第1單元:資通安全基本觀念

「資產」

在資通安全領域中,「資產」(Asset)被定義為「對組織具備價值的任何事物」。為了系統化地評估資安風險並採取適當的防護措施,我國標準 CNS 27002:2023(對應國際標準 ISO/IEC 27002)將資產進一步分類與細分如下:

1. 資產的分類

根據組織運作的重要性,資產可分為兩大類:

  1. 主要資產 (Primary Assets):指對組織核心運作至關重要的資產,受損將直接影響組織的使命與目標。 * 資訊 (Information):包含各種數位數據、文件、檔案、資料庫、個人資料與業務流程數據等。 * 營運過程及活動:組織的核心運作方式及相關活動。
  2. 支援資產 (Support Assets):指支持主要資產運作所需的基礎設施與資源,其穩定性是主要資產安全運行的前提。包含硬體 (Hardware)、軟體 (Software)、網路 (Network)、人員 (People)、場域 (Site)等等。

2. 實務上的關鍵保護對象

從實務角度看,資通系統的組成包含以下五個關鍵要素,這些都是資安防護的首要目標:

  1. 資訊 / 資料:最核心的保護對象,需確保其機密性、完整性與可用性
  2. 軟體:確保其不被惡意程式破壞或不當修改。
  3. 硬體:防範被破壞、竊取或未經授權的存取。
  4. 網路:資訊傳輸的管道,須防止監聽、未經授權存取或阻斷服務。
  5. 人員:資安中最關鍵但常被忽略的環節,人員的資安意識與行為規範直接影響防護成效。

有效的資通安全管理必須從全面識別、評估並保護這些有價值的資產開始,確保無論是核心資訊或是支援其運作的設施都能得到適當的保護。

「資通服務」與 「資通系統」

依據我國《資通安全管理法》及相關教材的說明,

  • 資通系統 (Information and Communication System):指用以蒐集、控制、傳輸、儲存、流通、刪除資訊,或對資訊為其他處理、使用或分享之系統。在實務上,它是所有涉及資訊處理的軟硬體與網路環境的總稱,涵蓋資訊從產生到銷毀整個生命週期中所使用的工具。

  • 資通服務 (Information and Communication Services):指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。在實務上,它是指圍繞在資通系統周邊,所有與資訊處理相關的支援性活動

  • 「資通服務」具體案例說明 教材中舉出了兩個常見的維運服務作為例子: 個人電腦維護服務:旨在確保終端設備(如員工使用的電腦)穩定運作,這屬於確保資訊「可用性」的服務範疇 。 伺服器維護服務:著重於機房內核心系統的連續與穩定。這類維運服務是確保資通系統功能持續可用的關鍵 。

「法律遵循性」

除了基礎的 CIA(機密性、完整性、可用性) 三原則外,對於政府機關及特定非公務機關而言,「法律遵循性 (Legal compliance)」 也是一項至關重要的防護目標。

  • 定義:確保所欲保護的資訊內容與所有的資通安全活動,皆能遵循相關法規的要求

  • 重要性:在數位政府及數位經濟背景下,法律遵循性是組織合法運作及取得公眾信任的基礎。若未能遵循,可能導致嚴重的行政罰、懲戒、懲處,甚至是刑事責任。

3. 我國資通安全領域的重要法規

為了達成法律遵循性,組織必須熟悉並遵守相關法規體系,主要包括: * 《資通安全管理法》:我國資安管理的基本大法,確立防護原則、架構與機關權責。 * 《資通安全管理法施行細則》:細化母法的實施細節。 * 《資通安全責任等級分級辦法》:依業務風險劃定資安責任等級及應辦事項。 * 《個人資料保護法》:規範個資蒐集、處理與利用,保障個人隱私權益。 * 《國家機密保護法》:保護攸關國家安全的重要機密資訊。 * 其他業務法令:如《醫療法》涉及病患資安、《兒童及少年福利與權益保障法》涉及兒少個資保護等。

第2單元:資通安全相關法規

資通安全管理法及相關法規

我國資通安全管理法規體系主要以《資通安全管理法》為核心,並輔以多項子法及其他相關法律共同構築而成。以下簡述主要相關法規及其主管機關:

1. 資通安全管理法及其子法

本法規體系的主管機關為數位發展部。具體資安業務之執行,由數位發展部指定的專責機關——資通安全署辦理。

  • 《資通安全管理法》:作為核心大法,旨在積極推動國家資通安全政策,保障國家安全並維護社會公共利益。
  • 《資通安全管理法施行細則》:明定軍事與情報機關的排除適用範圍,並定義「核心業務」與「核心資通系統」,同時規範資安維護計畫應包含的 13 項重點。
  • 《資通安全責任等級分級辦法》:將各機關資安責任等級由高至低分為 A、B、C、D、E 五級,並規定各等級應辦理的管理、技術、認知及訓練防護措施。
  • 《資通安全事件通報應變及演練辦法》:規範資安事件分為四級,要求機關於知悉事件後 1 小時內完成通報,並定期辦理社交工程演練與通報應變演練。
  • 《資通安全情資分享辦法》:規範資通安全情資(如惡意程式、安全漏洞等)的分享原則、對象及安全維護措施。
  • 《公務機關所屬人員辦理資通安全事項作業辦法》:授權各機關自行訂定獎懲基準,針對執行維護計畫績效優良者予以獎勵,對情節重大之違規者予以懲處。原名稱:公務機關所屬人員資通安全事項獎懲辦法
  • 《資通安全維護計畫實施情形稽核辦法 》:規範主管機關每年擇定特定非公務機關進行現場實地稽核的程序與改善追蹤機制。原名稱:特定非公務機關資通安全維護計畫實施情形稽核辦法

2. 其他相關法律

除了核心資安法規外,我國亦有其他針對特定資訊保護需求的重要法律:

  • 《個人資料保護法》:主管機關為個人資料保護委員會。本法旨在規範個人資料的蒐集、處理及利用,以避免人格權受侵害並促進合理利用。
  • 《國家機密保護法》:依據法規類別歸屬於法務部。本法旨在建立國家機密保護制度,針對經核定機密等級之資訊提供保密保護,以確保國家安全與利益。

「國家資通安全會報」

我國資通安全管理體系的最高指導及協調單位為「國家資通安全會報」。

以下是關於該單位的詳細說明:

  • 地位與職責:國家資通安全會報位於我國資通安全管理體系的最頂層,負責制定國家資通安全政策的最終決策,並確保國家資安戰略的有效推動。
  • 組織架構:
    • 召集人:由行政院院長或副院長擔任。
    • 成員:包括行政院副召集人(由政務委員及指定部長擔任)、偕同副召集人(由國安會諮詢委員兼任),以及各部會首長、直轄市副市長、專家學者等委員。
    • 幕僚單位:由數位發展部擔任會報幕僚單位,負責辦理幕僚作業並協助會報運作。
  • 法律依據:根據《資通安全管理法》第 5 條,行政院應定期召開國家資通安全會報,用以辦理國家資通安全政策、應變機制與重大計畫之諮詢審議,並協調中央及地方間之資通安全相關事務。

該會報下設有「網際防護體系」(數位發展部主責)及「網路犯罪偵防體系」(內政部與法務部主責),以應對多元的資安威脅與挑戰。

資通安全管理法的規範對象

根據《資通安全管理法》及其相關子法,確實有明確規定不適用排除適用的機關及對象:

1. 法律適用對象的範圍限制

資通安全管理法的規範對象僅限於「公務機關」與「特定非公務機關」,對於一般民間單位或自然人,除非被列為「特定非公務機關」,否則不直接適用本法之強制規範。 * 一般民間企業或團體:若非屬關鍵基礎設施提供者、公營事業、特定財團法人或受政府控制之事業、團體與機構,則不屬於本法的管轄對象。

2. 法定排除適用之公務機關

依據《資通安全管理法》第 3 條第 5 款,公務機關的定義雖然包含中央、地方機關及公法人,但明確規定不包括以下兩類機關: * 軍事機關:指國防部及其所屬機關(構)、部隊與學校。 * 情報機關:指依《國家情報工作法》第 3 條規定之機關。

《國家情報工作法》第 3-1 條:情報機關:指國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊。

3. 子法中的特定排除規定

在特定的行政監督事項上,也有排除條款。例如,《個人資料保護法》在對公務機關的行政監督章節中,明確規定該節條文於情報機關不適用

總結來說,我國資安管理法規體系在設計上,將國防與情報體系劃出適用範圍,主要針對一般行政機關及對國家民生有重大影響的特定非公務機關進行納管。

事前預防

依據提供的參考資料,各機關在資通安全事件發生「事前」應辦理的應辦事項與準備工作可歸納為以下幾個面向:

1. 訂定核心管理計畫與機制

公務機關及特定非公務機關(以下簡稱各機關)應落實法定的基本義務,建立完備的管理框架: * 資通安全維護計畫: 各機關應依其所屬資通安全責任等級,訂定、修正及實施資通安全維護計畫。該計畫應包含核心業務重要性、資安政策、推動組織、資通系統盤點、風險管理、防護控制措施及事件通報應變演練機制等 13 項重點。 * 資通安全事件通報及應變機制: 各機關應針對資通安全事件訂定明確的通報與應變機制。

2. 建立具體的作業規範

為了確保事件發生時能有章可循,機關應事先訂定細部的作業規範: * 通報作業規範: 內容應包括判定事件等級的流程與權責、損害程度評估、內部通報流程、外部機關通知方式及通報窗口聯繫方式。 * 應變作業規範: 內容應包括應變小組的組織、事件發生前的演練作業、損害控制機制、復原與調查機制、以及相關紀錄的保全措施。

3. 辦理資通安全演練

透過定期的演練作業,驗證機關的應變能力與計畫可行性: * 社交工程演練: 公務機關(含總統府、五院及地方政府等)應每半年辦理一次社交工程演練。 * 通報及應變演練: 各機關應每年辦理一次資通安全事件通報及應變演練。 * 多元演練項目: 機關亦可依需求配合辦理網路攻防演練、情境演練或其他必要之演練。

4. 落實技術防護與安全性檢測

在事件發生前主動發現弱點並強化韌性: * 安全性檢測: A、B、C 級機關應定期對核心資通系統辦理「弱點掃描」及「滲透測試」。 * 資通安全健診: A、B、C 級機關應每年辦理一次資通安全健診,包含網路架構、惡意活動及安全設定檢視。 * 營運持續計畫 (BCP): 各機關應針對核心資通系統訂定營運持續計畫,設定復原點目標 (RPO) 與復原時間目標 (RTO),並執行系統源碼與資料備份,且應定期測試備份資料的可靠性與完整性。

營運持續計畫 (BCP)

在資通安全風險管理與營運持續計畫(BCP)中,RPORTO 是衡量組織對資料損失及服務中斷容忍度的兩個核心時間指標。以下依據來源文件定義並舉例說明:

1. 復原點目標 (Recovery Point Objective, RPO)

  • 定義:指系統可容忍資料損失的時間要求。
  • 核心邏輯RPO 決定了「備份的頻率」。RPO 越短,表示組織需要越頻繁地備份資料,以減少資料損失。
  • 舉例說明:若某機關將其核心系統的 RPO 設定為 4 小時,代表該機關發生資安事件時,最多只能接受損失最近 4 小時內產生的資料。為了達成此目標,系統的備份週期必須等於或小於 4 小時(例如每 2 小時備份一次),才能保證資料損失在容忍範圍內。

2. 復原時間目標 (Recovery Time Objective, RTO)

  • 定義:指資通系統從中斷後至重新恢復服務之可容忍時間要求。
  • 核心邏輯RTO 決定了「復原機制的選擇」。RTO 越短,表示組織需要更快速的復原技術(如熱備援設備或雲端即時切換方案)。
  • 舉例說明:若某服務的 RTO 設定為 2 小時,代表當系統因攻擊或故障停擺時,IT 部門必須在 2 小時內將受影響的服務重新上線,使其恢復到最低可接受的運作水平。

3. RPO 與 RTO 的關係小結

在實務運作上,這兩個指標共同構建了組織的韌性:

  • RPO 關注資料的「新鮮度」:確保復原後的資料不會太舊。
  • RTO 關注服務的「恢復速度」:確保業務不會停擺太久。
  • 關聯限制:機關在設定時,RTO 絕不能超過「最大可容忍中斷時間 (MTPD)」,否則在系統技術恢復前,業務可能已經遭受無法承受的毀滅性損失。此外,核心資通系統的 RTO 通常應設定得比非核心系統更短,以確保關鍵業務優先恢復。

資通安全責任等級

機關的資通安全責任等級是依據《資通安全管理法》及其子法《資通安全責任等級分級辦法》,對公務機關及特定非公務機關所進行的一種管理分級

其主要目的在於根據機關業務的重要性、機敏性及系統規模,劃定不同的資安責任,以確保資源能有效分配於重點防護對象。

以下為資通安全責任等級的詳細說明:

1. 分級類別

資通安全責任等級由高至低共分為 A、B、C、D、E 五個等級:

  • A 級 (最高): 業務涉及國家機密、外交、國防、國土安全,或維運全國性民眾服務、全國性關鍵基礎設施 (CI),以及保有全國性民眾個資之機關(如公立醫學中心)。
  • B 級: 業務涉及國家核心科技資訊管理、區域性民眾服務、區域性關鍵基礎設施,或保有區域性民眾個資之機關(如公立區域醫院或地區醫院)。
  • C 級: 擁有自行或委外設置、開發之資通系統(指具權限區分及管理功能者),且不屬於 A、B 級之機關。
  • D 級: 僅執行一般資通業務,未維運自行或委外開發之資通系統之機關。
  • E 級 (最低): 無資通系統且未提供資通服務,或其全部資通業務均由上級機關或監督機關兼辦、代管之機關。

2. 認定與核定原則

  • 從高認定原則: 若一個機關同時符合兩個以上等級的條件,應列為其中之最高等級
  • 考量條件: 認定等級時應按業務重要性與機敏性、機關層級、保有資訊之種類與數量、資通系統之規模及性質等條件進行評估。
  • 提報週期: 依據(民國 115 年 1 月 7 日)修正之《資通安全責任等級分級辦法》,各機關原則上應每三年辦理一次責任等級的提交或核定。若因組織調整或新設機關,則應立即辦理變更。

資通系統的防護需求分級

判定資通系統的防護需求分級,主要係依據「機密性 (C)」、「完整性 (I)」、「可用性 (A)」及「法律遵循性 (L)」四個影響構面進行評估。

判定原則與等級如下:

  • 分級層級: 資通系統防護需求分為「高」、「中」、「普」三個等級。
  • 從高認定原則: 系統的最終分級係由上述四個影響構面中,判定等級最高者決定。例如,若某系統在機密性評估為「高」,其餘構面為「普」,則該系統整體防護需求即為「高」。

各影響構面之具體判定基準:

  1. 機密性 (Confidentiality): 評估資訊遭未經授權揭露對機關造成的損害。若造成非常嚴重或災難性影響(如全國性個資、醫療或國家機密外洩)為「高」;造成嚴重影響(如區域性個資外洩)為「中」;僅產生有限影響則判定為「普」。
  2. 完整性 (Integrity): 評估資訊遭未經授權修改或破壞的後果。若導致金融秩序破壞、危及國安或全國性關鍵資訊損害為「高」;導致機關權益受損或區域性重要資訊遭竄改為「中」;影響有限則為「普」。
  3. 可用性 (Availability): 評估系統服務中斷產生的衝擊。若系統中斷將導致全國停電、社會動盪或容許中斷時間極短為「高」;容許中斷時間較短且嚴重影響社會秩序或業務效能為「中」;容許中斷時間長且僅輕微影響作業則為「普」。
  4. 法律遵循性 (Legal compliance): 評估違反相關法令規定的法律責任嚴重程度。未確實遵循法令可能使機關所屬人員負刑事責任者為「高」;可能導致行政罰、懲戒或懲處者為「中」;僅涉及一般法規規範且無嚴重後果者則判定為「普」。

判定程序與權責:

  1. 由業務承辦人考量資通系統發生資安事件時的衝擊,初步設定等級。
  2. 經承辦單位主管及資訊主管確認其合理性。
  3. 最終由機關之資通安全長 (CISO) 核定該資通系統的安全等級。

各機關應依核定之責任等級及時程辦理系統分級作業,A、B、C 級機關均應於初次受核定或等級變更後之 1 年內完成系統分級,且其後每年應至少檢視 1 次分級妥適性。

機密等級

根據我國《國家機密保護法》規定,國家機密依其洩漏後可能對國家安全或利益造成的損害程度,區分為三個等級,並設有相應的最長保密期限:

1. 機密等級與定義

  • 絕對機密 (Top Secret):適用於洩漏後足以使國家安全或利益遭受非常重大損害之事項。
  • 極機密 (Secret):適用於洩漏後足以使國家安全或利益遭受重大損害之事項。
  • 機密 (Confidential):適用於洩漏後足以使國家安全或利益遭受損害之事項。

2. 保密期限規範

國家機密的保密期限自核定之日起算,各等級的最長期限如下: * 絕對機密:不得逾 30 年。 * 極機密:不得逾 20 年。 * 機密:不得逾 10 年

第3單元:資通安全風險管理

風險 (Risk) 相關名詞

在資通安全風險管理中,「風險」被視為一個由多個要素交互作用而產生的核心概念。根據提供的教材與法規資料,其定義及相關名詞說明如下:

1. 「風險 (Risk)」的定義

風險是指「威脅利用其相對應的脆弱性,造成組織或政府機關的資訊資產受到衝擊的『可能性』」。 風險的大小通常由「衝擊」與其發生的「可能性」這兩個因素結合來定義。其核心目標並非追求絕對的零風險,而是在有限的成本下獲得最佳化的安全性。

2. 風險管理的核心名詞定義

在評估風險時,通常會涉及以下三個關鍵要素的交互作用:

  • 威脅 (Threat):指可能對組織資產造成損害的潛在原因或事件。例如:釣魚郵件、天然災害、惡意軟體攻擊等。
  • 脆弱性 (Vulnerability):指資訊資產本身或其保護機制中存在的弱點,可能被威脅所利用。例如:未更新的防毒軟體、系統漏洞、或不安全的組態設定。
  • 衝擊 (Impact):指當威脅成功利用脆弱性造成資安事件時,對組織資產所造成的負面影響。衝擊的評估通常涵蓋營運受損、信譽損害、財務損失及法律遵循性問題。

3. 風險管理流程中的相關名詞

為了有效地識別與處理風險,實務上還會使用以下名詞:

  • 資產 (Asset):指「對組織具備價值的任何事物」。包含主要資產(資訊、營運過程)與支援資產(硬體、軟體、網路、人員、場域、組織結構)。
  • 剩餘風險 (Residual Risk):指經過風險處理(如修改控制措施)之後,組織決定承擔並留存的殘餘風險
  • 風險接受準則 (Risk Acceptance Criteria):指決定哪些風險需要優先處理,而哪些風險在現有資源下可暫時予以接受的判定標準。這會受業務需求、法令規章、技術成熟度與預算等因素影響。
  • 衝擊準則 (Impact Criteria):定義當資安事件破壞資產的機密性、完整性或可用性時,對組織造成的損害嚴重程度標準。通常分為「普(輕微)」、「中(嚴重)」、「高(非常嚴重或災難性)」三個等級。

4. 風險處理的四種策略名詞

當風險被識別出來後,組織會採取以下策略來應對: * 風險修改 (Risk Modification):藉由施行、改變安全控制措施來降低風險等級。 * 風險留存 (Risk Retention):在風險符合接受準則或處理成本過高時,決定不採取進一步行動,保留該風險。 * 風險避免 (Risk Avoidance):直接放棄或終止可能導致風險增加的活動。 * 風險分擔 (Risk Sharing):將部分或全部風險轉移給第三方(如購買保險或在契約中訂定違約金)。

這些定義與國際標準(如 ISO/IEC 27005)及我國國家標準(CNS 27005:2024)相互對應,共同構築了資通安全風險管理的基礎。

資通安全風險管理

資通安全風險管理是一套系統化的流程,旨在協助組織識別、評估、處理及監控風險。風險管理的具體執行目標是為了防止威脅利用脆弱性,對資產造成負面衝擊。其核心目標並非追求絕對的零風險,而是追求在有限成本下獲得最佳化的安全性

具體而言,資通安全風險管理的目標可歸納為以下幾個面向:

1. 確保資訊資產在可接受的風險水平下運行

風險管理的首要目標是讓組織了解其風險暴露程度,並透過系統化流程(建立全景、評估、處理、監控),確保資訊資產是在組織可以接受的風險水平下運作,進而達成資通安全的最終目標。

2. 成本與效益的權衡

資通安全管理需要權衡成本與效益,目標是找出最適合組織需求的防護水準。透過風險評鑑,組織能將有限的資源與預算運用於最重要的資通系統或風險點上,避免不必要的資源浪費。

風險評鑑

風險評鑑 (Risk Assessment) 是資通安全風險管理流程中的核心步驟,旨在透過系統化的方法,協助組織識別、分析及評估其面臨的資安風險,以便了解風險暴露程度並做出明智的決策。

以下根據來源文件說明風險評鑑的詳細內容:

1. 風險評鑑的三個階段

風險評鑑通常包含以下三個核心子程序: * 風險辨識 (Risk Identification):找出潛在的資安風險,包含識別資訊資產、威脅、脆弱性(弱點)以及現有的控制措施,並預測事件發生可能造成的後果。 * 風險分析 (Risk Analysis):評估威脅發生的可能性以及事件發生後造成的衝擊程度,進而決定風險等級。 * 風險評估 (Risk Evaluation):將風險分析的結果與預先定義的「風險接受準則」進行比較,判斷該風險是否在可接受範圍內,並排定處理的優先順序。

2. 風險評鑑的作法分類

組織可依據評鑑的深度與所需資源,選擇不同的作法: * 高階風險評鑑 (High-Level Risk Assessment): * 特性:快速、簡便,適用於初期建立機制或需要快速獲得風險概觀時。 * 作法:直接依據《資通安全責任等級分級辦法》的「資通系統防護需求分級原則」來決定系統的安全等級(高、中、普)。 * 詳細風險評鑑 (Detailed Risk Assessment): * 特性:對資產進行深度識別,詳細列出威脅與弱點。 * 作法:需要投入較多資源與專家意見,通常針對較重要的核心資產或發生資安事件後執行。

3. 組織與前置準備

  • 跨部門組織:為確保評鑑客觀性,建議成立跨部門小組,成員應包含資訊/資安人員、總務(實體安全)、人事(人員風險)、會計(財務衝擊)及業務承辦人員。
  • 全景建立:在評鑑前必須先了解內外部環境(如法規、技術、資源),並定義「衝擊準則」與「風險接受準則」,作為後續決策的基準。

業務持續運作管理程序

在業務持續運作(Business Continuity, BC)的「管理程序」中,成功的關鍵在於跨部門的協作努力,而不僅僅是資訊部門的責任。根據來源文件,需要投入的部門與角色如下:

  • 業務部門(核心關鍵角色): 業務持續運作的核心是保護業務功能的連續性。業務部門最了解自身的業務運作,因此必須主導識別關鍵流程、評估中斷衝擊(營運衝擊分析, BIA),並參與復原策略的制定。
  • 機關高層人員: 業務持續計畫的實施需要投入大量的時間、金錢與人力。為了將機制校準於施政目標並納入日常運作,需要機關高層人員的充分理解、承諾與支持,負責提供資源調用與決策指導。
  • 資訊部門: 主要負責資通系統(IT 系統)的技術復原,這被視為災難復原(DR),是整體業務持續性的一部分。
  • 其他核心支援部門: 管理程序涉及組織的各個面向,因此需要以下部門的共同參與:
    • 人力資源部門: 負責人員支援與管理。
    • 財務部門: 評估財務衝擊及預算支持。
    • 法務部門: 確保程序符合法令法規或契約要求。
    • 供應鏈管理部門: 處理與外部供應商相關的持續性議題。
  • 業務持續運作專責人員: 負責識別組織外部的大環境風險與威脅,並與上述各部門共同協作推動管理程序。

業務持續運作的管理程序包含從建立策略、執行營運衝擊分析(BIA)、識別控制措施、發展復原策略與計畫(BCP),到最後的測試、演練與維護,每一個環節都需上述部門的整合投入,才能確保組織在面臨災害時具備足夠的韌性。

第4單元:資通安全管理面暨認知與訓練應辦事項

資通系統防護基準時程要求

根據我國《資通安全管理法》及其子法《資通安全責任等級分級辦法》,針對不同責任等級的機關,在辦理資通系統分級及其對應之防護基準控制措施時,有明確的時程要求如下:

1. A 級及 B 級機關

這兩類機關因業務涉及國家機密、關鍵基礎設施或全國性民眾個資,時程要求最為嚴格: * 初次核定或等級變更後: 應於 1 年內,針對自行或委外開發之資通系統,完成資通系統分級(依據「附表九- 資通系統防護需求分級原則」),並完成對應等級之防護基準控制措施(依據「附表十- 資通系統防護基準」)。 * 後續定期維護: 完成分級後,每年應至少檢視 1 次資通系統分級之妥適性。

2. C 級機關

C 級機關多為維運具備權限管理功能之資通系統,但影響範圍較小,時程要求稍見寬鬆: * 資通系統分級: 應於初次受核定或等級變更後之 1 年內完成系統分級。 * 防護基準控制措施: 應於初次受核定或等級變更後之 2 年內,完成對應之控制措施。 * 後續定期維護: 與 A、B 級機關相同,每年應至少檢視 1 次資通系統分級之妥適性。

3. D 級及 E 級機關

  • 時程要求: 法規對於 D 級(僅執行一般資通業務)與 E 級(無資通系統或由上級代管)機關,並無強制要求辦理資通系統分級與實施防護基準控制措施。

4. 關鍵判定原則總結

  • 分級基準: 系統分級係依據機密性 (C)、完整性 (I)、可用性 (A) 及法律遵循性 (L) 四個影響構面評估,取其最高者判定為「高、中、普」三個等級,。
  • 核心資通系統: 凡是被判定為「高」防護需求的系統,均應列為核心資通系統進行管理。
  • 共用性系統: 若資通系統屬共用性質,則由該系統之主責設置、維護或開發機關負責判斷其分級。

ISO 27001

根據我國資通安全管理相關法規與教材,各級機關(含公務機關及特定非公務機關)導入 CNS 27001ISO 27001 等資訊安全管理系統(ISMS)的規定,主要依其資通安全責任等級而有所不同,具體要求歸納如下:

1. A 級及 B 級機關:強制導入與驗證

這兩類等級的機關因業務機敏性高或涉及關鍵基礎設施,有最嚴格的強制性要求: * 導入要求:應於初次受核定責任等級或等級變更後的 2 年內,將全部核心資通系統導入 CNS 27001 或 ISO 27001 等資安管理系統標準。 * 驗證要求:應於初次受核定或等級變更後的 3 年內,完成公正第三方驗證,並需持續維持該驗證的有效性。 * 適用範圍:必須涵蓋機關內所有的「核心資通系統」。

2. C 級、D 級及 E 級機關:無強制要求

  • 根據目前的法規及管理基準,對於 C 級、D 級及 E 級機關,並無強制要求必須導入 ISMS 或通過第三方驗證。

3. 關鍵定義與標準說明

  • 標準對應CNS 27001:2023 是我國的國家標準,其內容等同於國際標準 ISO/IEC 27001:2022
  • ISMS 的定義:資訊安全管理系統是一套系統化的方法,用於管理組織的敏感資訊,使其在適當的保護下維持安全。
  • 公正第三方驗證:指通過我國標準法主管機關委託之認證機構認證的機構所進行的驗證;核發的證書上應有該認證機構的認證標誌,以確保驗證的公正性與權威性。
  • 替代標準:除了 CNS/ISO 27001,機關亦可導入其他具有同等或以上效果之系統標準,或是經主管機關(數位發展部)認可之公務機關自行發展標準。

防護需求分級

當資通系統發生資安事件,對機關營運、資產或信譽產生影響時,我國《資通安全管理法》及其子法《資通安全責任等級分級辦法》針對資通系統的「防護需求分級」訂有明確的評定規定。這些規定主要依據機密性 (C)、完整性 (I)、可用性 (A) 及 法律遵循性 (L) 四個影響構面來衡量損害程度。

以下是針對機關營運、資產或信譽受影響時的防護需求評定相關規定:

1. 影響程度與安全等級評定基準

在評估資安事件對機關營運、資產或信譽的衝擊時,依據損害嚴重程度分為「高」、「中」、「普」三個安全等級:

  • 機密性 (Confidentiality) 影響評定:
    • 普級(輕微): 資訊外洩對機關營運、資產或信譽產生有限之影響。
    • 中級(嚴重): 資訊外洩對機關營運、資產或信譽產生嚴重之影響。
    • 高級(非常嚴重): 資訊外洩對機關營運、資產或信譽產生非常嚴重或災難性之影響(如造成全國性個資或醫療資料外洩)。
  • 完整性 (Integrity) 影響評定:
    • 普級(輕微): 資訊錯誤或遭竄改,對機關營運、資產或信譽產生有限之影響。
    • 中級(嚴重): 資訊錯誤或遭竄改,對機關營運、資產或信譽產生嚴重之影響(如庫存資料遭竄改導致營運混亂)。
    • 高級(非常嚴重): 資訊錯誤或遭竄改,對機關營運、資產或信譽產生非常嚴重或災難性之影響(如銀行核心交易紀錄遭破壞)。
  • 可用性 (Availability) 影響評定:
    • 普級(輕微): 系統中斷對機關營運、資產或信譽產生有限之影響(系統容許中斷時間較長)。
    • 中級(嚴重): 系統中斷對機關營運、資產或信譽產生嚴重之影響(系統容許中斷時間較短,嚴重影響業務效能)。
    • 高級(非常嚴重): 系統中斷對機關營運、資產或信譽產生非常嚴重或災難性之影響(如電力調度系統中斷導致全國停電)。

2. 判定原則與程序規定

  • 從高認定原則: 資通系統之防護需求等級,係就上述各構面分別評定後,採其中最高者作為該系統之防護需求等級。
  • 法律遵循性考量: 除上述 CIA 三面向外,亦須考量若未遵循法令是否導致機關人員負擔行政罰、懲戒(中級)或刑事責任(高級)。
  • 核定權責: 系統分級由業務承辦人初步設定,經單位主管與資訊主管確認後,最終由機關之資通安全長 (CISO) 核定。

3. 辦理時程規定

  • 初次核定與變更: A、B、C 級機關應於初次受核定責任等級或等級變更後之 1 年內,完成自行或委外開發資通系統之分級作業。
  • 定期檢視: 完成分級後,各機關應每年至少檢視 1 次資通系統分級之妥適性,以確保防護需求能反映當前之風險現況。

資通安全職能訓練

根據我國資通安全管理法規與教材,針對不同資通安全責任等級的機關(公務機關及特定非公務機關),其人員應接受的資通安全教育訓練時數規定如下:

1. 資通安全專職人員

適用於 A 級、B 級及 C 級機關之專職人員(D 級及 E 級無要求): * 培訓時數: 每人每年至少 12 小時以上。 * 培訓內容: 資通安全專業課程訓練或資通安全職能訓練。 * 專業證照要求: 初次受核定或等級變更後 1 年內,需持有主管機關認可之資通安全專業證照及職能訓練證書各 1 張以上。 * A 級機關: 至少 4 名專職人員持有。 * B 級機關: 至少 2 名專職人員持有。 * C 級機關: 至少 1 名專職人員持有。

2. 資通安全專職人員以外之資訊人員

適用於 A 級、B 級及 C 級機關之資訊人員(D 級及 E 級無要求): * 專業培訓: 每人每 2 年至少 3 小時以上之資通安全專業課程訓練或資通安全職能訓練。 * 通識教育: 每人每年至少 3 小時以上之資通安全通識教育訓練。

3. 一般使用者及主管

適用於 A 級、B 級、C 級及 D 級機關(E 級無要求): * 培訓時數: 每人每年至少 3 小時以上之資通安全通識教育訓練。 * 重點: 強化全員資安意識,特別是防範社交工程、釣魚郵件等威脅;主管則需具備資安治理概念。

資安治理 (Governance) 與 資安管理 (Management)

資安治理(Cybersecurity Governance)與資安管理(Cybersecurity Management)是兩個相互關聯但層次不同的概念。 簡言之, - 資安治理是「做對的事(Doing the right things)」,確保方向正確。 - 資安管理則是「把事做對(Doing things right)」,確保具體控制措施有效執行。

權責主體

  • 治理:機關首長(決策層)、資安長
  • 管理:資安長(決策層)、資訊/資安單位、使用者

權責範圍

  • 治理:指導 (Direct) 與 監視 (Monitor)
  • 管理:執行 (Execute) 與 監督 (Supervise)

運作流程

  • 治理:根據組織需求進行評估,確立方向及目標 (Strategic)。
  • 管理:將目標轉化為行動 (Operational),規劃、建立、執行並提供管理回饋。

資安治理成熟度評估

資安治理成熟度評估(Cybersecurity Governance Maturity Assessment)是衡量組織資安管理水準的重要工具,旨在提供客觀視角,協助組織識別治理的強項與弱點,並規劃提升路徑。

以下為資安治理成熟度評估的詳細介紹:

1. 適用對象與辦理頻率

根據規定,資安治理成熟度評估通常僅適用於公務機關,且依等級有不同頻率要求: * A 級及 B 級機關每年應辦理 1 次。 * C 級、D 級及 E 級機關:目前無強制要求。

2. 治理架構的三大面向與流程構面

資安治理評估涵蓋策略面 (S)管理面 (M)技術面 (T),並細分為多個流程構面: * 策略面 (S):資安政策與組織健全 (S1)、資安治理架構 (S2)、資安資源管理 (S3)、資安管理監督 (S4)。 * 管理面 (M):資產管理與風險評鑑 (M1)、資訊委外安全管理 (M2)、資安認知與教育訓練 (M3)。 * 技術面 (T):存取控制管理 (T1)、通訊與作業安全管理 (T2)、資安事件通報與處理 (T3)、資通系統開發與維護安全管理 (T4)。

3. 等級定義:能力度與成熟度

評估依據 ISO/IEC 標準,將等級分為 0 至 5 級:

能力度等級 (Capacity Level)

衡量單一流程執行成效,需累進滿足: * Level 0 (未執行):未建立或無法達成。 * Level 1 (已執行):結果達預先設定。 * Level 2 (已管理):執行過程與產出已被管理。 * Level 3 (標準化):流程已標準化並有效部署。 * Level 4 (可預測):已被量化管理,可透過衡量結果了解成效。 * Level 5 (最佳化):持續強化與優化該流程。

成熟度等級 (Maturity Level)

衡量組織整體的資安治理水準,取決於各流程構面達到的能力度等級: * Level 0 (未成熟型):任一基礎流程能力度為 0。 * Level 1 (基礎型):S1、M3、T2 達能力度等級 1。 * Level 2 (管理型):S1、M3、T2、M1、M2、T1 達能力度等級 2。 * Level 3 (制度化型):Level 1 及 Level 2 所有構面,加上 S3、T3、T4 達能力度等級 3。 * Level 4 (可預測型):Level 1 至 Level 3 所有構面,加上 S4 達能力度等級 4。 * Level 5 (創新型):所有構面(含 S2)達能力度等級 5。

第5單元:資通系統防護控制措施

「帳號管理」的基本要求

資通系統防護基準中的「帳號管理」屬於「存取控制」構面,旨在管理帳號從建立到失效的完整生命週期。

各等級機關(A、B、C 級)應依其維運之資通系統所評定之防護需求等級(高、中、普),落實對應的帳號管理要求:

1. 系統防護需求為「普」級之基本要求

此為所有受納管系統的最基礎帳號控管,包含: * 建立帳號管理機制: 應針對資通系統帳號之申請、建立、修改、啟用、停用及刪除,建立明確的作業程序。

2. 系統防護需求為「中」級之基本要求

除須滿足「普」級的所有要求外,還需增加以下控管措施: * 清理臨時或緊急帳號: 已逾期或不再需要的臨時帳號、緊急帳號應立即刪除或禁用。 * 禁用預設帳號: 資通系統建置時產生的預設帳號應予以禁用。 * 定期審核帳號: 應定期(例如配合內部稽核)審查系統帳號的變動情形(如申請、修改、啟用等),確保權限分派之適當性。

3. 系統防護需求為「高」級之基本要求

除須滿足「普」級與「中」級的所有要求外,等級最高的系統需執行更嚴密的動態控管: * 定義操作限制: 機關應定義各系統的閒置時間、可使用期限,以及具體的使用情況與條件。 * 自動登出機制: 當使用者超過許可的閒置時間或使用期限時,系統應具備自動將使用者登出的功能。 * 行為規範: 使用者操作資通系統時,必須嚴格遵守機關規定的情況及條件。 * 異常監控與回報: 應持續監控資通系統帳號的使用情形,一旦發現帳號違常使用(如異常登入地點或頻率),應立即回報管理者處理。

機關責任等級與時程要求

雖然上述要求係依「系統等級」劃分,但機關本身之資通安全責任等級決定了其應辦理系統分級與落實防護基準的義務: * A 級及 B 級機關: 應於受核定後 1 年內完成系統分級,並落實上述帳號管理措施;之後每年至少檢視 1 次妥適性。 * C 級機關: 應於受核定後 1 年內完成分級,並於 2 年內完成帳號管理等各項防護基準控制措施。 * D 級及 E 級機關: 法規對於僅執行一般資通業務或無資通系統之機關,並無強制要求辦理系統分級與實施防護基準。

「日誌紀錄內容」的基本要求

根據我國《資通安全管理法》相關子法及教材,資通系統防護基準中的「日誌紀錄內容」(屬於「事件日誌與可歸責性」構面)是為了建立可歸責性與支援事後調查。

各等級機關(A、B、C 級)應依其維運之資通系統所評定之防護需求等級(高、中、普),落實對應的日誌紀錄內容要求:

1. 共通性基本要求(適用於「高、中、普」所有等級系統)

無論系統的防護需求等級為何,資通系統產生的日誌紀錄內容均應包含下列核心資訊: * 事件類型: 記錄發生了什麼樣的事件。 * 發生時間: 精確記錄事件發生的時間點。 * 發生位置: 標示事件發生的系統或網路位置。 * 使用者身分識別: 包含任何與事件相關的使用者身分資訊。 * 格式一致性: 應採用單一日誌機制,確保日誌輸出格式之一致性,以利後續自動化分析或比對。 * 其他相關資訊: 應依資通安全政策及法規要求(如《個人資料保護法》等)納入其他必要的相關資訊。

2. 不同等級系統的進階控管要求

雖然「日誌紀錄內容」本身的欄位要求在各等級系統中具備共通性,但在整個「事件日誌與可歸責性」構面中,高等級與中等級系統有額外的配套要求:

  • 系統防護需求為「普」級:
    • 必須確保資通系統具備記錄特定事件的功能,並明確決定應記錄的項目。
    • 保留期限: 日誌應保留至少 6 個月
  • 系統防護需求為「中」級:
    • 除滿足普級要求外,應定期審查所保留之日誌紀錄,以及早發現異常活動。
    • 系統時鐘應定期進行校時(與基準時間源同步),確保時戳準確。
    • 日誌應具備完整性保護(如雜湊運算),防止未經授權的竄改。
  • 系統防護需求為「高」級:
    • 除滿足中級要求外,對於「日誌處理失效」應具備即時通報機制,當無法紀錄日誌時需對特定人員發出警告。
    • 日誌資訊應定期備份至原系統以外的獨立實體系統中保存。

機關責任與實施時程

機關應根據其核定之資通安全責任等級,在規定期限內完成資通系統分級並落實上述日誌紀錄措施: * A 級及 B 級機關: 受核定後 1 年內應完成。 * C 級機關: 受核定後 2 年內應完成。 * D 級及 E 級機關: 若無維運自行或委外開發之具權限管理功能系統,則無強制要求辦理系統分級與實施此類防護基準。

備份手段

根據提供的教材與規範,資料備份是指對資料進行複製及儲存的過程,以便在資料遺失、損壞或系統故障時能夠恢復,是營運持續計畫(BCP)的基石。

規範中提到的各種資料備份方式與相關機制如下:

1. 依「備份內容」劃分的方式

這類方式主要決定了每次備份時選取的檔案範圍,以及後續還原的效率:

  • 完整備份 (Full Backup)
    • 定義:將要備份的檔案完整地複製一份保存在備份儲存媒體中。
    • 優缺點:優點是還原程序最簡單、最完整,但缺點是備份耗時長且佔用儲存空間最大。
  • 差異備份 (Differential Backup)
    • 定義:僅備份自「上次完整備份」後,內容有變更或新增的檔案。
    • 優缺點:備份速度比完整備份快,佔用空間較少;還原時需要「最近一次完整備份」加上「最近一次差異備份」。
  • 增量備份 (Incremental Backup)
    • 定義:備份自「上次任何備份(完整或增量)」後,內容有變更或新增的檔案。
    • 優缺點:備份速度最快,佔用空間最少;但還原過程最複雜,需要依序套用「完整備份」及「其後所有的增量備份」。

2. 依「儲存地點」劃分的模式

備份資料存放的位置直接影響其對抗不同災害(如設備故障或區域性天災)的能力:

  • 本地備份 (Local Backup)
    • 將檔案儲存至媒體後,保存於原地點。
    • 雖程序簡便,但若發生機房火警或硬碟故障,備份資料可能與原資料同時毀損。
  • 異地備份 (Off-site Backup)
    • 將檔案儲存於不同地點,以規避地震、颱風等區域性災害同時受災的可能性。
    • 規範要求:屬高等級之資通系統,其備份資料應進行異地保存。參考指引建議主機房與異地備援機房距離應在 30 公里以上

3. 備份管理的核心指標與規範

  • 復原點目標 (RPO):機關應訂定系統可容忍資料損失的時間要求,這會直接決定備份的頻率(週期)
  • 定期測試與驗證
    • 中、高等級系統:應定期測試備份資料,以驗證儲存媒體的可靠性及資訊的完整性。
    • 高等級系統:應將「備份還原」作為營運持續計畫測試的一部分,確保在災害發生時能確實復原。
  • 儲存環境:高等級系統應將重要軟體與安全資訊之備份,儲存於與運作系統不同地點之獨立設施或防火櫃中。

安全系統發展生命週期

安全系統發展生命週期(Secure System Development Life Cycle, SSDLC) 是指在資通系統的整個發展過程中,從初期規劃、設計、開發、測試到部署與維運,都將安全性需求納入考量的系統化流程。

1. SSDLC 的核心思維

與傳統以功能導向(在最短時間內上線)的軟體開發不同,SSDLC 強調「將安全深度融入設計」。雖然開發時程可能較長,但能從源頭打造具備安全體質的系統,大幅降低後續維運成本及遭受入侵的損失。

2. SSDLC 的主要階段與作業

SSDLC 涵蓋了資通系統生命週期的六個主要階段:

  • 需求階段(Requirement): 確認系統的資安需求(包含機密性、可用性、完整性)。這些需求可能來自法規、業界標準或內部資安政策。
  • 設計階段(Design): 根據系統功能識別可能影響系統的威脅,進行風險分析及評估。若發現未考慮到的威脅,應隨之修正安全需求。
  • 開發階段(Implementation/Development):
    • 實作必要的安全控制措施,並注意避免常見的軟體漏洞。
    • 高等級系統應執行「源碼掃描」安全檢測,並具備嚴重錯誤的通知機制。
  • 測試階段(Testing): 在系統部署前進行安全測試。
    • 所有等級系統均應執行「弱點掃描」。
    • 高等級系統應進一步執行由專家進行的手動「滲透測試」。
  • 部署與維運階段(Maintenance):
    • 執行系統更新與漏洞修補,關閉不必要的服務及埠口,且不使用預設密碼。
    • 高、中等級系統應執行嚴格的版本控制與變更管理
  • 委外階段(Outsourcing): 若系統開發委外辦理,應將各階段的安全需求納入委外契約,作為驗收依據。

3. 法規規定

根據我國《資通安全管理法》相關規定,A、B、C 級機關在辦理資通系統分級與落實防護基準時,應依其系統等級將上述 SSDLC 各階段規定納入資安維護計畫及委外契約中執行。

第6單元:資通安全技術面應辦事項-資通安全防護及偵測

電子郵件過濾機制

在選擇與部署電子郵件過濾機制(具垃圾郵件過濾功能之系統)時,應考量其辨識能力、系統效能、語言支援及管理便利性等面向,以達成過濾垃圾郵件並防範電子郵件社交工程攻擊的目標。以下是規範與教材中提到的主要注意事項與選購考量:

1. 辨識精準度與技術

  • 判斷精準度:這是核心考量。應評估系統的「垃圾郵件偵測率」(成功阻擋的比例)以及「誤判率」(將正常郵件誤標為垃圾郵件的比例)。
  • 多元辨識技術:優質的機制應具備多種判斷技術,包括連線模式分析關鍵字比對內容過濾外部黑名單資料庫 (RBL) 比對、具備學習能力的貝氏演算法,以及針對圖片垃圾郵件的圖片辨識技術
  • 圖片廣告偵測:選購時應確認系統是否能分析圖片中的文字或特徵,有效偵測並阻擋圖片形式的垃圾郵件。

2. 處理效能與穩定性

  • 處理效能:系統必須能支撐機關的郵件流量需求,避免因處理過慢導致郵件延遲或造成郵件服務中斷。
  • 部署模式的安全性 (Fail Close vs. Fail Open)
    • 匣道模式 (Mail Relay):設備故障時信件無法進出,雖可能短暫中斷服務,但安全性較高 (Fail Close)
    • Bridge 模式:設備故障時流量會自動 Bypass,確保連通性但安全防護會暫時喪失 (Fail Open),目前企業環境較少採用。

3. 語言與搜尋支援能力

  • 中文化支援:考量國內環境,系統需具備良好的中文 URL 及信件內容判斷能力,並支援多國語言的編碼解析。
  • 全文檢索能力:應支援中文全文檢索以及對郵件附件的檢索功能,以滿足資安事件追蹤與稽核的需求。

4. 管理與更新機制

  • 自動化更新:系統應具備定期自動更新垃圾郵件辨識特徵碼的功能,以即時識別新型態的威脅與釣魚手法。
  • 變更管理程序:針對電子郵件過濾規則的調整,機關應建立標準的變更申請、核准及記錄流程,確保所有規則變更皆經審慎評估且有跡可循。

5. 監控與聯防 (SOC)

  • 納入監控範圍:對於 A 級機關等高責任等級單位,電子郵件過濾機制的傳輸與過濾日誌應納入資安監控中心 (SOC) 管理,以便及時掌握威脅預警及進行事件處理。

透過上述考量的綜合評估,機關能選擇最適合的電子郵件過濾工具,有效阻斷惡意附件與釣魚連結,強化「人」這道最脆弱的資安防線。

第7單元:資通安全技術面應辦事項-安全性檢測及資通安全健診

第8單元:資訊委外安全管理

第9單元:資通安全事件通報及應變