1
資通安全責任等級分級辦法總說明
「資通安全管理法」 (以下簡稱本法)業於一百零七年六月六日制定 公布,其施行日期由主管機關定之。依本法第七條第一項規定,主管機關 應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保 有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定 資通安全責任等級之分級。為明確規範資通安全責任等級之分級基準、等 級變更申請、義務內容、專責人員之設置及其他相關事項,以利各受規範 對象得妥適辦理資通安全維護事務,強化資通安全管理能量,爰訂定「資 通安全責任等級分級辦法」(以下簡稱本辦法),其要點如下:
一、本辦法訂定之依據。 (第一條)
二、資通安全責任等級之級別。 (第二條)
三、資通安全責任等級之提交、核定及變更程序。 (第三條)
四、資通安全責任等級分級原則及例外考量因素。 (第四條至第十條)
五、各機關應依附表規定辦理其資通安全責任等級應辦事項。 (第十一條)
六、本辦法之施行日期。 (第十二條)
2
資通安全責任等級分級辦法
條文 說明
第一條 本辦法依資通安全管理法(以 下簡稱本法)第七條第一項規定訂定 之。
明定本辦法訂定之依據。
第二條 公務機關 及特定 非 公 務機關
(以下簡稱各機關)之資通安全責任 等級,由高至低,分為 A 級、B 級、C 級、D 級及 E 級。
一、明 定 公 務 機 關 及 特 定 非 公 務 機 關
(以下簡稱各機關)之資通安全責 任等級,由高至低,分為 A 級至 E 級。
二、有關資通安全責任等級之核定方式、
區分原則及認定等級之其他考量因 素,依第三條至第十條規定為之。
第三條 主管機關應每二年核定自身資 通安全責任等級。
行政院直屬機關應每二年提交自 身、所屬或監督之公務機關及所管之 特定非公務機關之資通安全責任等 級,報主管機關核定。
直轄市、縣(市)政府應每二年提 交自身、所屬或監督之公務機關,與所 轄鄉(鎮、市)、直轄市山地原住民區 公所及其所屬或監督之公務機關之資 通安全責任等級,報主管機關核定。
直轄市及縣(市)議會、鄉(鎮、
市)民代表會及直轄市山地原住民區 民代表會應每二年提交自身資通安全 責任等級,由其所在區域之直轄市、縣
(市)政府彙送主管機關核定。
總統府、國家安全會議、立法院、
司法院、考試院及監察院應每二年核 定自身、所屬或監督之公務機關及所 管之特定非公務機關之資通安全責任 等級,送主管機關備查。
各機關因組織或業務調整,致須 變更原資通安全責任等級時,應即依 前五項規定程序辦理等級變更;有新 設機關時,亦同。
第一項至第五項公務機關辦理資 通安全責任等級之提交或核定,就公 務機關或特定非公務機關內之單位,
認有另列與該機關不同等級 之必要 者,得考量其業務性質,依第四條至第 十條規定認定之。
一、第一項明定主管機關應每二年核定 自身之資通安全責任等級。
二、基於尊重總統府、國家安全會議及 行政院以外其他四院之權限,該等 公務機關及其所屬、監督或所管之 各機關(特定非公務機關部分,例如 司法院所管之財團法人法律扶助基 金會)之資通安全責任等級,宜由其 自行認定,並於核定後送主管機關 備查即可;至於行政院直屬機關與 各 地 方 自 治 團 體 之 行政 及 立 法 機 關,主管機關應督導或協助其辦理 資通安全維護業務,該等機關及其 所屬、監督或所管之各機關之資通 安全責任等級,宜由主管機關核定,
爰分別於第二項至第五項明定各機 關資通安全責任等級之認定程序。
三、各機關之資通安全責任等級如因應 組織或業務調整,致須配合變更者,
應即依第一項至第五項規定辦理其 等級變更事宜;有新設機關時,亦應 立即辦理該機關資通安全責任等級 之認定,爰為第六項規定。
四、考量各機關可能有特定內部單位業 務性質特殊,其辦理資通安全維護 業務相較同機關之其他單位,須為 更嚴格要求之情形,此時宜單獨將 該單位之資通安全責任等級分級為 不同之處理,爰為第七項規定。
3
第四條 各機關有下列情形之一者,其 資通安全責任等級為 A 級:
一、 業務涉及國家機密。
二、 業務涉及外交、國防或國土安全 事項。
三、 業務涉及全國性民眾服務或跨公 務機關共用性資通系統之維運。
四、 業務涉及全國性民眾或公務員個 人資料檔案之持有。
五、 屬公務機關,且業務涉及全國性 之能源、水資源、通訊傳播、交 通、銀行與金融、緊急救援事項。
六、 屬關鍵基礎設施提供者,且業務 經中央目的事業主管機關考量其 提供或維運關鍵基礎設施服務之 用戶數、市場占有率、區域、可 替代性,認其資通系統失效或受 影響,對社會公共利益、民心士 氣或民眾生命、身體、財產安全 將產生災難性或非常嚴重之影 響。
七、 屬公立醫學中心。
一、明定各機關資通安全責任等級應列 為 A 級之情形。於該等情形,因其 機 關 業 務 所 涉 重 要 性或 機 敏 性 較 高,具有較高之資通安全風險,爰應 予 以 較 高 程 度 之 資 通安 全 維 護 責 任。
二、第三款所稱全國性,指含括全國之 地域範圍;所稱跨公務機關共用性 資通系統,指單一公務機關主責設 置、維護或開發伺服器、網路通訊服 務之機房設施或其他資通系統,其 餘公務機關僅為該資通系統之使用 者之情形。
三、第四款所稱全國性民眾或公務員個 人資料檔案,指含括全國地域範圍 內之絕大部分民眾或公務員之個人 資料檔案。
第五條 各機關有下列情形之一者,其 資通安全責任等級為 B 級:
一、 業務涉及公務機關捐助或研發之 敏感科學技術資訊之安全維護及 管理。
二、 業務涉及區域性、地區性民眾服 務或跨公務機關共用性資通系統 之維運。
三、 業務涉及區域性或地區性民眾個 人資料檔案之持有。
四、 屬公務機關,且業務涉及區域性 或地區性之能源、水資源、通訊 傳播、交通、銀行與金融、緊急 救援事項。
五、 屬關鍵基礎設施提供者,且業務 經中央目的事業主管機關考量其 提供或維運關鍵基礎設施服務之 用戶數、市場占有率、區域、可 替代性,認其資通系統失效或受 影響,對社會公共利益、民心士 氣或民眾生命、身體、財產安全 將產生嚴重影響。
一、明定各機關資通安全責任等級應列 為 B 級之情形。於該等情形,其機 關業務所涉重要性或機敏性雖較第 四條所定情形為低,惟亦具有相當 之資通安全風險,爰應予以相當之 資通安全維護責任。
二、第二款所稱區域性,指跨直轄市、縣
(市)之地域範圍;所稱地區性,指 單一直轄市或縣(市)之地域範圍;
所稱跨公務機關共用性資通系統,
如第四條說明二。
三、 第三款所稱區域性或地區性民眾個 人資料檔案,指含括跨直轄市、縣
(市)或單一直轄市、縣(市)地域 範圍內之絕大部分民眾之個人資料 檔案。
4
六、 屬公立區域醫院或地區醫院。
第六條 各機關維運自行或委外開發之 資通系統者,其資通安全責任等級為 C 級。
各機關 倘無第四條或第五條規定之情 形,而有維運自行或委外開發之資通系 統者,資通安全風險較有前二條所列情 形之機關為低,其資通安全責任等級應 列為C 級,爰為本條規定。
第七條 各機關自行辦理資通業務,未 維運自行或委外開發之資通系統者,
其資通安全責任等級為 D 級。
考量各機關如屬自行辦理資通業務,未 維運自行或委外開發之資通系統,其資 通安全風險較低,其資通安全責任等級 應列為 D 級,爰為本條規定。本條及第 八條所定資通業務,包含資通系統之維 運及資通服務之提供等業務。
第八條 各機關有下列情形之一者,其 資通安全責任等級為 E 級:
一、 無資通系統且未提供資通服務。
二、 屬公務機關,且其全部資通業務 由其上級或監督機 關兼辦或代 管。
三、 屬特定非公務機關,且其全部資 通業務由其中央目的事業主管機 關、中央目的事業主管機關所屬 公務機關,或中央目的事業主管 機關所管特定非公務機關兼辦或 代管。
考量各機關如無資通系統且未提供資通 服務,或全部資通業務由其上級或監督 機關、中央目的事業主管機關、中央目的 事業主管機關所屬公務機關或中央目的 事業主管機關所管特定非公務機關兼辦 或代管,其資通安全風險較第四條至第 七條所定情形更低,資通安全責任等級 應列為E 級,爰為本條規定。
第九條 各機關依第四條至前條規定,
符 合 二個 以上 之資 通 安全 責 任 等級 者,其資通安全責任等級列為其符合 之最高等級。
為避免各機關依第四條至第八條規定認 定資通安全責任等級時,可能有符合二 個以上之資通安全責任等級之情形,於 辦理其等級之提交或核定將發生疑義,
爰明定有上開情形者,應列為其符合之 最高等級。
第十條 各機關之資通安全責任等級依 前六條規定認定之。但第三條第一項 至第五項之公務機關提交或核定資通 安全責任等級時,得考量下列事項對 國家安全、社會公共利益、人民生命、
身體、財產安全或公務機關聲譽之影 響程度,調整各機關之等級:
一、 業務涉及外交、國防、國土安全、
全國性、區域性或地區性之能 源、水資源、通訊傳播、交通、
銀行與金融、緊急救援與醫院業 務者,其中斷或受妨礙。
二、 業務涉及個人資料、公務機密或 其他依法規或契約應秘密之資
有關各機關資通安全責任等級之認定,
除第四條至第八條規定外,因業務機敏 性、個人資料檔案之數量等不同因素,仍 可能有其他應考量事項,而有調整分級 之必要。為利第三條第一項至第五項之 公務機關於提交或核定資通安全責任等 級時,得有調整之彈性,爰為本條規定。
各機關資通安全責任等級之認定,原則 應依第四條至第九條規定辦理,例外則 得視實務狀況,依本條規定予以適當調 整其等級。
5
訊者,其資料、公務機密或其他 資訊之數量與性質,及遭受未經 授權之存取、使用、控制、洩漏、
破壞、竄改、銷毀或其他侵害。
三、 各機關依層級之不同,其功能受 影響、失效或中斷。
四、 其他與資通系統之提供、維運、
規模或性質相關之具體事項。
第十一條 各機關應依其資通安全責任 等級,辦理附表一至附表八之事項。
各機關自行或委外開發之資通系 統應依附表九所定資通系統防護需求 分級原則完成資通系統分級,並依附 表十所定資通系統防護基準執行控制 措施;關鍵基礎設施提供者之中央目 的事業主管機關就特定類型資通系統 之防護基準認有另為規定之必要者,
得自行擬訂防護基準,報請主管機關 核定後,依其規定辦理。
各機關辦理附表一至附表八所定 事項或執行附表十所定控制措施,因 技術限制、個別資通系統之設計、結構 或性質等因素,就特定事項或控制措 施之辦理或執行顯有困難者,得經第 三條第二項至第四項所定其等級提交 機關或同條第五項所定其等級核定機 關同意,並報請主管機關備查後,免執 行該事項或控制措施。
公務機關之資通安全責任等級為 A 級或 B 級者,應依主管機關指定之 方式,提報第一項及第二項事項之辦 理情形。
中央目的事業主管機關得要求所 管特定非公務機關,依其指定之方式 提 報 第一 項及 第二 項 事項 之 辦 理情 形。
一、 考量不同資通安全責任等級之機 關,其業務所涉範圍與機敏性等有 所不同,資通安全風險程度亦有所 差異,爰於第一項規定各機關應依 其資通安全責任等級辦理附表一 至附表八之事項,並於第二項明定 各機關自行或委外開發之資通系 統應依附表九及附表十辦理資通 系統分級及控制措施。另關鍵基礎 設施提供者之中央目的事業主管 機關考量特定類型資通系統之性 質,例如特定用途之工業控制系統
(Industrial Control Systems, ICS),
認有對之另定防護基準之必要者,
宜使其得衡酌實務需求,於充分考 量附表十所定各項控制措施於此 類系統之適用性後,自行擬訂防護 基準,並報請主管機關核定後,依 其規定辦理,爰於第二項後段明定 之。
二、 考量部分公務機關或特定非公務 機關辦理附表一至附表八所定事 項及附表十所定控制措施,可能因 技術限制、個別資通系統之設計、
結構或性質等因素而就特定事項 或控制措施之辦理或執行顯有困 難,為利實務運作之彈性,並能符 合資通安全維護之要求,爰於第三 項明定有該等情形者,經第三條第 二項至第四項之等級提交機關或 同條第五項之等級核定機關同意 並報請主管機關備查後,得免執行 該事項或控制措施。
三、 資通安全責任等級為 A 級或 B 級 之公務機關,宜強化對該等機關資 通安全維護情形之管考,爰於第四
6
項明定其應依主管機關指定之方 式,提報第一項及第二項所定事項 之辦理情形。
四、 考量特定非公務機關資通安全維 護情形之管考,宜由其中央目的事 業主管機關執行,爰為第五項規 定。
第十二條 本辦法之施行日期,由主管 機關定之。
明定本辦法之施行日期,由主管機關定 之。
7
附表一 資通安全責任等級 A 級之公務機關應辦事項
制度面向 辦理項目 辦理項目細項 辦理內容
管理面
資通系統分級及防護基準
初次受核定或等級變更後之一年內,針 對自行或委外開發之資通系統,依附表 九完成資通系統分級,並完成附表十之 控制措施;其後應每年至少檢視一次資 通系統分級妥適性。
資訊安全管理系統之導入及通 過公正第三方之驗證
初次受核定或等級變更後之二年內,全 部核心資通系統導入 CNS 27001 資訊 安全管理系統國家標準、其他具有同等 或以上效果之系統或標準,或其他公務 機關自行發展並經主管機關認可之標 準,於三年內完成公正第三方驗證,並 持續維持其驗證有效性。
資通安全專責人員 初次受核定或等級變更後之一年內,配 置四人;須以專職人員配置之。
內部資通安全稽核 每年辦理二次。
業務持續運作演練 全部核心資通系統每年辦理一次。
資安治理成熟度評估 每年辦理一次。
技術面
安全性檢測
網 站 安 全 弱 點
檢測 全部核心資通系統每年辦理二次。
系統滲透測試 全部核心資通系統每年辦理一次。
資 通 安 全 健 診
網路架構檢視
每年辦理一次。
網 路 惡 意 活 動 檢視
使 用 者 端 電 腦 惡意活動檢視 伺 服 器 主 機 惡 意活動檢視 目 錄 伺 服 器 設 定 及 防 火 牆 連 線設定檢視
資通安全威脅偵測管理機制
初次受核定或等級變更後之一年內,完 成威脅偵測機制建置,並持續維運及依 主管機關指定之方式提交監控管理資 料。
政府組態基準
初次受核定或等級變更後之一年內,依 主管機關公告之項目,完成政府組態基 準導入作業,並持續維運。
資通安全 防護
防毒軟體 初次受核定或等級變更後之一年內,完 成各項資通安全防護措施之啟用,並持 網路防火牆
8
具有郵件伺服器 者,應備電子郵 件過濾機制
續使用及適時進行軟、硬體之必要更新 或升級。
入侵偵測及防禦 機制
具有對外服務之 核 心 資 通 系 統 者,應備應用程 式防火牆
進階持續性威脅 攻擊防禦措施
認知 與訓練
資通安全 教育訓練
資通安全及資訊 人員
每年至少四名人員各接受十二小時以 上之資通安全專業課程訓練或資通安 全職能訓練。
一般使用者及主 管
每人每年接受三小時以上之一般資通 安全教育訓練。
資通安全專 業證照及職 能訓練證書
資通安全專業證 照
初次受核定或等級變更後之一年內,資 通安全專職人員總計應持有四張以上,
並持續維持證照之有效性。
資通安全職能評 量證書
初次受核定或等級變更後之一年內,資 通安全專職人員總計應持有四張以上,
並持續維持證書之有效性。
備註:
一、資通系統之性質為共用性系統者,由該資通系統之主責設置、維護或開發機關判 斷是否屬於核心資通系統。
二、「公正第三方驗證」所稱第三方,指通過我國標準法主管機關委託機構認證之機 構。
三、資通安全專職人員,指應全職執行資通安全業務者。
四、公務機關辦理本表「資通安全健診」時,除依本表所定項目、內容及時限執行外,
亦得採取經主管機關認可之其他具有同等或以上效用之措施。
五、資通安全專業證照,指由主管機關認可之國內外發證機關(構)所核發之資通安 全證照。
9
附表二 資通安全責任等級 A 級之特定非公務機關應辦事項
制度面向 辦理項目 辦理項目細項 辦理內容
管理面
資通系統分級及防護基準
初次受核定或等級變更後之一年內,針 對自行或委外開發之資通系統,依附表 九完成資通系統分級,並完成附表十之 控制措施;其後應每年至少檢視一次資 通系統分級妥適性。
資訊安全管理系統之導入及通 過公正第三方之驗證
初次受核定或等級變更後之二年內,全 部核心資通系統導入 CNS 27001 資訊安 全管理系統國家標準、其他具有同等或 以上效果之系統或標準,或其他公務機 關自行發展並經主管機關認可之標準,
於三年內完成公正第三方驗證,並持續 維持其驗證有效性。
資通安全專責人員 初次受核定或等級變更後之一年內,配 置四人。
內部資通安全稽核 每年辦理二次。
業務持續運作演練 全部核心資通系統每年辦理一次。
技術面
安全性檢測
網 站 安 全 弱 點
檢測 全部核心資通系統每年辦理二次。
系統滲透測試 全部核心資通系統每年辦理一次。
資 通 安 全 健 診
網路架構檢視
每年辦理一次。
網 路 惡 意 活 動 檢視
使 用 者 端 電 腦 惡意活動檢視 伺 服 器 主 機 惡 意活動檢視 目 錄 伺 服 器 設 定 及 防 火 牆 連 線設定檢視
資通安全威脅偵測管理機制 初次受核定或等級變更後之一年內,完 成威脅偵測機制建置,並持續維運。
資通安全 防護
防毒軟體
初次受核定或等級變更後之一年內,完 成各項資通安全防護措施之啟用,並持 續使用及適時進行軟、硬體之必要更新 或升級。
網路防火牆 具 有 郵 件 伺 服 器者,應備電子 郵件過濾機制 入 侵 偵 測 及 防 禦機制
具 有 對 外 服 務 之 核 心 資 通 系
10
統者,應備應用 程式防火牆 進 階 持 續 性 威 脅 攻 擊 防 禦 措 施
認知 與訓練
資通安全 教育訓練
資 通 安 全 及 資 訊人員
每年至少四名人員各接受十二小時以上 之資通安全專業課程訓練或資通安全職 能訓練。
一 般 使 用 者 及 主管
每人每年接受三小時以上之一般資通安 全教育訓練。
資通安全專業證照
初次受核定或等級變更後之一年內,資 通安全專責人員總計應持有四張以上,
並持續維持證照之有效性。
備註:
一、資通系統之性質為共用性系統者,由該資通系統之主責設置、維護或開發機關判 斷是否屬於核心資通系統。
二、「公正第三方驗證」所稱第三方,指通過我國標準法主管機關委託機構認證之機 構。
三、特定非公務機關辦理本表「資通安全健診」時,除依本表所定項目、內容及時限 執行外,亦得採取經中央目的事業主管機關認可之其他具有同等或以上效用之措 施。
四、特定非公務機關之中央目的事業主管機關得視實際需求,於符合本辦法規定之範 圍內,另行訂定其所管特定非公務機關之資通安全應辦事項。
五、資通安全專業證照,指由主管機關認可之國內外發證機關(構)所核發之資通安 全證照。
11
附表三 資通安全責任等級 B 級之公務機關應辦事項
制度面向 辦理項目 辦理項目細項 辦理內容
管理面
資通系統分級及防護基準
初次受核定或等級變更後之一年內,針 對自行或委外開發之資通系統,依附表 九完成資通系統分級,並完成附表十之 控制措施;其後應每年至少檢視一次資 通系統分級妥適性。
資訊安全管理系統之導入及通 過公正第三方之驗證
初次受核定或等級變更後之二年內,全 部核心資通系統導入 CNS 27001 資訊安 全管理系統國家標準、其他具有同等或 以上效果之系統或標準,或其他公務機 關自行發展並經主管機關認可之標準,
於三年內完成公正第三方驗證,並持續 維持其驗證有效性。
資通安全專責人員 初次受核定或等級變更後之一年內,配 置二人;須以專職人員配置之。
內部資通安全稽核 每年辦理一次。
業務持續運作演練 全部核心資通系統每二年辦理一次。
資安治理成熟度評估 每年辦理一次。
技術面
安全性檢測
網 站 安 全 弱 點
檢測 全部核心資通系統每年辦理一次。
系統滲透測試 全部核心資通系統每二年辦理一次。
資 通 安 全 健 診
網路架構檢視
每二年辦理一次。
網 路 惡 意 活 動 檢視
使 用 者 端 電 腦 惡意活動檢視 伺 服 器 主 機 惡 意活動檢視 目 錄 伺 服 器 設 定 及 防 火 牆 連 線設定檢視
資通安全威脅偵測管理機制
初次受核定或等級變更後之一年內,完 成威脅偵測機制建置,並持續維運及依 主管機關指定之方式提交監控管理資 料。
政府組態基準
初次受核定或等級變更後之一年內,依 主管機關公告之項目,完成政府組態基 準導入作業,並持續維運。
資通安全 防護
防毒軟體 初次受核定或等級變更後之一年內,完 成各項資通安全防護措施之啟用,並持 網路防火牆
12
具 有 郵 件 伺 服 器者,應備電子 郵件過濾機制
續使用及適時進行軟、硬體之必要更新 或升級。
入 侵 偵 測 及 防 禦機制
具 有 對 外 服 務 之 核 心 資 通 系 統者,應備應用 程式防火牆
認知 與訓練
資通安全 教育訓練
資 通 安 全 及 資 訊人員
每年至少二名人員各接受十二小時以上 之資通安全專業課程訓練或資通安全職 能訓練。
一 般 使 用 者 及 主管
每人每年接受三小時以上之一般資通安 全教育訓練。
資 通 安 全 專 業 證 照 及 職 能訓練證書
資 通 安 全 專 業 證照
初次受核定或等級變更後之一年內,資 通安全專職人員總計應持有二張以上,
並持續維持證照之有效性。
資 通 安 全 職 能 評量證書
初次受核定或等級變更後之一年內,資 通安全專職人員總計應持有二張以上,
並持續維持證書之有效性。
備註:
一、資通系統之性質為共用性系統者,由該資通系統之主責設置、維護或開發機關判 斷是否屬於核心資通系統。
二、「公正第三方驗證」所稱第三方,指通過我國標準法主管機關委託機構認證之機 構。
三、資通安全專職人員,指應全職執行資通安全業務者。
四、公務機關辦理本表「資通安全健診」時,除依本表所定項目、內容及時限執行外,
亦得採取經主管機關認可之其他具有同等或以上效用之措施。
五、資通安全專業證照,指由主管機關認可之國內外發證機關(構)所核發之資通安 全證照。
13
附表四 資通安全責任等級 B 級之特定非公務機關應辦事項
制度面向 辦理項目 辦理項目細項 辦理內容
管理面
資通系統分級及防護基準
初次受核定或等級變更後之一年內,針 對自行或委外開發之資通系統,依附表 九完成資通系統分級,並完成附表十之 控制措施;其後應每年至少檢視一次資 通系統分級妥適性。
資訊安全管理系統之導入及通 過公正第三方之驗證
初次受核定或等級變更後之二年內,全 部核心資通系統導入 CNS 27001 資訊 安全管理系統國家標準、其他具有同等 或以上效果之系統或標準,或其他公務 機關自行發展並經主管機關認可之標 準,於三年內完成公正第三方驗證,並 持續維持其驗證有效性。
資通安全專責人員 初次受核定或等級變更後之一年內,配 置二人。
內部資通安全稽核 每年辦理一次。
業務持續運作演練 全部核心資通系統每二年辦理一次。
技術面
安全性檢測
網 站 安 全 弱 點
檢測 全部核心資通系統每年辦理一次。
系統滲透測試 全部核心資通系統每二年辦理一次。
資 通 安 全 健 診
網路架構檢視
每二年辦理一次。
網 路 惡 意 活 動 檢視
使 用 者 端 電 腦 惡意活動檢視 伺 服 器 主 機 惡 意活動檢視 目 錄 伺 服 器 設 定 及 防 火 牆 連 線設定檢視
資通安全威脅偵測管理機制 初次受核定或等級變更後之一年內,完 成威脅偵測機制建置,並持續維運。
資通安全 防護
防毒軟體
初次受核定或等級變更後之一年內,完 成各項資通安全防護措施之啟用,並持 續使用及適時進行軟、硬體之必要更新 或升級。
網路防火牆 具 有 郵 件 伺 服 器者,應備電子 郵件過濾機制 入 侵 偵 測 及 防 禦機制
具 有 對 外 服 務 之 核 心 資 通 系
14
統者,應備應用 程式防火牆
認知 與訓練
資通安全 教育訓練
資 通 安 全 及 資 訊人員
每年至少二名人員各接受十二小時以 上之資通安全專業課程訓練或資通安 全職能訓練。
一 般 使 用 者 及 主管
每人每年接受三小時以上之一般資通 安全教育訓練。
資通安全專業證照
初次受核定或等級變更後之一年內,資 通安全專責人員總計應持有二張以上,
並持續維持證照之有效性。
備註:
一、資通系統之性質為共用性系統者,由該資通系統之主責設置、維護或開發機關判 斷是否屬於核心資通系統。
二、「公正第三方驗證」所稱第三方,指通過我國標準法主管機關委託機構認證之機 構。
三、特定非公務機關辦理本表「資通安全健診」時,除依本表所定項目、內容及時限 執行外,亦得採取經中央目的事業主管機關認可之其他具有同等或以上效用之措 施。
四、特定非公務機關之中央目的事業主管機關得視實際需求,於符合本辦法規定之範 圍內,另行訂定其所管特定非公務機關之資通安全應辦事項。
五、資通安全專業證照,指由主管機關認可之國內外發證機關(構)所核發之資通安 全證照。
15
附表五 資通安全責任等級 C 級之公務機關應辦事項
制度面向 辦理項目 辦理項目細項 辦理內容
管理面
資通系統分級及防護基準
初次受核定或等級變更後之一年內,針 對自行或委外開發之資通系統,依附表 九完成資通系統分級,其後應每年至少 檢視一次資通系統分級妥適性;系統等 級為「高」者,應於初次受核定或等級 變更後之二年內,完成附表十之控制措 施。
資訊安全管理系統之導入
初次受核定或等級變更後之二年內,全 部核心資通系統導入 CNS 27001 資訊 安全管理系統國家標準、其他具有同等 或以上效果之系統或標準,或其他公務 機關自行發展並經主管機關認可之標 準,並持續維持導入。
資通安全專責人員 初次受核定或等級變更後之一年內,配 置一人;須以專職人員配置之。
內部資通安全稽核 每二年辦理一次。
業務持續運作演練 全部核心資通系統每二年辦理一次。
技術面
安全性檢測
網 站 安 全 弱 點
檢測 全部核心資通系統每二年辦理一次。
系統滲透測試 全部核心資通系統每二年辦理一次。
資 通 安 全 健 診
網路架構檢視
每二年辦理一次。
網 路 惡 意 活 動 檢視
使 用 者 端 電 腦 惡意活動檢視 伺 服 器 主 機 惡 意活動檢視 目 錄 伺 服 器 設 定 及 防 火 牆 連 線設定檢視
資通安全 防護
防毒軟體
初次受核定或等級變更後之一年內,完 成各項資通安全防護措施之啟用,並持 續使用及適時進行軟、硬體之必要更新 或升級。
網路防火牆 具 有 郵 件 伺 服 器者,應備電子 郵件過濾機制
認知 與訓練
資通安全 教育訓練
資 通 安 全 及 資 訊人員
每年至少一名人員接受十二小時以上 之資通安全專業課程訓練或資通安全 職能訓練。
一 般 使 用 者 及 主管
每人每年接受三小時以上之一般資通 安全教育訓練。
16
資 通 安 全 專 業 證 照 及 職 能訓練證書
資 通 安 全 專 業 證照
資通安全專職人員總計應持有一張以 上。
資 通 安 全 職 能 評量證書
初次受核定或等級變更後之一年內,資 通安全專職人員總計應持有一張以上,
並持續維持證書之有效性。
備註:
一、資通系統之性質為共用性系統者,由該資通系統之主責設置、維護或開發機關判 斷是否屬於核心資通系統。
二、資通安全專職人員,指應全職執行資通安全業務者。
三、公務機關辦理本表「資通安全健診」時,除依本表所定項目、內容及時限執行外,
亦得採取經主管機關認可之其他具有同等或以上效用之措施。
四、資通安全專業證照,指由主管機關認可之國內外發證機關(構)所核發之資通安 全證照。
17
附表六 資通安全責任等級 C 級之特定非公務機關應辦事項
制度面向 辦理項目 辦理項目細項 辦理內容
管理面
資通系統分級及防護基準
初次受核定或等級變更後之一年內,針 對自行或委外開發之資通系統,依附表 九完成資通系統分級,其後應每年至少 檢視一次資通系統分級妥適性;系統等 級為「高」者,應於初次受核定或等級 變更後之二年內,完成附表十之控制措 施。
資訊安全管理系統之導入
初次受核定或等級變更後之二年內,全 部核心資通系統導入 CNS 27001 資訊 安全管理系統國家標準、其他具有同等 或以上效果之系統或標準,或其他公務 機關自行發展並經主管機關認可之標 準,並持續維持導入。
資通安全專責人員 初次受核定或等級變更後之一年內,配 置一人。
內部資通安全稽核 每二年辦理一次。
業務持續運作演練 全部核心資通系統每二年辦理一次。
技術面
安全性檢測
網 站 安 全 弱 點
檢測 全部核心資通系統每二年辦理一次。
系統滲透測試 全部核心資通系統每二年辦理一次。
資 通 安 全 健 診
網路架構檢視
每二年辦理一次。
網 路 惡 意 活 動 檢視
使 用 者 端 電 腦 惡意活動檢視 伺 服 器 主 機 惡 意活動檢視 目 錄 伺 服 器 設 定 及 防 火 牆 連 線設定檢視
資通安全 防護
防毒軟體
初次受核定或等級變更後之一年內,完 成各項資通安全防護措施之啟用,並持 續使用及適時進行軟、硬體之必要更新 或升級。
網路防火牆 具 有 郵 件 伺 服 器者,應備電子 郵件過濾機制
認知 與訓練
資通安全 教育訓練
資 通 安 全 及 資 訊人員
每年至少一名人員接受十二小時以上 之資通安全專業課程訓練或資通安全 職能訓練。
一 般 使 用 者 及 主管
每人每年接受三小時以上之一般資通 安全教育訓練。
18
資通安全專業證照
初次受核定或等級變更後之一年內,資 通安全專責人員總計應持有一張以上,
並持續維持證照之有效性。
備註:
一、資通系統之性質為共用性系統者,由該資通系統之主責設置、維護或開發機關判 斷是否屬於核心資通系統。
二、特定非公務機關辦理本表「資通安全健診」時,除依本表所定項目、內容及時限 執行外,亦得採取經中央目的事業主管機關認可之其他具有同等或以上效用之措 施。
三、特定非公務機關之中央目的事業主管機關得視實際需求,於符合本辦法規定之範 圍內,另行訂定其所管特定非公務機關之資通安全應辦事項。
四、資通安全專業證照,指由主管機關認可之國內外發證機關(構)所核發之資通安 全證照。
19
附表七 資通安全責任等級 D 級之各機關應辦事項
制度面向 辦理項目 辦理項目細項 辦理內容
技術面 資通安全 防護
防毒軟體
初次受核定或等級變更後之一年內,完 成各項資通安全防護措施之啟用,並持 續使用及適時進行軟、硬體之必要更新 或升級。
網路防火牆 具 有 郵 件 伺 服 器者,應備電子 郵件過濾機制 認知
與訓練
資通安全 教育訓練
一 般 使 用 者 及 主管
每人每年接受三小時以上之一般資通 安全教育訓練。
備註:特定非公務機關之中央目的事業主管機關得視實際需求,於符合本辦法規定 之範圍內,另行訂定其所管特定非公務機關之資通安全應辦事項。
20
附表八 資通安全責任等級 E 級之各機關應辦事項
制度面向 辦理項目 辦理項目細項 辦理內容 認知
與訓練
資通安全 教育訓練
一 般 使 用 者 及 主管
每人每年接受三小時以上之一般資通 安全教育訓練。
備註:特定非公務機關之中央目的事業主管機關得視實際需求,於符合本辦法規定 之範圍內,另行訂定其所管特定非公務機關之資通安全應辦事項。
21
附表九 資通系統防護需求分級原則
防護需求 等級 構面
高 中 普
機密性
發生資通安全事件致資 通系統受影響時,可能 造成未經授權之資訊揭 露,對機關之營運、資產 或信譽等方面將產生非 常 嚴 重 或 災 難 性 之 影 響。
發生資通安全事件致資 通系統受影響時,可能 造成未經授權之資訊揭 露,對機關之營運、資產 或信譽等方面將產生嚴 重之影響。
發生資通安全事件致資 通系統受影響時,可能 造成未經授權之資訊揭 露,對機關之營運、資產 或信譽等方面將產生有 限之影響。
完整性
發生資通安全事件致資 通系統受影響時,可能 造成資訊錯誤或遭竄改 等情事,對機關之營運、
資產或信譽等方面將產 生非常嚴重或災難性之 影響。
發生資通安全事件致資 通系統受影響時,可能 造成資訊錯誤或遭竄改 等情事,對機關之營運、
資產或信譽等方面將產 生嚴重之影響。
發生資通安全事件致資 通系統受影響時,可能 造成資訊錯誤或遭竄改 等情事,對機關之營運、
資產或信譽等方面將產 生有限之影響。
可用性
發生資通安全事件致資 通系統受影響時,可能 造成對資訊、資通系統 之存取或使用之中斷,
對機關之營運、資產或 信譽等方面將產生非常 嚴重或災難性之影響。
發生資通安全事件致資 通系統受影響時,可能 造成對資訊、資通系統 之存取或使用之中斷,
對機關之營運、資產或 信譽等方面將產生嚴重 之影響。
發生資通安全事件致資 通系統受影響時,可能 造成對資訊、資通系統 之存取或使用之中斷,
對機關之營運、資產或 信譽等方面將產生有限 之影響。
法律遵循性
如未確實遵循資通系統 設置或運作涉及之資通 安全相關法令,可能使 資通系統受影響而導致 資通安全事件,或影響 他人合法權益或機關執 行業務之公正性及正當 性,並使機關所屬人員 負刑事責任。
如未確實遵循資通系統 設置或運作涉及之資通 安全相關法令,可能使 資通系統受影響而導致 資通安全事件,或影響 他人合法權益或機關執 行業務之公正性及正當 性,並使機關或其所屬 人員受行政罰、懲戒或 懲處。
其他資通系統設置或運 作於法令有相關規範之 情形。
備註:資通系統之防護需求等級,以與該系統相關之機密性、完整性、可用性及法律遵循 性構面中,任一構面之防護需求等級之最高者定之。
22
附表十 資通系統防護基準
系統防護需求 分級
控制措施 高 中 普
構面 措施內容
存 取 控 制
帳號管 理
一、逾越機關所定預期 閒置時間或可使用 期限時,系統應自 動將使用者登出。
二、 應依機關規定之情 況及條件,使用資 通系統。
三、 監 控 資 通 系 統 帳 號,如發現帳號違 常使用時回報管理 者。
四、 等級「中」之所有控 制措施。
一、已逾期之臨時或緊 急帳號應刪除或禁 用。
二、 資通系統閒置帳號 應禁用。
三、 定期審核資通系統 帳號之建立、修改、
啟用、禁用及刪除。
四、 等級「普」之所有控 制措施。
建立帳號管理機制,包含 帳號之申請、開通、停用 及刪除之程序。
最小權 限
採最小權限原則,僅允許使用者(或代表使用者 行為之程序)依機關任務及業務功能,完成指派 任務所需之授權存取。
無要求。
遠端存 取
一、應監控資通系統遠端連線。
二、 資通系統應採用加密機制。
三、 資通系統遠端存取之來源應為機關已預先定 義及管理之存取控制點。
四、 等級「普」之所有控制措施。
對於每一種允許之遠端 存取類型,均應先取得授 權,建立使用限制、組態 需求、連線需求及文件 化,使用者之權限檢查作 業應於伺服器端完成。
稽 核 與 可 歸 責 性
稽核事 件
一、應定期審查稽核事件。
二、 等級「普」之所有控制措施。
一、依規定時間週期及 紀錄留存政策,保留 稽核紀錄。
二、 確保資通系統有稽 核特定事件之功能,
並決定應稽核之特 定資通系統事件。
三、 應稽核資通系統管 理者帳號所執行之 各項功能。
稽核紀 錄內容
一、資通系統產生之稽核紀錄,應依需求納入其 他相關資訊。
二、 等級「普」之所有控制措施。
資通系統產生之稽核紀 錄應包含事件類型、發生 時間、發生位置及任何與 事件相關之使用者身分 識別等資訊,並採用單一
23
日誌紀錄機制,確保輸出 格式之一致性。
稽核儲 存容量
依據稽核紀錄儲存需求,配置稽核紀錄所需之儲存容量。
稽核處 理失效 之回應
一、機關規定需要即時 通報之稽核失效事 件發生時,資通系 統應於機關規定之 時效內,對特定人 員提出警告。
二、等級「中」及「普」
之所有控制措施。
資通系統於稽核處理失效時,應採取適當之行動。
時戳及 校時
一、系統內部時鐘應依機關規定之時間週期與基 準時間源進行同步。
二、 等級「普」之所有控制措施。
資通系 統應使用系 統 內 部時鐘 產生稽核紀 錄 所 需時戳,並可以對應到世 界協調時間(UTC)或格林 威治標準時間(GMT)。
稽核資 訊之保 護
一、定期備份稽核紀錄 至與原稽核系統不 同之實體系統。
二、 等級「中」之所有控 制措施。
一、應運用雜湊或其他 適當方式之完整性 確保機制。
二、等級「普」之所有 控制措施。
對稽核紀錄之存取管理,
僅限於有權限之使用者。
營 運 持 續計畫
系統備 份
一、應將備份還原,作 為營運持續計畫測 試之一部分。
二、 應在與運作系統不 同處之獨立設施或 防火櫃中,儲存重 要資通系統軟體與 其他安全相關資訊 之備份。
三、 等級「中」之所有控 制措施。
一、應定期測試備份資 訊,以驗證備份媒 體之可靠性及資訊 之完整性。
二、 等級「普」之所有 控制措施。
一、訂 定 系 統 可 容 忍 資 料損失之時間要求。
二、 執 行 系 統 源 碼 與 資 料備份。
系統備 援
一、訂定資通系統從中斷後至重新恢復服務之可 容忍時間要求。
二、 原服務中斷時,於可容忍時間內,由備援設 備取代提供服務。
無要求。
識 別 與 鑑別
內部使 用者之 識別與 鑑別
一、對帳號之網路或本 機存取採取多重認 證技術。
二、 等級「中」及「普」
之所有控制措施。
資通系統應具備唯一識別及鑑別機關使用者(或代 表機關使用者行為之程序)之功能,禁止使用共用帳 號。
24
身分驗 證管理
一、身分驗證機制應防範自動化程式之登入或密 碼更換嘗試。
二、密碼重設機制對使用者重新身分確認後,發送 一次性及具有時效性符記。
三、等級「普」之所有控制措施。
一、使用預設密碼登入系 統時,應於登入後要 求立即變更。
二、身分驗證相關資訊不 以明文傳輸。
三、具備帳戶鎖定機制,
帳 號 登 入 進 行 身 分 驗證失敗達三次後,
至 少 十 五 分 鐘 內 不 允 許 該 帳 號 繼 續 嘗 試 登 入 或 使 用 機 關 自 建 之 失 敗 驗 證 機 制。
四、基於密碼之鑑別資通 系 統 應 強 制 最 低 密 碼複雜度;強制密碼 最 短 及 最 長 之 效 期 限制。
五、使用者更換密碼時,
至 少 不 可 以 與 前 三 次 使 用 過 之 密 碼 相 同。
六、第四點及第五點所定 措施,對非內部使用 者,可依機關自行規 範辦理。
鑑別資 訊回饋
資通系統應遮蔽鑑別過程中之資訊。
加密模 組鑑別
資通系統如以密碼進行鑑別時,該密碼應加密或 經雜湊處理後儲存。
無要求。
非內部 使用者 之識別 與鑑別
資通系統應識別及鑑別非機關使用者(或代表機關使用者行為之程序)。
系 統 與 服 務 獲 得
系統發 展生命 週期需 求階段
針對系統安全需求(含機密性、可用性、完整性),以檢核表方式進行確認。
系統發 展生命 週期設 計階段
一、根據系統功能與要求,識別可能影響系統之 威脅,進行風險分析及評估。
二、 將風險評估結果回饋需求階段之檢核項目,
並提出安全需求修正。
無要求。
系統發 展生命
一、執行「源碼掃描」安 全檢測。
一、應針對安全需求實作必要控制措施。
25
週期開 發階段
二、具備系統嚴重錯誤 之通知機制。
三、 等級「中」及「普」
之所有控制措施。
二、 應注意避免軟體常見漏洞及實作必要控制措 施。
三、 發生錯誤時,使用者頁面僅顯示簡短錯誤訊息 及代碼,不包含詳細之錯誤訊息。
系統發 展生命 週期測 試階段
一、執行「滲透測試」安 全檢測。
二、 等級「中」及「普」
之所有控制措施。
執行「弱點掃描」安全檢測。
系統發 展生命 週期部 署與維 運階段
一、於系統發展生命週期之維運階段,須注意版 本控制與變更管理。
二、 等級「普」之所有控制措施。
一、於部署環境中應針對 相關資通安全威脅,
進行更新與修補,並 關閉不必要服務及 埠口。
二、資通系統相關軟體,
不使用預設密碼。
系統發 展生命 週期委 外階段
資通系統開發如委外辦理,應將系統發展生命週期各階段依等級將安全需求
(含機密性、可用性、完整性)納入委外契約。
獲得程 序
開發、測試及正式作業環境應為區隔。 無要求。
系統文 件
應儲存與管理系統發展生命週期之相關文件。
系 統 與 通 訊 保 護
傳輸之 機密性 與完整 性
一、資通系統應採用加 密機制,以防止未 授權之資訊揭露或 偵測資訊之變更。
但傳輸過程中有替 代之實體保護措施 者,不在此限。
二、使用公開、國際機 構驗證且未遭破解 之演算法。
三、支援演算法最大長 度金鑰。
四、加密金鑰或憑證週 期性更換。
五、 伺服器端之金鑰保 管應訂定管理規範 及實施應有之安全 防護措施。
無要求。 無要求。
26
資料儲 存之安 全
靜置資訊及相關具保護 需求之機密資訊應加密 儲存。
無要求。 無要求。
系 統 與 資 訊 完 整性
漏洞修 復
一、定期確認資通系統相關漏洞修復之狀態。
二、 等級「普」之所有控制措施。
系統之漏洞修復應測試 有效性及潛在影響,並定 期更新。
資通系 統監控
一、資通系統應採用自 動化工具監控進出 之通信流量,並於 發現不尋常或未授 權之活動時,針對 該事件進行分析。
二、等級「中」之所有控 制措施。
一、監控資通系統,以 偵測攻擊與未授權 之連線,並識別資 通系統之未授權使 用。
二、 等級「普」之所有控 制措施。
發現資通系統有被入侵 跡象時,應通報機關特定 人員。
軟體及 資訊完 整性
一、應定期執行軟體與 資訊完整性檢查。
二、等級「中」之所有控 制措施。
一、使用完整性驗證工 具,以偵測未授權 變更特定軟體及資 訊。
二、使用者輸入資料合 法性檢查應置放於 應 用 系 統 伺 服 器 端。
三、發 現 違 反 完 整 性 時,資通系統應實 施機關指定之安全 保護措施。
無要求。
備註:
一、靜置資訊,指資訊位於資通系統特定元件,例如儲存設備上之狀態,或與系統相關需要保 護之資訊,例如設定防火牆、閘道器、入侵偵測、防禦系統、過濾式路由器及鑑別符內容 等資訊。
二、特定非公務機關之中央目的事業主管機關得視實際需求,於符合本辦法規定之範圍內,另 行訂定其所管特定非公務機關之系統防護基準。
