2007年版
A.16資訊安全事故管理 A.13
控制目標 A.16.1 資訊安全事故及改善之管理 B.10.2 A.13.1 A.13.2
控制項
A.16.1.1 (I/P) (*)
A.16.1.2 (I/P) (*)
通報資訊 安全事件
應循適切之管理管道,儘速通報
資訊安全事件。 B.10.2.1 A.13.1.1
A.16.1.3 (I/P)
A.16.1.4 (I/P)
A.16.1.5 (I/P)
A.16.1.6 (I/P)
A.16.1.7 (I/P)
實作指引
一、資訊安全事故及改善之管理(A.16.1)
(一)責任及程序(A.16.1.1)
應建立管理責任及程序,以確保對資訊安全事故做迅速、
有效及有序之回應。
應建立處理資訊安全事件之作業程序,並課予相關人員必 要的責任,以便迅速有效處理機關資訊安全事件。
如「資通安全事件通報及應變辦法」進行資通安全事件通 報及應變程序。資訊安全事件的反應與處理作業的程序包括:
1.針對各項資訊安全事件,進行適當的處理程序;資訊安全事 件可能包括:
(1)電腦當機及中斷服務。
(2)惡意的程式碼。
(3)阻斷服務。
(4)業務資料不完整,或是資料不正確導致的作業錯誤。
(5)機密性資料遭侵犯。
(6)資訊系統的不當使用。
2.除正常的應變計畫外(如系統及服務回復作業),資訊安全 事件之處理程序尚宜納入:
(1)導致資訊安全事件原因之分析,與資訊安全事件之控 管。
(2)封鎖措施。
(3)防止類似事件再發生之補救措施的規劃及執行。
(4)與使用者及其他受影響的人員,或是負責系統回復的人 員進行溝通及瞭解。
(5)回報處理情形至權責單位。
同時導入資安管理制度與個資管理制度於施行時可參考下 列保護實作指引:
組織宜有能力提供對隱私事故組織化且有效的反應 (response)處理,宜發展並實行隱私事故應變計畫。
(二)通報資訊安全事件(A.16.1.2)
應循適切管理管道,儘速通報資訊安全事件,單位宜:
1.建立資訊安全事件的正式通報程序及管道,訂定接受資訊安 全事件通報宜採行之行動及措施。
2.相關人員宜確實明瞭各種資訊安全事件的反應及報告程序。
同時導入資安管理制度與個資管理制度於施行時可參考下 列保護實作指引:
涉及個人資料之安全事件通報宜符合相關要求事項,事故 發生時宜對事故細節資訊通報相關權責機關。
(三)通報資訊安全弱點(A.16.1.3)
應要求使用資訊系統及服務之員工及承包者,注意並通報 任何系統或服務中所觀察到或可疑之資訊安全弱點,單位宜:
1.如發現或懷疑有資訊安全事件時(包括系統有安全漏洞、受 威脅、系統弱點及功能不正常事件等),宜依已訂定之通報 管道迅速通報權掌人員立即處理。
2.所有員工及承包者宜將這些事件儘快通報連絡點,以防止資 訊安全事故。通報機制宜儘可能容易、可利用及可取得。
3.系統安全上的弱點,宜由專業人員處理,不宜任由系統使用 者自行修改。
(四)資訊安全事件評估及決策(A.16.1.4)
應評鑑資訊安全事件,並決定是否將其歸類為資訊安全事 故。
聯絡窗口宜使用已協議之資訊安全事件分級準則評估通報 之資訊安全事件,並決定是否將其歸類為會造成營運異常或中 斷,或是影響服務對象業務、權益或造成損害之資訊安全事 故。
事件處理人員宜藉由事件之分類分級與優先順序訂定等過 程來識別事故之衝擊及範圍。同時為未來參照及查證之目的,
宜詳細記錄評鑑及決策之結果。
(五)對資訊安全事故之回應(A.16.1.5)
應依文件化程序,回應資訊安全事故。
宜由施行單位指定之連絡點及其他相關人員回應資訊安全 事故。必要時,宜舉行後事故分析以識別事故之來源。回應宜 包括下列項目:
1.發生後儘快收集證據。
2.實施資訊安全鑑識分析。
3.確保適當地存錄涉及之回應活動,以作日後之分析。
4.處理導致或促成該事故之資訊安全弱點。
5.若已成功地處理事故,正式地結案並記錄之。
(六)由資訊安全事故中學習(A.16.1.6)
應使用獲自分析及解決資訊安全事故之知識,以降低未來 事故之可能性及衝擊。
監控並記錄事件的過程與結果,必要時進行檢討會議,討 論改善之事宜。
關於資訊安全事件的發生過程與記錄,宜針對整體資訊安 全事件進行監控並記錄,向管理階層提報,並視事件的嚴重性 進行檢討會議,討論改善事宜。
(七)證據之收集(A.16.1.7)
組織應定義及應用程序,以識別、蒐集、取得及保存可用 作證據之資訊。
電腦稽核軌跡及相關的證據,應以適當的方法保護,以利 於下列作業:
1.作為機關內部分析問題之依據。
2.作為研析是否違反契約或是違反單位資訊安全規定的證據。
3.作為與軟體及硬體供應商,協商補償之依據。
宜依據「政府機關(構)資安事件數位證據保全標準作業 程序」或相關證據保全作業規範,進行數位證據之蒐集與保 存。