產」係指伺服器主機及使用者電腦之作業系統及應用程式等軟體資訊 。
- 二、導入VANS之資訊資產盤點資料,為彙總性之盤點資料,僅含比對所需之必要欄位資訊,包含「資產名稱」、「資產廠商」、「資產版本」及「數量」等。
- 三、提交作業流程可參考國家資通安全研究院網站-VANS專區(https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/VANS/)之實作訓練數位教材,教材內容包含資訊資產盤點、正規化、資產登錄等相關作業。