Kategorien: Alle - 系統 - 評估 - 管理

von Yu Yi Chen Vor 1 Monat

17179

資通安全管理法

在現代數位化環境中,資通安全成為各界關注的焦點,尤其在政府機構及企業中尤為重要。機構需設立全面的資通安全維護計畫,確保系統運行安全。評估和選任合適的受託者,並要求其提供詳細的資安措施說明,成為保護機構資訊安全的關鍵步驟。這包括對資料存取及跨境傳輸的監控,以及對危害國家資通安全產品的嚴格管理和限制使用。此外,機構需聘請具備資安專業證照及豐富經驗的專家,協助進行系統安全檢測及第二線勾稽工作。

資通安全管理法

核心資通系統建置

非核心資通系統建置

檢視重點里程碑資安作為 資安專責人員協助「第二線勾稽」

系統開發遵循安全軟體開發生命週期(SSDLC) 資安專責人員協助「第二線勾稽」

資通系統籌獲各階段資安強化措施

資通系統籌獲(委外設置、開發)

評估「資通安全防護需求等級」

參考「資通系統防護基準驗證實務指引」及「資訊服務採購案之資安檢核事項」訂定各項資安要求

購案中的資訊經費5%以上估算資安經費為原則 (於內部成本分析、估價單等文件明列資安經費)

資安長核備

資通安全責任等級 分級辦法 - 附表十

系統與服務獲得

系統文件
獲得程序
系統發展生命週期委外階段
系統發展生命週期部署與維運階段
系統發展生命週期測試階段
滲透測試(高)
弱點掃描(普、中)
系統發展生命週期開發階段
源碼掃描(高)
系統發展生命週期設計階段
系統發展生命週期需求階段

識別與鑑別

非內部使用者之識別與鑑別
加密模組鑑別
鑑別資訊回饋
身分驗證管理
內部使用者之識別與鑑別

存取控制

遠端存取
最小權限
帳號管理

事件日誌與可歸責性

日誌資訊之保護
時戳及校時
日誌處理失效之回應
日誌儲存容量
日誌紀錄內容
記錄事件

營運持續計畫

系統備援
系統備份

系統與資訊完整性

軟體及資訊完整性
資通系統監控
漏洞修復

系統與通訊保護

資料儲存之安全
傳輸之機密性與完整性

(教育部)資通安全稽核計畫

關注1091126修正草案

行動應用App 基本資安自主檢測推動制度

V4.2

L3:含有交易行為之應用程式
L2:需使用者身分鑑別之應用程式
L1:無需使用者身分鑑別之應用程式

行政院及所屬各機關 行動化服務發展作業原則

第11條

通過經濟部工業局訂定行動化應用軟體之檢測項目,始得提供民眾下載使用。
本作業原則適用對象為行政院及所屬各級機關(構)、國立學校及國營事業

資通安全維護計畫 撰寫作業說明

教育機構資安驗證中心 資通安全維護計畫撰寫說明會資料

資安會報技服中心 資通安全管理法實務說明會簡報

資通安全維護計畫 範本

資通安全職能評量證書

資通安全職能評量證書效期3年,證書維護方式: 一、重新參與資安職能訓練與評量;二、參與換證評量。

檢視重點里程碑資安作為 聘外部資安專家為顧問協助

適當方式檢視受託者條件

無特別要求
1位懂資安要求的人協助選任

「資安作為」必須納入評選項目 (佔總分10%以上, 若購案中系統部分佔比不到10%則資安評分佔5%)

受託者說明履約之資安作為(廠商自我評估表) 得要求揭露資料存取實體及資料傳輸是否跨境
包含1位資安專業評選委員(符合下列1種資格) 1.主管機關認可之資安專業證照 2.從事資安實務作業3年以上 3.資安教學經驗6年以上 4.公共工程委員會公告之資訊安全委員

維運

系統維運落實資安管理措施 資安專責人員協助「第二線勾稽」 受託者之資安人員確認 履約作為符合資安規範要求

普級資通系統 得要求受託者自行稽核
中級資通系統 得對受託者稽核
高級資通系統 應對受託者稽核

資通安全專業證照清單 (關注每季更新)

TAF或國際認證機構認可之資安相關管理系統證照 Lead Auditor相關證照有效性,須提供當年度至少2次實際參與該證照內容有關之稽核經驗證明。

具敏感性或國安(含資安)疑慮之業務範疇 解釋函令

政府機關資通訊系統

教育部 - 臺灣學術網路相關系統

陸資來台投資事業

陸資資訊產業清冊

機關辦理涉及國家安全採購之 廠商資格限制條件及審查作業辦法

第2條

機關辦理涉及國家安全之採購,其不適用我國締結之條約或協定者,得於招標文件對我國或外國廠商資格訂定限制條件。(也就是對於大陸製品限制)

各機關對危害國家資通安全產品 限制使用原則

第4條(列冊管理)

對本辦法修正施行前已使用或因業務需求且無其他替代方案經主管機關核可採購之危害國家資通安全產品,應列冊管理,且應指定特定區域及特定人員使用,不得與公務網路環境介接,不得處理或儲存機關公務資訊,測試或檢驗結果應產出報告,購置理由消失或使用年限屆滿應立即銷毀。

第4條(例外核可)

必須採購或使用危害國家資通安全產品時,應具體敘明理由,經主管機關核可後,以專案方式購置。

第4條(原則限制)

除因業務需求且無其他替代方案外,不得採購及使用主管機關核定之廠商生產、研發、製造或提供之危害國家資通安全產品。

1091210修正草案

規劃

資通安全責任等級 分級辦法 - 附表三

認知與訓練

資通安全教育訓練
資訊人員 資安通識教育3時/年 資安專業訓練3時/2年
資安專職人員 資安專業訓練12時/年
一般使用者及主管 資安通識教育3時/年
資通安全專業證照 及職能訓練證書
資安職能證書2張 並維持有效性
資安專業證照2張 並維持有效性

管理面

限制使用危害國家資通安全產品
資安治理成熟度評估1次/年
業務持續運作演練1次/2年
內部資通安全稽核1次/年
資通安全專職人員2人
全部核心資通系統資訊安全管理系統導入/2年內 及通過公正第三方之驗證/3年內
資通系統分級及防護基準/年

技術面

資通安全防護啟用/1年內
防毒軟體、網路防火牆、郵件伺服器者過濾機制、入侵偵測及防禦機制(IDS/IPS)、具有對外服務之核心資通系統者應備應用程式防火牆(WAF)
端點偵測及回應機制(EDR)導入/2年內
資安弱點通報機制(VANS)導入/1年內
政府組態基準(GCB)導入/1年內
資通安全威脅偵測管理機制建置/1年內
資通安全健診1次/2年
網路架構、網路惡意活動、使用者端電腦惡意活動、伺服器主機惡意活動、目錄伺服器設定及防火牆連線設定
安全性檢測
系統滲透測試(全部核心資通系統1次/2年)
網站安全弱點檢測(全部核心資通系統1次/年)

建置

選任

資通安全管理法

資通安全管理法 常見問題

以稽核員或觀察員身份參與內部稽核、外部稽核或針對資訊系統委外廠商稽核,均可納入稽核經驗次數。
一般使用者及主管,除包含機關組織編制表內人員外,尚包含得接觸或使用機關資通系統或服務之各類人員。
非從事核心業務之使用者電腦可分年進行資安健診
辦理受託業務-受託者之選任及監督
資訊人員泛指機關資訊單位所屬人員或業務單位所屬人員並從事資通系統自行或委外開發、維運者

公務機關所屬人員 資通安全事項獎懲 辦法

平時考核、續聘參考

獎勵

懲處

資通安全情資 分享辦法

整合後發現之新型威脅情資進行分享
情資進行威脅與弱點分析及研判潛在風險
情資分享、分析、整合之安全維護措施

資通安全情資分享機制

資通安全事件通報及應變

資通安全事件 通報及應變辦法

社交工程演練、資通安全事件通報及應變演練、網路攻防演練
資通安全事件依規定時間 完成損害控制或復原作業
資通安全事件一小時內通報
資通安全事件之通報內容
資通安全事件分為四級 一般公務機密、敏感資訊 或涉及關鍵基礎設施維運 核心業務資訊遭輕微洩漏 ,即為第三級事件。

資通安全責任等級 分級辦法

依資通安全責任等級辦理附表一至附表八之事項 自行或委外開發之資通系統應依附表九原則分級 並依附表十所定資通系統防護基準執行控制措施

委外辦理資通系統之建置、維運或資通服務之提供,應考量資安

資通安全管理法 施行細則

"違反法令" 或 "知悉資通安全事件" 時 應立即通知委託機關
核心資通系統指支持核心業務持續運作必要之系統,或依資通安全責任等級分級辦法附表九資通系統防護需求分級原則判定其防護需求等級為高者。
委外選任及監督受託者應注意事項..... 受託者 "具備完善之資通安全管理措施" 或 "通過第三方驗證" 人員有 "資通安全專業證照" 或 "具有類似業務經驗資安專業"
資通安全維護計畫實施情形之稽核結果提出改善報告內容
資通安全維護計畫應包括事項

資通安全長

公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形

資通安全維護計畫實施情形/每年

資通安全維護計畫

資通安全責任等級