跳到主要內容
:::
進階搜尋
:::

資通安全責任等級分級辦法應辦事項-其他

~

本項規定係因應未來科技發展所保留多元作業方式之彈性,公務機關或特定非公務機關針對特定之技術如有認定之需要,可以個案方式提出,由主管機關與中央目的事業主管機關認定。

複製連結已複製連結

C級機關如無核心資通系統,資通安全責任等級分級辦法應辦事項中針對核心資通系統之項目則無須辦理。

複製連結已複製連結
核心資通系統不論是委外或自行維運,皆須導入CNS 27001或ISO 27001等資訊安全管理系統標準,並進行相關安全性檢測。
複製連結已複製連結
依資通安全責任等級分級辦法之規定,C級以上機關ISMS導入的範圍為「全部核心資通系統」,不因系統是否在雲端機房有所不同。
雲端服務同樣可取得CNS 27001或ISO 27001等驗證,機關如需使用雲端服務,請選擇通過ISMS驗證之雲端服務商。
複製連結已複製連結

A、B、C級機關之核心資通系統,不論其屬IT或OT,皆應依資通安全責任等級分級辦法附表一至六之規定,辦理安全性檢測。

惟特定非公務機關之中央目的事業主管機關得就特定類型資通系統之防護基準認有另為規定之必要者,得自行擬訂防護基準(詳參資通安全責任等級分級辦法第11條第2項後段)。

複製連結已複製連結

資通安全健診對於使用者端電腦惡意活動檢視並無明確比例之規定,原則上檢測範圍為全機關,機關如囿於經費,可將部分非從事核心業務之使用者電腦,分年完成使用者電腦檢測 ,惟檢測週期不宜逾2年。

另建議機關單位正副主管以上及機要人員、資訊單位同仁、委外廠商駐點人員、維護機關核心資通系統之承辦同仁等電腦,應加強檢測頻率,以利及早掌握資安威脅狀態。

複製連結已複製連結

依資安法施行細則第七條規定之核心資通系統,係指滿足任一條件者(支持核心業務持續運作必要之系統、或資通系統防護需求等級為高),都為核心資通系統,核心資通系統的擇選範圍以應用系統為原則。

如該資通系統屬由其他機關(含上級機關)提供之共用性系統,則由該資通系統之主責設置、維護或開發機關判斷是否屬於核心資通系統(系統防護需求分級亦同),本原則並已列示於資通安全責任等級分級辦法附表一至六之備註一。

複製連結已複製連結

一、同等或以上效果之資訊安全管理系統或標準,係指資安法納管對象針對其特殊事業領域已有國際或國內慣用之特定資訊安全管理系統標準,且效果同等或高於CNS 27001或ISO 27001者。

二、有關公正第三方係指通過我國標準法主管機關(經濟部)委託機構(財團法人全國認證基金會,TAF)認證之機構,可至TAF官網之「認證名錄」查詢「管理系統驗證機構」(https://www.taftw.org.tw/directory/scheme/msv)。

三、考量第三方驗證作業之公正性及獨立性,機關如委外辦理ISMS輔導及驗證時,輔導案及驗證案之服務契約,應分別招標。

複製連結已複製連結

考量資安法納管對象為全機關,並確保內部稽核有效性,機關內部資安稽核範圍應涵蓋機關資通安全維護計畫之適用範圍,而非僅限資訊單位,另建議先擬定整體稽核計畫,確認各單位之稽核頻率、稽核委員組成及稽核發現之後續追蹤管考機制等。

針對無建置資通系統之單位,稽核重點可針對同仁對資通系統之使用行為、社交工程演練落實情形及資安意識訓練等。

複製連結已複製連結
未核定變更前,機關仍應依現行資通安全責任等級辦理附表一至附表八之應辦事項,主管機關原則於收文兩週內完成核定,請機關依函復結果辦理相關事宜。
複製連結已複製連結

有關不同地點備份,宜朝「不遭受同一風險或事件影響」的方向考量,目前並未設置距離要求;有關距離建議,機關亦可參考「我國電腦機房異地備援機制參考指引」中,異地備份/備援機制提及之主機房與異地備援機房之距離應距離30公里以上,做為參考依據,以期在發生地震等區域性毀損時,仍能夠保存完整之備份資料及縮短回復時間。

複製連結已複製連結

各機關於日常維運資通系統時,應訂定日誌之記錄時間週期及留存政策,並保留日誌至少6個月,其保存項目建議如下:

  1. 作業系統日誌(OS event log)
  2. 網站日誌(web log)
  3. 應用程式日誌(AP log)
  4. 登入日誌(logon log)

另為確保資通安全事件發生時,各機關所保有跡證足以進行事件根因分析,相關日誌紀錄建議定期備份至與原日誌系統不同之實體,詳參國家資通安全研究院網站發布之「資通系統防護基準驗證實務」2.2.1.記錄事件章節之內容(https://www.nics.nat.gov.tw/cybersecurity_resources/reference_guide/Common_Standards/)。

複製連結已複製連結

一、依資通安全責任等級分級辦法,A、B級公務機關應於初次受核定或等級變更後1年內,依主管機關公告之項目,完成GCB導入作業,並持續維運。

二、主管機關如有公告新增項目,A、B級公務機關應於公告1年內,完成新增項目GCB之導入。

三、GCB係規範資通訊終端設備的一致性安全設定,套用原則為專版專用,各機關導入GCB時,應充分進行測試後再套用,以避免發生預期外之狀況。各機關得依實務需求進行例外管理,並落實審核及定期檢討。

複製連結已複製連結

一、有關支持核心業務持續運作相關之資通系統主機與電腦應於規定時限內完成導入,機關如囿於經費,可考量與核心業務之關聯性、資安風險程度及資訊資產重要性等,優先擇定並分年完成導入

二、請各機關依國家資通安全研究院網站「端點偵測及應變機制(EDR)」專區公告之「資料回傳格式說明」,偵測到異常行為或惡意程式活動,並確認成為資安事件時,透過現有聯防監控資料回傳管道提交至主管機關。(網址:(https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/EDR/)。

複製連結已複製連結

現有證書要更換成具財團法人全國認證基金會(Taiwan Accreditation Foundation, TAF)標誌之證書,經詢驗證機構,主要有以下方式,請機關洽委託機構確認: 
1.機關現行證書上沒有國際認證論壇(International Accreditation Forum, IAF)認可的AB[1]標誌,如要取得TAF標誌的證書,需重新進行初次驗證。
2.機關現行證書上有IAF認可的AB標誌(但不是TAF),有2種方式可取得具TAF標誌的證書。
(1)原驗證機構進行驗證,併同年度稽核提出轉換認證單位或是增列認證單位的需求。
(2)向具有TAF認證的CB[2]申請轉證,取得TAF認證標誌證書。


註:
[1] AB:認證機構(Accreditation Body)。如TAF、UKAS等。
[2] CB:驗證機構(Certification Body)。如SGS、BSI、TUV、AFNOR、TCIC等。

複製連結已複製連結
20筆資料,第1/2頁,
確定
1 2 最後一頁