跳到主要內容
網站顏色切換 深色模式
進階搜尋
關閉搜尋
:::

資通安全責任等級分級應辦事項-其他

本項規定係因應未來科技發展所保留多元作業方式之彈性公務機關或特定非公務機關針對特定之技術如有認定之需要,可以個案方式提出由主管機關與中央目的事業主管機關認定。

C級機關如無核心資通系統,應辦事項中針對核心資通系統之項目則無須辦理。

核心資通系統不論是委外或自行維運,皆須導入CNS27001及相關安全性檢測。

依資通安全責任等級分級辦法之規定,C級以上機關ISMS導入的範圍為「全部核心資通系統」,不因系統是否在雲端機房有所不同。

雲端服務同樣可取得ISO27001驗證,機關如需使用雲端服務,請選擇通過ISO 27001驗證之雲端服務商。

A、B、C級機關之核心資通系統,不論其屬IT或OT皆應依分級辦法附表1至6之規定,辦理安全性檢測。

惟中央目的事業主管機關得就特定類型資通系統之防護基準認有另為規定之必要者,自行擬定防護基準(詳參分級辦法第11條第2項後段)。

資通安全健診對於使用者端電腦惡意活動檢視並無明確比例之規定,原則上檢測範圍為全機關,機關如囿於經費,可將部分非從事核心業務之使用者電腦,分年完成使用者電腦檢測 ,惟檢測週期不宜逾2年。

另建議機關單位正副主管以上及機要人員、資訊單位同仁、委外廠商駐點人員、維護機關核心資通系統之承辦同仁等電腦,應加強檢測頻率,以利及早掌握資安威脅狀態。

依施行細則第七條規定之核心資通系統,係指滿足任一條件者(支持核心業務運作必要之系統、或資通系統防護需求等級為高),都為核心資通系統 ,核心資通系統的擇選範圍以應用系統為原則。

如該資通系統屬由其他機關(含上級機關)提供之共用性系統,則由該資通系統之主責設置、維護或開發機關判斷是否屬於核心資通系統(系統防護需求分級亦同),本原則並已列示於分級辦法附表一至六之備註一。

  • 一、同等或以上效用之資訊安全管理系統或標準係指資安法納管對象針對其特殊事業領域已有國際或國內慣用之特定資通安全管理系統標準,且效用同等或高於CNS27001或ISO27001者。
  • 二、有關公正第三方係指通過我國標準法主管機關(經濟部)委託機構(財團法人全國認證基金會,TAF)認證之機構,可至TAF官網之「認證名錄」查詢「管理系統驗證機構」(https://www.taftw.org.tw/directory/scheme/msv/
  • 三、考量第三方驗證作業之公正性及獨立性,機關如委外辦理ISMS輔導及驗證時,輔導案及驗證案之服務契約,應分別招標。

機關內部資安稽核應涵蓋全機關,非僅限資訊單位,另建議先擬定整體稽核計畫,確認各單位之稽核頻率、稽核委員組成及稽核發現之後續追蹤管考機制等。

針對無建置資通系統之單位,稽核重點可針對同仁對資通系統之使用行為、社交工程演練落實情形及資安意識訓練等。

未核定變更前,機關仍應依現行之資安責任等級辦理,主管機關原則於收文兩周內完成核定,請機關依函復結果辦理相關事宜。

有關不同地點備份,宜朝「不遭受同一風險或事件影響」的方向考量,目前並未設置距離要求;有關距離建議,機關亦可參考「102年我國電腦機房異地備援機制參考指引」中異地備份/備援機制提及之主機房與異地備援機房之距離應距離30公里以上做為參考依據,以期在發生地震等區域性毀損時,仍能夠保存完整之備份資料及縮短回復時間。

各機關於日常維運資通系統時,應訂定日誌之記錄時間週期及留存政策,並保留日誌至少6個月,其保存項目建議如下:

  1. 作業系統日誌(OS event log)
  2. 網站日誌(web log)
  3. 應用程式日誌(AP log)
  4. 登入日誌(logon log)

另為確保資通安全事件發生時,各機關所保有跡證足以進行事件根因分析,相關日誌紀錄建議定期備份至與原日誌系統不同之實體,詳參國家資通安全研究院網站發布之「資通系統防護基準驗證實務」2.2.1.記錄事件章節之內容(https://www.nics.nat.gov.tw/CommonSpecification?lang=zh)。

  • 一、依資通安全責任等級分級辦法,A、B級公務機關應於初次受核定或等級變更後1年內,依主管機關公告之項目,完成GCB導入作業,並持續維運。
  • 二、主管機關如有公告新增項目,A、B級公務機關應於公告1年內,完成新增項目GCB之導入。
  • 一、公務機關VANS導入範圍以全機關之資訊資產為原則,有關支持核心業務持續運作相關之資通系統主機與電腦應於規定時限內完成導入;關鍵基礎設施提供者VANS之導入範圍至少應涵蓋關鍵資訊基礎設施及營運持續運作必要相關資通系統。
  • 二、有關資訊資產上傳頻率,除重大弱點通報或大量資產異動外,每個月至少定期上傳1次,機關如採系統化介接方式,可增加上傳頻率;並應針對發現弱點設定修補期限,未修補前應加強防護及異常偵測,以確保弱點管理之即時性及有效性。
  • 三、機關發現高風險以上之弱點,應即時完成修補;於完成修補前,應規劃緩解措施及管理作為,加強監控,降低資安風險,相關改善措施及弱點處置方式應於一週內至VANS系統填寫。
  • 一、「資訊資產」係指伺服器主機及使用者電腦之作業系統及應用程式等軟體資訊 。
  • 二、導入VANS之資訊資產盤點資料,為彙總性之盤點資料,僅含比對所需之必要欄位資訊,包含「資產名稱」、「資產廠商」、「資產版本」及「數量」等。
  • 三、提交作業流程可參考國家資通安全研究院網站-VANS專區(https://www.nics.nat.gov.tw/Vans?lang=zh)之實作訓練數位教材,教材內容包含資訊資產盤點、正規化、資產登錄等相關作業。
21筆資料,第1/2頁,
返回頁面頂端