〜資通安全管理機制導入現況〜 - 台中榮總

全文

(1)◎資訊安全宣導. 〜資通安全管理機制導入現況〜一、政府機關（構）全面導入資安管理機制行政院為要求各政府機關強化資安管理，建立安全的電子化政府，於民國 88 年 9 月訂頒「行政院及所屬各機關資訊安全管理要點」，並要求地方政府準用此管理要點，期能確保資料、系統、設備及網路之安全，保障民眾權益。行政院研究發展考核委員會隨後於 88 年 11 月訂頒「行政院及所屬各機關資訊安全管理規範」，行政院國家資通安全會報於 94 年 7 月 20 日發布「政府機關（構）資訊安全責任等級分級作業施行計畫」，以為各政府機關（構）實施資安管理之參考依據，並明確規劃資安責任等級分級作業流程。各政府機關（構）依其資安等級所執行之工作事項包括︰防護縱深、資安管理機制推動作業、稽核方式、資安教育訓練、專業證照、檢測機關網站安全弱點等。資安等級列為 A 級與 B 級者，已陸續通過第三方驗證機構之驗證。歷經多年努力，迄今政府機關（構）已全面導入資安管理機制。二、電信事業資通安全管理規定電信事業擁有網路、系統等資源，且因經營業務之需，留存大量的用戶個人資料，故常為不法人士覬覦的目標，但囿於電信事業尚未全面導入資通安全管理機制，致使公司業務機密及用戶資料外洩事件頻傳，造成社會信用危機。為防堵該等事件之發生，本會於 98 年 7 月 15 日首次公告「電信事業資訊安全管理作業要點」，並提供「電信事業資訊安全管理手冊」為業者內部稽核之依據。為因應政府於 99 年公告開放電信事業赴大陸地區投資電信業務之資通安全需求，以保障民眾個人資料、企業營運機密、電信網路設施及金融交易資訊等整體資通訊網路與服務之安全，本會參考國際標準化組織（International Organization for Standardization，ISO）於 97 年針對電信事業公布之資通安全管理實作指引（ISO/IEC 27011），於 99 年 6 月 2 日公告修正「電信事業資訊通訊安全管理作業要點」，並隨後公告「電信事業資通安全管理手冊」，以為業者強化資通安全管理機制之參考。三、完備資通安全管理相關法源鑒於電信事業擁有通信網路基礎建設重要資源，資通安全管理機制之導入極為重要，雖然部分規模較大之電信事業已取得 ISO/IEC 27001 驗證證書，然多數業者之實施範圍尚不夠完整。為建構政府及民間完整資安防護網，須配合增訂相關法規條文，賦予導入資通安全管理機制之法源，以要求電信事業全面落實資通安全管理機制。爰本會已分別於 103 年 8 月 22 日、104 年 11 月 13 日及 106 年 5 月 22 日修正第二類電信事業管理規則、固定通信業務管理規則、行動.

(2) 寬頻業務管理規則及第三代行動通信業務管理規則，增訂資通安全管理專章，俾利業者遵循及落實。另一方面，本會已研擬電信管理法草案，明定電信事業應訂定資通安全維護計畫，並要求使用符合資通安全標準之電信設備等義務。換言之，本會以保障使用者權益為前提，落實電信事業強化資通安全管理機制之責任，並以規劃管理與驗證稽核雙管齊下之方式，持續強化監督能量，降低電信事業資安風險。四、擴大資安管理實施範圍本會為落實電信事業執行資通安全管理，降低業者資安事件發生可能性，以保障消費者通訊權益，自 104 年起規劃、執行電信事業機房安全行政檢查實施計畫，104 年查核 7 家第二類電信事業 33 座機房、105 年查核 9 家第二類電信事業 9 座機房、106 年查核固定通信事業 16 座機房，107 年則規劃將查核行動通信事業 20 座機房。另審酌「電信事業資訊通訊安全管理作業要點」及「電信事業資通安全管理手冊」未及參考 99 年 4 月 27 日立法院三讀通過之「個人資料保護法」，加以該要點及手冊規範對象限於電信事業，傳播事業部分尚付之闕如，資通安全防護尚未臻於完備，為避免個人資料之安全維護出現漏洞，亦須針對廣電事業之資通安全管理相關規範加以補強，爰本會已規劃將於 107 年起，針對傳播事業配合研擬資通安全管理規範，俾提升傳播事業資安防護。此外，該要點及手冊對於風險管理程序及風險評估亦著墨甚少，尚須納入如 ISO/IEC 27005 標準，以確保通訊傳播事業資通訊資產遭受攻擊時，具備足夠即時維護系統正常運作及資料合法存取回復之能力。因此，本會將持續研修「通訊傳播事業資通安全管理作業要點」及「通訊傳播事業資通安全管理手冊」，以完備國內通訊傳播事業之資通安全管理機制規範。. 台中榮民總醫院關心您也提醒您!.

(3)