政府機關(構) - 國家資通安全會報技術服務中心

Report
「政府機關(構)資通安全責任等級分級
作業規定」
行政院國家資通安全會報 技術服務中心
104年3月
0
大綱
緣起與目的
本次修訂重點說明
資安責任等級分級準則與執行作業
資安責任等級區分
資安責任等級應辦事項
注意事項
後續配合事項
附件:資安健診服務
1
緣起與目的(1/2)




93年:訂定「政府機關(構)資訊安全責任等級分級作業
施行計畫」,針對重要政府機關(構)建立資通安全整體
防護體系
94年:增訂各政府機關(構)依資安責任等級應執行工作
事項
98年:精進各政府機關(構)依資安責任等級應辦事項
103年:因應資通訊科技發展及資通安全威脅趨勢,進
行資安責任等級檢討與修訂
–103年9月2日召開研修規劃討論會議、 12月1日辦理修訂
說明會,與相關機關進行意見溝通與說明
–提報104年1月22日行政院國家資通安全會報(簡稱資安會
報)第27次委員會議
2
緣起與目的(2/2)
 建立國家資通安全整體防護體系,有效遏止潛在
威脅可能發動之攻擊、入侵或破壞行動
 發展政府機關(構)資通安全基本防護,強化關
鍵資訊基礎設施與涉及重要業務之資安要求
 強化公務人員資安基本認知與專業技能
 因應最新資安科技發展與資安威脅,強化應辦事
項執行內容
3
本次修訂重點說明(1/2)
修訂說明
修訂重點說明
修訂項目
調整名稱
依行政規則名稱訂定原則,修訂為「政府機關(構)資通安
全責任等級分級作業規定」
1.政府機關(構)
擴充適用對象
簡化責任等級
2.增加行政法人,及由政府委託民間興建營運後轉移(BuildOperate-Transfer, BOT)之關鍵資訊基礎設施營運單位,如
遠通電收股份有限公司、台灣高速鐵路股份有限公司、高
雄捷運股份有限公司等
因應資安威脅情勢,簡化層級以加強資安防護,調整為A、
B、C 3個等級
備註:參照行政院國土辦公室於103年12月訂定之「 國家關鍵基礎設施安全防護指導綱要 」,關鍵資訊基礎設施(Critical
Information Infrastructure,CII)係指涉及核心業務運作,為支持關鍵基礎設施持續營運所需之重要資訊系統或調
度、控制系統(Supervisory Control and Data Acquisition,SCADA),亦屬關鍵基礎設施之重要元件,應配合對應
之關鍵基礎設施統一納管。
4
本次修訂重點說明(2/2)
修訂說明
修訂重點說明
修訂項目
明定CII
責任等級
凡涉及關鍵資訊基礎設施(Critical Information Infrastructure,
CII)之營運機關構(單位),其資安責任等級列為A級
1. 行政院所屬二級機關、各直轄市政府及縣(市)政府應檢
視其所屬機關(構)(含行政法人)資安責任等級之分級及
其妥適性,並彙送行政院資安辦
核定各機關責任 2. 經行政院資安辦複核後,提請資安會報核定資通安全責
任等級
等級
3. 總統府、立法院、司法院、考試院、監察院所屬機關
(構)之資安責任等級,比照第1點規定辦理,並提請
資安會報備查
1. 參考網路攻防演練及政府機關(構)資安健診、稽核結果,
進行資安責任等級應辦事項檢討
擴增應辦事項 2. 分政策、管理、技術及認知與訓練等4個面向、10個類別,
強化應辦事項內容
5
資安責任等級分級執行作業
政府機關(構)
依據
政府機關(構)資通安全
責任等級分級作業規定
重新檢視其適用等級
資安責任等級(A、B、C)
依資安等級辦理應辦事項
資安應辦事項
6
資安責任等級分級準則(1/4)
政府機關層級
涉及外交、國防、國土安全、財政、經濟
、警政等重要業務
涉及能源、水資源、通訊傳播、交通、金融、
緊急救援與醫院、高科技園區等關鍵資訊基
礎設施業務或營運
保有全國、區域性或地區性個人資料檔案
A級 資
安
責
B級 任
等
級
C級
7
資安責任等級分級準則(2/4)
政府機關部分
政府機關層級
涉及外交、國防、
國土安全、財政、
經濟、警政業務
A級:總統府、五院及直轄市政府、五院所屬二級機關及
相當二級機關之獨立機關
B級:縣(市)政府
A級:凡涉及外交、國防、國土安全,及掌理全國財政、經
濟、警政等重要業務之機關
B級:凡涉及社會秩序及人民財產業務之機關
涉及關鍵資訊基礎
設施業務或營運
A級:負責關鍵資訊基礎設施之營運機關
保有全國、區域性或
地區性個人資料檔案
A級:保有全國性個人資料檔案之機關
B級:保有區域性或地區性個人資料檔案之機關
8
政府機關資安責任等級區分
屬性
等級
A
B
C
政府機關屬性
1. 總統府、國安會、立法院、司法院、考試院、監察院、行政院及直轄市政
府。
2. 立法院、司法院、考試院、監察院及行政院等所屬二級機關、相當二級機
關之獨立機關。但其業務或組織單純者,得報經其上級機關核准,調整為
B級或C級。
3. 凡涉及外交、國防、國土安全,及掌理全國財政、經濟、警政等重要業務
之機關,如外交部領事事務局、內政部警政署刑事警察局等。
4. 負責能源、水資源、通訊傳播、交通、金融、緊急救援、高科技園區等關
鍵資訊基礎設施之營運機關,如交通部民用航空局飛航服務總臺、臺北市
自來水事業處等。
5. 保有全國性個人資料檔案之機關,如勞動部勞工保險局、衛生福利部中央
健康保險署等。
1. 縣(市)政府。
2. 凡涉及社會秩序及人民財產業務之機關,如地方政府警察局、地方政府地
政事務所等。
3. 保有區域性或地區性個人資料檔案之機關,如財政部各區國稅局、地方政
府戶政事務所等。
其他政府機關及地方政府民意機關。
9
資安責任等級分級準則(3/4)
學術機構部分
各級學校
A級:凡涉及各相關機關委託研究具國家安全機
密性或敏感性之學校
B級:各大學
C級:各學院、專科學校及各高中職(含)以下
學校
學術研究機構
與
網路中心
B級:臺灣學術網路各區域網路中心暨各直轄市
、縣(市)教育網路中心
C級:教育部所屬研究機構
10
學術機構資安責任等級區分
屬性
學術機構屬性
等級
A
凡涉及各相關機關委託研究具國家安全機密性或敏感性之學校。
B
1. 各大學。
2. 臺灣學術網路各區域網路中心暨各直轄市、縣(市)教育網路中心。
C
1. 各學院、專科學校及各高中職(含)以下學校。
2. 教育部所屬研究機構。
11
資安責任等級分級準則(4/4)
國(公)營事業、醫療機構及其他部分
涉及外交、國防、
國土安全、財政、
經濟、警政業務
B級:國(公)營事業涉及全國或地方民生資源
等業務
涉及關鍵資訊基
礎設施業務或營
運
A級:國(公)營事業與特許機構,處理涉及能源、
水資源、通訊傳播、交通、金融等關鍵資訊基
礎設施業務者;由政府委託民間興建營運後轉
移之關鍵資訊基礎設施營運單位;醫學中心
B級:區域醫院
C級:地區醫院
保有全國、區域性
或地區性個人資料
檔案
A級:保有全國性個人資料檔案之機構
B級:保有區域性或地區性個人資料檔案之機構
12
國(公)營事業、醫療機構及其他資安
責任等級區分
屬性
國(公)營事業、醫療機構及其他單位屬性
等級
A
B
C
1. 國(公)營事業與特許機構,處理涉及能源、水資源、通訊傳播、交通、
金融等關鍵資訊基礎設施業務者,如臺灣港務股份有限公司、臺灣證券交
易所、台灣電力公司等。
2. 由政府委託民間興建營運後轉移之關鍵資訊基礎設施營運單位,如遠通電
收股份有限公司、台灣高速鐵路股份有限公司、高雄捷運股份有限公司等。
3. 醫學中心,如國立臺灣大學醫學院附設醫院、臺北榮民總醫院等。
4. 保有全國性個人資料檔案之機構,如中華郵政股份有限公司等。
1. 國(公)營事業涉及全國或地方民生資源等業務,如台灣糖業股份有限公
司等。
2. 區域醫院,如臺北市立聯合醫院、衛生福利部桃園醫院、國立臺灣大學醫
學院附設醫院雲林分院等。
3. 保有區域性或地區性個人資料檔案之機構。
1. 其他國(公)營事業機構,如金門酒廠實業股份有限公司、福建省連江縣
馬祖日報社等。
2. 地區醫院,如臺北市立關渡醫院、國立成功大學醫學院附設醫院斗六分院、
臺北榮民總醫院新竹分院等。
備註:原為國(公)營已民營化之事業、公辦民營事業、民營公用事業及政府捐助之財團法人,得由其主管(監督)機關參照
本規定,自行訂定資通安全責任等級,並依其訂定之應辦事項監督管理
13
資安責任等級應辦事項(1/3)
增修項目:以紅色字體顯示
面向
作業
名稱
政策面
資訊系統分級
管理面
ISMS推動作業
等級
A
B
C
一、全部核心資訊系
一、完成資訊系統分
統完成ISMS導入
級(104年底前)
(105年底前)
二、完成資訊系統資
二、全部核心資訊系
安防護基準要求
統通過第三方驗
(105年底前)
證(106年底前)
一、至少2項核心資訊
一、完成資訊系統分
系統完成ISMS導
級(104年底前)
入(106年底前)
二、完成資訊系統資
二、至少2項核心資訊
安防護基準要求
系統通過第三方
(105年底前)
驗證(107年底前)
依各主管機關規定
自行成立推動小組規
劃作業
資安
專責人力
稽核方式
業務持續
運作演練
每年至少辦理
指派資安
專責人力 每年至少2 1次核心資訊
系統持續運作
次內稽
2人
演練
每2年至少辦
指派資安
專責人力 每年至少1 理1次核心資
訊系統持續運
次內稽
1人
作演練
依各主管
依各主管
機關規定
機關規定
依各主管機關
規定
14
資安責任等級應辦事項(2/3)
增修項目:以紅色字體顯示
面向
作業
名稱
技術面
防護縱深
監控管理
安全性檢測
等級
A
B
C
一、防毒、防火牆、郵件過濾
裝置
二、IDS/IPS、Web應用程式防
火牆
三、APT攻擊防禦
一、防毒、防火牆、郵件過濾
裝置
二、IDS/IPS
三、Web應用程式防火牆(機
關具有對外服務之核心資
訊系統)
一、防毒
二、防火牆
三、郵件過濾裝置(機關具有
郵件伺服器)
SOC監控
(104年底前)
一. 每年至少辦理2次網站安全弱
點檢測
二. 每年至少辦理1次系統滲透測
試
三. 每年至少辦理1次資安健診
SOC監控
(105年底前)
一. 每年至少辦理1次網站安全弱
點檢測
二. 每2年至少辦理1次系統滲透測
試
三. 每2年至少辦理1次資安健診
依各主管機關
依各主管機關規定
規定
15
資安責任等級應辦事項(3/3)
增修項目:以紅色字體顯示
面向
作業
名稱
等級
認知與訓練
資安教育訓練(一般主管、資訊人員/資安
人員、一般使用者)
專業證照
A
一、每年資安人員(資訊人員)至少2人次
須接受12小時以上資安專業課程訓練
每年維持至少2張國際資安專業證照
或資安職能訓練
與2張資安職能訓練證書之有效性
二、每年一般使用者與主管至少須接受3
小時資安宣導課程並通過課程評量
B
一、每年資安人員(資訊人員)至少1人次
須接受12小時以上資安專業課程訓練
每年維持至少1張國際資安專業證照
或資安職能訓練
與1張資安職能訓練證書之有效性
二、每年一般使用者與主管至少須接受3
小時資安宣導課程並通過課程評量
C
一、依各主管機關規定資安人員(資訊人
員) 資安專業課程訓練或資安職能訓
練要求
二、每年一般使用者與主管至少須接受3
小時資安宣導課程並通過課程評量
依各主管機關規定
16
應辦事項執行時程(1/2)
年度
等級
104
105
106
107
1.
2.
3.
4.
5.
6.
A
每年至少2次內稽
每年至少辦理1次核心資訊系統持續運作演練
每年至少辦理2次網站安全弱點檢測
每年至少辦理1次系統滲透測試
每年至少辦理1次資安健診
每年資安人員(資訊人員)至少2人次須 接受12小時以上資安專業課程訓練或
資安職能訓練
7. 每年一般使用者與主管至少須接受3小時資安宣導課程並通過課程評量
8. 每年維持至少2張國際資安專業證照與2張資安職能訓練證書之有效性
1. 完成資訊系統分級
2. 指派資安專責人力2人 1. 完成資訊系統資
3. 防毒、防火牆、 郵件
安防護基準要求 全部核心資訊系
過濾裝置、IDS/IPS、 2. 全部核心資訊系 統通過第三方驗
Web應用程式防火牆、
統完成ISMS導 證
APT攻擊防禦
入
4. SOC監控
17
應辦事項執行時程(2/2)
年度
等級
B
C
104
105
106
107
1. 每年至少1次內稽
2. 每年至少辦理1次網站安全弱點檢測
3. 每年資安人員(資訊人員)至少1人次須接受12小時以上資安專業課程訓練或資安職
能訓練
4. 每年一般使用者與主管至少須接受3小時資安宣導課程並通過課程評量
5. 每年維持至少1張國際資安專業證照與1張資安職能訓練證書之有效性
1. 每2年至少辦理1次
核心資訊系統持續
1. 完成資訊系統分級
運作演練
2. 指派資安專責人力1人
2. 完成資訊系統資安
3. 防毒、防火牆、郵件過
至少2項核心 至少2項核心資
防護基準要求
濾裝置、IDS/IPS、
資訊系統完成 訊 系統通過第
3. SOC監控
Web應用程式防火牆
ISMS導入
三方驗證
4. 每2年至少辦理1次
(機關具有對外服務之
系統滲透測試、
核心資訊系統)
5. 每2年至少辦理1次
資安健診
每年一般使用者與主管至少須接受3小時資安宣導課程並通過課程評量
防毒、防火牆、郵件過濾裝置(機關具有郵件伺服器)
18
注意事項-分級規劃(1/4)

政府機關(構)符合一個以上之資安責任等級者,適用
最高等級;原則上重新分級後,不得低於原分級

中央機關於104年3月底前尚未完成組改者,原則依
組改後職掌辦理資安責任等級分級及應辦事項規劃;
惟倘業務將整併或簡化者,請暫依組改前之機關責
任等級,維持現行資安防護措施

如業務所使用之資訊系統與資料主機(伺服器)均存放
於其他機關(構),內部僅有終端使用設備,則主管機
關可審酌調整該機關(構)資安責任等級
19
注意事項-分級規劃(2/4)
 「機關資安責任等級分級表」應填報單位:
–政府機關:含中央及地方各層級政府機關與其監督之
行政法人(依政府機關OID所列)
–學術機構:含各級學校、教育網路中心及教育部所屬
研究機構
–國(公)營事業:含所有國(公)營事業(全公司視為一體)
–醫療機構:含醫學中心、區域醫院及地區醫院
–其他:含中央及地方政府委託民間BOT之CII營運單
位
20
注意事項-應辦事項(3/4)




資安會報已於99年頒布「資訊系統分類分級與鑑別機制
參考手冊」,律定機關應執行資訊系統分級作業。 有關
「資訊系統分級」之資安防護基準,預定於104年6月訂
頒相關規定
「專業證照」有關資安職能訓練部分,將依資安等級需
求安排課程,邀請機關派員參加
「資安教育訓練」,參與技術服務中心開發之數位學習
課程皆有設計評量;若是機關自行開發,建議應於訓練
課程內設計評量,以符合要求
「ISMS推動作業」之核心資訊系統係指「高」等級之資
訊系統;若機關資訊系統無「高」等級者,請將支援機
關核心業務之資訊系統納管為核心資訊系統
21
注意事項-應辦事項(4/4)

資安防護措施若已配合資訊向上集中由主管機關統
一執行者,其應辦事項中之「防護縱深」與「安全
檢測」等項目,可將主管機關執行之資安防護措施
視為機關之達成情形

「安全性檢測」之資安健診共有5大項9小項服務,
各項檢測數量不得低於共同供應契約採購規範之最
低訂購數量(詳如附件) ,但不以此為限

「安全性檢測」之網站弱點掃描與系統滲透測試,
應依風險評鑑結果(含內網與外網)與預算,自行規劃
每次檢測之電腦/設備及數量

「防護縱深」各項設備之部署數量與方式,應依實
際需求自行規劃
22
後續配合事項(1/3)
主管機關(含總統府、國家安全會議、立法院、司法院、考試院、監察
院及行政院所屬二級機關、直轄市及縣市政府)
1. 訂定所屬應填報單位提送資料時程
2. 彙送「機關資安責任等級分級表」
 資安責任等級:彙整所屬應填報單位之資安責任等級,於
104年 3月底前送行政院資安辦
 應辦事項規劃情形:彙整所屬各填報單位之應辦事項規劃
情形,於 104年6月15日前送行政院資安辦
 協調處理:針對所屬應填報單位無法依限完成之應辦事項,
提供協助處理,並督促編列相關預算
3. 本機關應辦事項請於104年度勻支經費辦理或於105年
度編列相關預算
23
後續配合事項(2/3)
非主管機關(含所屬政府機關、學術機構、國公營事業、醫療機
構及BOT之CII營運單位)
1. 填寫「機關資安責任等級分級表」
 資安責任等級:依主管機關所訂日期提送
 應辦事項規劃情形:於104年5月底前提送,若檢討經費來
源後,仍有困難者,請敘明原因與後續規劃
2. 各填報單位應辦事項請於104年度勻支經費辦理或於
105年度編列相關預算
24
後續配合事項(3/3)
機關資安責任等級分級表(範例)
*本表請至技服中心網站下載 http://www.icst.org.tw/HandoutDetail.aspx?seq=1246&lang=zh
25
報告完畢
敬請指教
26
附件:資安健診服務
項次
1
有線網
路惡意
活動檢
視
項目
內容說明
單位
網路架構檢視
針對網路架構圖進行安全性弱點檢視,檢視之項目包含設計邏輯是否合
宜、主機網路位置是否適當及現有防護程度是否足夠
針對有線網路適當位置架設側錄設備,觀察內部電腦或設備是否有對外
之異常連線或DNS查詢,並比對是否連線已知惡意IP、中繼站
(Command and Control,C&C)或有符合惡意網路行為的特徵
發現異常連線之電腦或設備需確認使用狀況與用途
封包側錄至少以6小時為原則,以觀察是否有異常連線
檢視網路與資安設備(如防火牆、入侵偵測/防護系統等)紀錄檔,分析過
濾內部電腦或設備是否有對外之異常連線紀錄
發現異常連線之電腦或設備需確認使用狀況與用途
網路設備紀錄檔分析以1個月或100 Mbyte內的紀錄為原則
針對個人電腦進行是否存在惡意程式或檔案檢視,檢視項目包含活動中
與潛藏惡意程式、駭客工具程式及異常帳號與群組
作業系統、Office 應用程式、防毒軟體、Adobe Acrobat及Adobe flash
player應用程式更新檢視
針對伺服器主機進行是否存在惡意程式或檔案檢視,檢視項目包含活動
中與潛藏惡意程式、駭客工具程式及異常帳號與群組
作業系統、Office 應用程式、防毒軟體、Adobe Acrobat及Adobe flash
player應用程式更新檢視
檢視目錄伺服器中群組的密碼設定與帳號鎖定原則,例如AD伺服器有
關群組原則(Group Policy)中之「密碼設定原則」與「帳號鎖定原則」設
定
若無AD伺服器,可以其他目錄伺服器(如LDAP)或以個別使用者端電腦
檢視方式完成「密碼設定原則」與「帳號鎖定原則」安全設定檢視(使
用者端電腦以項次3的電腦為範圍)
檢視防火牆的連線設定規則(如外網對內網、內網對外網、內網對內網)
是否有安全性弱點,確認來源與目的 IP 與通訊埠連通的適當性
網路架構
最低訂
購數量
1式
側錄設備
2台
網路設備
2台
使用者電腦
20台
伺服器主機
5台
目錄伺服器
1台
防火牆設備
1台
封包監聽與分析
2
網路設備紀錄檔分析
3
4
使用者 使用者端電腦惡意程式
端電腦
或檔案檢視
檢視
使用者電腦更新檢視
伺服器 伺服器主機惡意程式或
主機檢
檔案檢視
視
伺服器主機更新檢視
安全設 目錄伺服器(如MS AD)
定檢視 中群組的密碼設定與帳
號鎖定原則
5
防火牆連線設定
27
資通安全責任等級分級
範例說明
國家資通安全會報 技術服務中心
104年3月
大綱
 緣起
 執行方式
 個案A 分級作業方式
 個案B 分級作業方式
 結論
29
緣起
 為瞭解各機關依「政府機關(構)資通安全責
任等級分級作業規定」,推動辦理資安責任等
級分級作業時可能遭遇之問題,乃先遴選 2個
主管機關試行,俾供各主管機關執行相關作業
之參考
30
執行方式
開始 前置作業
試
行
範
作業 政府機關(構)資通安全責任等級分級作業說明
說明
圍
執行 機關自行分級
主管機關討論
分級
後
續
配
合
所屬應填報單位確認提送主管機關
確認 主管機關彙整呈核,並彙送行政院資安辦
31
個案A
32
時程
開始
104/1/21 函轉行政院「政府機關(構)資通安全責任等級
分級作業規定」
104/1/28 發文召開研商會議
作業 104/2/11
說明
執行
分級
確認
政府機關(構)資通安全責任等級分級作業說明
104/2/11 依說明討論A機關及所屬應填報單位資安責任等級
104/2/11 問題研討
104/3/11 所屬各填報單位確認並呈送A機關
104/3月底前 A機關彙整呈核,並彙送行政院資安辦
33
開始
 103年9月2日參與行政院資安辦「政府機關(構)
資通安全責任等級分級作業規定研修規劃討論
會議」後,即要求所轄管BOT營運單位先行籌
辦應辦事項相關事宜
 104年1月21日函轉行政院「政府機關(構)資
通安全責任等級分級作業規定」
 104年1月28日發會議通知,邀請所屬應填報單
位參與「政府機關(構)資通安全責任等級分
級作業規定」研商會議
34
作業說明
 於104年2月11日研商會議中,由資安會報技術
服務中心說明
− 作業規定修訂重點
− 資安責任等級分級方式與執行作業
− 分級等級之區分
− 資安責任等級應辦事項
− 注意事項
35
執行分級相關疑義(1/3)
1. 政府捐助之財團法人其分級與管理應如何辦理
− 政府捐助之財團法人,得由其主管(監督)機關參照
本規定,自行訂定資通安全責任等級,並依其訂定
之應辦事項監督管理
2. 建請將政府委託民間興建營運後轉移(BOT)之關鍵
資訊基礎設施營運單位,納入資安職能訓練,以
符作業規定
− 將納入後續規劃考量
36
執行分級相關疑義(2/3)
3. 有OID之已裁撤單位應如何填報
− 建議主管機關依OID異動作業程序確實辦理
− 請主管機關於資安責任等級彙整表之備註欄填註該機關
已裁撤
4. 核心資訊系統之定義為何?
− 係指「高」等級之資訊系統;若機關資訊系統無「高」
等級者,請將支援機關核心業務之資訊系統納管為核心
資訊系統
5. C級之依「各主管機關規定」為何
− 請主管機關參酌應辦事項自行規定所屬機關應執行項目
37
執行分級相關疑義(3/3)
6. 支援機關業務之資訊系統已向上集中,其認列方
式為何
− 已向上集中之資訊系統,若其ISMS驗證範圍、防護
縱深、監控管理、安全性檢測皆及於所屬機關,則所
屬機關視為已達成相關應辦事項
7. 未完成組改機關之作業方式為何
− 中央機關於104年3月底前尚未完成組改者,原則依組
改後職掌辦理資安責任等級分級及應辦事項規劃;惟
倘業務將整併或簡化者,請暫依組改前之機關責任等
級,維持現行資安防護措施
38
個案B
39
時程
開始
作業
說明
執行
分級
確認
104/1/23 函轉行政院「政府機關(構)資通安全責任等級
分級作業規定」
104/1/28 發文召開說明會,並提供所屬應填報單位暫定分級結果
104/2/9 政府機關(構)資通安全責任等級分級作業說明
104/2/9 依說明討論B機關及所屬應填報單位資安責任等級
104/2/9 問題研討
104/3月下旬 所屬各填報單位確認,並呈送B機關
104/3月底前 B機關彙整呈核,並彙送行政院資安辦
40
開始
 104年1月23日函轉行政院「政府機關(構)資
通安全責任等級分級作業規定」
 104年1月28日發會議通知,邀請所屬應填報單
位參與「政府機關(構)資通安全責任等級分
級作業規定」說明會,並將各填報單位資安責
任等級規劃資料送其參考,請攜會討論
41
作業說明
 於104年2月9日說明會中,由該主管機關說明:
− 作業規定緣起
− 執行作業
− 分級等級之區分
− 資安責任等級應辦事項
− 後續配合事項
42
執行分級相關疑義(1/2)
1. 戶政事務所根據分級準則為B級 ,但實際管理人員
多為兼辦且非資訊相關專業,執行應辦事項有困難
− 具系統主機之戶政事務所宜維持為B級
− 僅有工作站的戶政事務所可調整為C級
2. 地方政府警察分局,根據分級方式應為B級,惟作
業模式僅為警政系統終端作業,其等級是否可調整
− 各地方政府警政作業其系統建置於地方警察局,分
局屬警政系統終端作業,其資安責任等級可調整為
C級
43
執行分級相關疑義(2/2)
3. 資安課程是否均需費用,另是否可以自行辦理
− 技術服務中心開發之資安職能實體課程訓練將以公
文通知;數位學習課程放置於e等公務園學習網,同
仁可自行上網學習,以上課程均屬免費
− 可自行辦理資安課程或講習,惟需有課後評量(含紙
本方式)
4. 資安預算不斷刪減,是否可以法制面訂定資安預算
之比例
− 規劃於資通安全基本法草案中,訂定政府機關應編
列必要之資通安全預算
44
結論
 2個試行機關皆積極協助所屬應填報單位辦理資
安責任等級分級相關作業
 作業模式
− 個案A邀請所屬應填報單位參與研商會議,針對各
單位疑慮予以解答,並律定所屬機關提報日期
− 個案B由主管機關先行規劃所屬應填報單位資安責
任等級,再召開說明會確認
− 建議採取個案B模式,所屬應填報單位數量較多者
始考慮個案A模式
45
報告完畢
敬請指教
46

similar documents