關鍵基礎設施資安防護
依行政院「國家關鍵基礎設施安全防護指導綱要」,我國關鍵基礎設施依功能屬性區分為八大領域:能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關及高科技園區(如下圖)。關鍵基礎設施之資安防護,則納為關鍵基礎設施提供者資通安全管理法法遵事項。
- 一、關鍵基礎設施提供者納管依據及指定方式
「資通安全管理法」於108年1月1日施行,納管對象包含公務機關、公營事業、關鍵基礎設施提供者及政府捐助之財團法人,其中,「關鍵基礎設施提供者」係指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報資通安全管理法之主管機關核定者。
為協助中央目的事業主管機關指定關鍵基礎設施提供者,本署(前行政院資通安全處)特訂定關鍵基礎設施提供者指定程序(以下簡稱指定程序),指定程序區分「辨識關鍵領域」、「辨識關鍵服務」、「辨識關鍵(資訊)基礎設施」及「核定關鍵基礎設施提供者」四大步驟,各步驟內之各分項工作依權責分由行政院、各中央目的事業主管機關及候選關鍵基礎設施提供者負責辦理,指定程序之指定作業流程與步驟如下圖。 - 二、國家資安聯防運作機制
行政院國家資通安全會報因應我國資安威脅加劇,連結8大關鍵基礎設施領域之主管部會,擴大建立國家資安聯防運作機制,建立8大關鍵資訊基礎設施領域及國家層級之資訊分享與分析中心(Information Sharing and Analysis Center, ISAC)、電腦緊急應變團隊(Computer Emergency Response Team, CERT)及資訊安全監控中心(Security Operation Center, SOC),由情報驅動國家政府、關鍵基礎設施主管機關及提供者三大層級,形成資安聯防與合作網路,組成國家資安聯防體系,進行資安聯防及情資分享,並聯結國際。
並定有關鍵基礎設施領域層級CERT、ISAC及SOC之實務建置指引,做為關鍵基礎設施領域層級與關鍵基礎設施提供者,於執行領域CERT、ISAC及SOC建置與維運之作業參考。各領域層級可依循本指引,再根據各領域特性,調整為各領域實務上適用之規範。 - 三、關鍵資訊基礎設施資安防護建議
為落實推動國家關鍵資訊基礎設施防護(Critical Information Infrastructure Protection, CIIP),特制定「關鍵資訊基礎設施資安防護建議」,做為關鍵基礎設施領域層級與關鍵基礎設施提供者,於訂定各該領域資安防護基準之參考。各領域層級可依循本防護建議,再根據各領域特性,調整為各領域實務上適用之規範。
- 四、關鍵基礎設施提供者之資安事件通報及受稽核義務
依「資通安全事件通報及應變辦法」第3章規定,包含關鍵基礎設施提供者在內之特定非公務機關,應於知悉資安事件後一小時內依中央目的事業主管機關指定之方式,進行資安事件通報。中央目的事業主管機關針對第一、二級資安事件,應於八小時內完成等級審核,並定期彙送資通安全管理法主管機關(數位發展部);第三、四級資安事件,應於二小時內完成等級審核,並於完成審核後一小時內將審核結果送交數位發展部。復依「資通安全管理法」第21條規定,特定非公務機關未依第18條第2項規定,於知悉資安事件時向中央目的事業主管機關進行通報,則由中央目的事業主管機關處新臺幣三十萬元以上五百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰。
依「資通安全管理法」第16條第4項規定,中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形,並應針對有缺失或待改善者,提出改善報告,送交中央目的事業主管機關。另依「特定非公務機關資通安全維護計畫實施情形稽核辦法」第3條第1項規定,數位發展部除因不可抗力因素外,應每年擇定受稽核之特定非公務機關(包括關鍵基礎設施提供者),並以現場實地稽核之方式,稽核其資通安全維護計畫實施情形。