物聯網時代 不可不知的資通安全管理法(下)
作者/林信忠
作者簡歷
作者林信忠目前服務於凌群電腦,擔任資安顧問職務。主要負責資訊安全/資訊服務/個資保護專案的規劃與執行、資訊安全產品Presale、ISO 27001認證輔導、弱點檢測滲透測試等事項,擁有CISSP、ECSAv9、CCSK、ISO 27001/20000 LAC等認證。
前言
繼上期和讀者介紹資通安全管理法、該法施行細則與資通安全責任等級分級辦法後,本期介紹另外四個子法,分別為資通安全事件通報及應變辦法、特定非公務機關資通安全維護計畫實施情形稽核辦法、資通安全情資分享辦法與公務機關所屬人員資通安全事項獎懲辦法。
法規介紹
一、資通安全事件通報及應變辦法
此辦法共分總則、公務機關資通安全事件之通報及應變、特定非公務機關資通安全事件之通報及應變、附則四個章節。
(一)、總則:
總則的重點在於依機密性、完整性與可用性的分類方式對資通安全事件實施分級,共分成四級;嚴重程度依次遞升,各級定義如下
- 第一級事件
- 非核心業務資訊遭輕微洩漏。
- 非核心業務資訊或非核心資通系統遭輕微竄改。
- 非核心業務之運作受影響或停頓,於可容忍中斷時間內回復正常運作,造成機關日常作業影響。
- 第二級事件
- 非核心業務資訊遭嚴重洩漏,或未涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。
- 非核心業務資訊或非核心資通系統遭嚴重竄改,或未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。
- 非核心業務之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作,或未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓,於可容忍中斷時間內回復正常運作。
- 第三級事件
- 未涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏,或一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。
- 未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改,或一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。
- 未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作,或涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓,於可容忍中斷時間內回復正常運作。
- 第四級事件
- 一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏,或國家機密遭洩漏。
- 一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改,或國家機密遭竄改。
- 涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作。
所謂核心業務乃指透過風險評鑑方法,識別出一旦這些業務遭受侵害將導致組織遭受嚴重打擊甚而停擺的業務。組織若發生(現)上述等級的資通安全事件必須通報,通報內容應闡明發生的機關、發生或知悉此事件的時間、事件狀況描述、等級之評估、因應事件所採取措施、支援需求評估等項目。
(二)、公務機關資通安全事件之通報及應變:本章節在於對公務機關之資通安全事件通報、審核、損害控制或復原、安全演練等要求訂立出規範。
- 事件通報:知悉資通安全事件後,1小時內。
- 事件審核:主管機關與總統府、中央一級機關之直屬機關、直轄市、縣政府縣(市)議會與五院具備審核資通安全事件等級權力,視通報單位性質與位階而定。審核機關依下列時間完成審核
- 通報為第一級或第二級資通安全事件者,於接獲後8小時內。
- 通報為第三級或第四級資通安全事件者,於接獲後2小時內。
若為非主管機關審核則須於審核後1小時內將結果通知主管機關。
前述審核結果得變更事件通報時所設定的等級。
- 損害控制或復原:
- 第一級或第二級資通安全事件者:72小時內。
- 第三級或第四級資通安全事件者:36小時內。
損害控制或復原須於1個月內依主管機關指定方式送交調查、處理及改善報告。
- 安全演練: 總統府、中央一級機關之直屬機關、直轄市與縣市議會對於其自身、所屬或監督之公務機關,須規劃及辨理資通安全演練,並將執行情形及成果送交主管機關。安全演練內容應包括
- 每半年辦理一次社交工程演練。
- 每年辦理一次資通安全事件通報及應變演練
除上述通報等四點外,公務機關須訂定資通安全事件通報與應變作業規範。通報規範應包含判定事件等級的流程與權責、損害與影響的評估、內部與外部通報流程、通報窗口及安全演練等內容。應變規範則包含應變組織、演練作業、控損機制、復原/鑑識/調查/改善機制與紀錄保全等。
(三)、特定非公務機關資通安全事件之通報及應變:
特定非公務機關規定雷同於公務機關,即通報、審核、損害控制或復原的應對對象為中央目的事業主管機關,由目的事業主管機關向主管機關(行政院)報告;當然行政院可透過目的事業主管機關對特定非公務機關提出例如修正的要求。
(四)、附則:
附則的重點在於闡明公務機關與特定非公務機關對於主管機關要求資通安全演練配合事項。
- 公務機關:須配合社交工程演練、資通安全事件通報及應變演練、網路攻防演練、情境演練等。
- 特定非公務機關:須配合網路攻防演練、情境演練等。
二、特定非公務機關資通安全維護計畫實施情形稽核辦法
本辦法羅列了主管機關(行政院)對特定非公務機關稽核的法源、要求、考量與受稽核機關配合事項等事宜,重點摘要如下
(一)、主管機關(行政院):
每季可對當年度各季受稽核之特定非公務機關以現場實地稽核之方式,稽核其資通安全維護計畫實施情形。稽核前須擬定稽核計畫,內容包含稽核之依據、目的、期間、重點領域、稽核小組組成方式、保密義務、稽核方式、基準與項目及中央目的事業主管機關協助事項。稽核計畫於稽核一個月前通知受稽機關,稽核結果報告亦於稽核後一個月內交付受稽機關。
(二)、受稽機關:
受稽機關收到稽核計畫後,可於五日內書面提出更改稽核日期的請求,該請求以1次為限。稽核時受稽機關須配合稽核前訪談與實地稽核時的查驗。如受稽事項未能當場說明、或提出證據時,事後應書面敘明理由,向主管機關提出。而當受稽機關收到稽核結果報告後需依主管機關指定方式一個月內提出改善報告並得依指定之時間與方式提出改善報告執行說明。前述改善報告與改善報告執行情形並需並送交中央目的事業主管機關。
三、資通安全情資分享辦法
為增進公務機關及特定非公務機關面對資通安全威脅及風險之應變能力,故行政院制定了這個分享辦法,該法主要規定資通安全情資分享的對象、義務、限制、注意事項等要求。甚麼叫資通安全情資呢?其對情資定義如下
(一)、資通系統之惡意偵察或情蒐活動。
(二)、資通系統之安全漏洞。
(三)、使資通系統安全控制措施無效或利用安全漏洞之方法。
(四)、與惡意程式相關之資訊。
(五)、資通安全事件造成之實際損害或可能產生的負面影響。
(六)、用以偵測、預防或因應前款情形,或降低其損害的相關措施。
(七)、其他與資通安全事件相關之技術性資訊。
只要不逾越個人、法人或團體秘密與不侵害公務機關、個人、法人權利或利益的資通安全情資,公務機關與特定非公務機關得將其分享,分享時需規劃安全維護措施。至於怎麼分享?該法規定需依照主管機關或中央目的事業主管機關指定的方式進行,萬一沒辦法依指定方式進行呢?可採書面、傳真、電子郵件、資訊系統等方法分享,這些例外地分享方法也需經過同意。
四、公務機關所屬人員資通安全事項獎懲辦法
在上期的文章中提到對特定非公務機關違規的處罰有兩項,分別為10萬~100萬(未訂定、修正、實施資通安全維護計畫)與30萬~500萬(未依規定通報資通安全),而對公務員的獎勵/懲處準則就比照此獎懲基準。
(一)、獎勵基準:
- 訂定、修正及實施資通安全維護計畫,績效優良。
- 稽核資通安全維護計畫或辦理資通安全演練,績效優良。
- 配合辦理資通安全維護計畫稽核或辦理資通安全演練,績效優良。
- 防止資通安全事件之發生,減少損害。
- 發現新型態之資通安全弱點或入侵威脅,並分享資通安全情資。
- 即時發現重大資通安全事件,並通報及應變。
- 對資通安全業務提出具體建議。
- 辦理資通安全人才培育事務,有具體貢獻。
- 辦理資通安全科技之研發、整合、應用、產學合作或產業發展事務,有具體貢獻。
- 辦理資通安全軟硬體技術規範、相關服務及審驗機制發展等事務,有具體貢獻。
- 辦理資通安全政策、法制研析或國際合作事務,有具體貢獻。
- 其他。
(二)、懲處基準:
- 未進行資通安全情資分享。
- 未訂定、修正及實施資通安全維護計畫。
- 未提出資通安全維護計畫實施情形。
- 未辦理資通安全維護計畫實施情形稽核。
- 未對資通安全維護計畫實施情形稽核結果,提出改善報告。
- 未訂定資通安全事件通報及應變機制。
- 未執行資通安全事件通報或應變作業。
- 未提出資通安全事件調查、處理及改善報告。
- 辦理資通安全業務經評定績效不良而疏導無效,情節重大。
- 其他。
而前述懲處應給予當事人申辯的機會。
建議
筆者認為本期所介紹的四個資通安全管理法子法,較為重要的應屬「資通安全事件通報及應變辦法」。讀者應依所屬機關與個人扮演的角色牢記特別是事件分級、通報、審核、損害控制/復原的時間限制,與改善報告內容的要求以避免疏失所導致的組織損失甚或個人懲處。而在資訊安全攻擊技術與手法日新月異的環境下,資通安全管理法的制定與施行為必然的結果,期盼藉由第255及257期這兩期的文章介紹讓凌群電腦的客戶對此法能更快速的了解與掌握。
參考資料
行政院資安會報資安法專區