--- tags: 資安 --- # 資通安全管理法相關執行事項 ## 基本資料 * 資安責任等級： >  ## 資安通報 * [TACERT 臺灣學術網路危機處理中心](https://cert.tanet.edu.tw/) (委由中山大學營運，教育部資科司管轄) * 通報應變平台流程 * 網站連結 * [教育機構資安通報演練平台](https://drill.cert.tanet.edu.tw/) * [教育機構資安通報平台](https://info.cert.tanet.edu.tw/) * ==至少需要填寫兩位資安聯絡人==，至多可以有五位連絡人 (每個連絡人各自擁有獨立帳號與密碼)。 * v2.16.886.111.100335 (主要管理者) * v2.16.886.111.100335.1 (主要管理者) * v2.16.886.111.100335.2 * v2.16.886.111.100335.3 * v2.16.886.111.100335.4 * 主要管理者可以關閉或開啟第三、四、五連絡人帳號。 * 流程分為「通報流程」與「應變流程」。 * 可先進行通報，再應變 (盡可能同時做)。 * 知悉資安事件起1個小時內，通報應變資安事件。 * 當收到資安情資單，經適當且有效的系統調查後，並未發現有直接或間接證據可證明系統遭受到資安事件之威脅時，事件分類可選擇「TII(威脅情報)」。 * 1、2級事件72小時內完成復原或損害管制。 * 3、4級事件36小時內完成復原或損害管制。 * [資通安全事件通報及應變辦法第13條](https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=A0030305&flno=13) * 事件通報後的工作事項 * 填寫資安事件改善報告 ([資通安全管理法施行細則第8條](https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=A0030303&flno=8)) * 填寫教育部通報「國家資通安全通報應變網站」事件資料表 * 參考文件 * [資安通報應變新功能及操作手冊](https://portal.cert.tanet.edu.tw/docs/pdf/2016072601070707665758837934227.pdf) * 個資外洩事件預防與應變 * [臺灣學術網路個資外洩事件之預防與應變指南](https://portal.cert.tanet.edu.tw/docs/pdf/2020042801041515533659691159823.pdf) * [Google搜尋引擎申請移除外洩檔案之暫存頁](https://support.google.com/websearch/troubleshooter/3111061?hl=zh-Hant&rd=1) * 預防 * 注意密碼強度 (避免使用弱密碼) * 過期檔案下架 * 定期備份網站主機資料 * 網站公告刪除之功能，要確保附檔也一併刪除 * 委外建置之網站系統，採購時要求在驗收時提供源碼檢測與弱點掃描作業的報告 * 不必要的port避免對外開啟(如：445port與3389port) * 如需使用RDP方式進行連線，建議限制連線來源IP ## ISMS導入實作參考流程  ## 資通安全維護計畫 >  * [資通安全管理法](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297) - 第 10 條 公務機關應符合其所屬資通安全責任等級之要求，並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及實施==資通安全維護計畫==。 * [資通安全管理法施行細則](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303) - 第 6 條 - 本法第十條、第十六條第二項及第十七條第一項所定==資通安全維護計畫==，應包括下列事項： 一、核心業務及其重要性。 二、資通安全政策及目標。 三、資通安全推動組織。 四、專責人力及經費之配置。 五、公務機關資通安全長之配置。 六、資通系統及資訊之盤點，並標示核心資通系統及相關資產。 七、資通安全風險評估。 八、資通安全防護及控制措施。 九、資通安全事件通報、應變及演練相關機制。 十、資通安全情資之評估及因應機制。 十一、資通系統或服務委外辦理之管理措施。 十二、公務機關所屬人員辦理業務涉及資通安全事項之考核機制。 十三、資通安全維護計畫與實施情形之持續精進及績效管理機制。 - 各機關依本法第十二條、第十六條第三項或第十七條第二項規定==提出資通安全維護計畫實施情形，應包括前項各款之執行成果及相關說明==。 - 第一項==資通安全維護計畫之訂定、修正、實施及前項實施情形之提出，公務機關經其上級或監督機關同意，得由其上級、監督機關或其上級、監督機關所屬公務機關辦理==；特定非公務機關經其中央目的事業主管機關同意，得由其中央目的事業主管機關、中央目的事業主管機關所屬公務機關或中央目的事業主管機關所管特定非公務機關辦理。 * [資通安全管理法施行細則](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303) - 第 7 條 - 前條第一項第一款所定==核心業務==，其範圍如下： 一、公務機關**依其組織法規，足認該業務為機關核心權責所在**。 二、公營事業及政府捐助之財團法人之主要服務或功能。 三、各機關維運、提供關鍵基礎設施所必要之業務。 四、各機關依資通安全責任等級分級辦法第四條第一款至第五款或第五條第一款至第五款涉及之業務。 - 前條第一項第六款所稱==核心資通系統==，指**支持核心業務持續運作必要之系統**，或**依資通安全責任等級分級辦法附表九資通系統防護需求分級原則之規定，判定其防護需求等級為高者**。 > C級機關，只能以「依組織法規，足認該業務為核心權責」為由，來將業務納入核心業務。 * [資通安全管理法常見問題](https://moda.gov.tw/ACS/laws/faq/630) by 行政院數位發展部資通安全署 - 5.5. ==資通安全維護計畫==是否需按範本的章節填寫? 議機關依資通安全維護計畫範本之章節次序撰寫，各機關如有特殊考量仍得依實務需求微調，惟仍應包含所有規定項目。 - 5.7. ==資通安全維護計畫==範本中之資安防護措施，機關是否可依需要進行調整？ 範本中所列之控制措施多為基本資安防護作業，機關可依自身需求增加資安防護措施，如機關經整體風險評估後，認為部分資安防護措施已有其他替代措施或不適用，亦可調整。 * [國立大專校院資通安全維護作業指引](https://sites.google.com/email.nchu.edu.tw/isms-strategy/) (臺教資(四)字第1100179797號) > 各校辦理內部資通安全稽核，稽核範圍應包含全校各單位。各校得就資通系統(保有個人資料)風險高低、教學單位特性評估訂定推動先後順序，分年分階段規劃辦理，並明訂於各校==資通安全維護計畫==。 > 依據作業指引分年分階段規劃辦理內部稽核，在此之前更是要讓全校人員都能開始重視資安管理，像是新進人員資安宣導、資安通識教育訓練、落實辦公室資安管理措施、社交工程演練、落實資安事件通報。 * 【臺教資(四)字第1100175149號】各單位每年至管考系統填報==資通安全維護計畫==實施情形時，併同更新大陸廠牌資通訊產品清冊。 ## 教育體系實地稽核計畫 >  * [教育體系資安檢測技術服務中心](https://www.taccst.moe.edu.tw/) * [教育機構資安驗證中心](https://iscb.nchu.edu.tw/) * 符合下列遴選原則之一者，優先納入重點稽核對象： 1、依資通安全管理法規定，本部應辦理稽核者。 2、資通安全責任等級：**屬A、B級者**。 3、資通安全事件發生之頻率與程度：**本年或近1年曾發生2級以上資通安全事件者**。 4、資通安全演練之成果：**近1年本部辦理之社交工程演練、資通安全事件通報及應變演練，或相關攻防演練成果不佳者**。 5、歷年受行政院或本部稽核之頻率與結果：**近3年未曾接受行政院或本部實地稽核，或其稽核結果建議持續關注協助者**。 6、其他與資通安全相關之因素： (1)維運存有大量個資的資通系統之所屬機關(構)。 (2)負責維運臺灣學術網路(TANet)區域網路中心之學校。 (3)==承接本部資通系統開發維運相關委辦計畫者==。 (4)未完成資安應辦事項或執行情形不佳者。 * [資通安全實地稽核共同發現事項及共識原則](https://docs.google.com/presentation/d/1VzcOn9lt0eGri7mghOs4bYzrvEr9iHEKgjWuGFG0mRw/edit#slide=id.g11ba3a45b02_0_2052) * [113年度「教育體系資安推動暨稽核實務研討會」](https://iscb.nchu.edu.tw/2024/05/113.html) * [111年全國大專校院資安長會議](https://iscb.nchu.edu.tw/2022/09/111.html) ## 大陸廠牌資通訊產品 * [教育機構驗證中心 - 限制使用危害國家資通安全產品](https://sites.google.com/email.nchu.edu.tw/cyber-security-hazards/) * [行政院公共工程委員會-陸資有關資訊](https://www.pcc.gov.tw/cp.aspx?n=5BA0564C438161A0) * 【臺教資(四)字第1080058332號】發佈行政命令「[各機關對危害國家資通安全產品限制使用原則](https://law.moda.gov.tw/LawContent.aspx?id=FL091047)」，依據【院臺護字第1080171497號】。 108年8月26日行政院國家資通安全會報發布「資通安全責任等級分級辦法部分條文修正」，將限制使用危害國家資通安全產品列入各級機關應辦事項。依據的是108年4月18日行政院發布「各機關對危害國家資通安全產品限制使用原則」。所有屬大陸廠牌者，無論其原產地於我國、大陸地區或第三地區等，均列入限制使用範圍。 * 【院臺護長字第1090201804A號】「大陸廠牌認定方式」及「資通訊產品定義」，說明如下： - 大陸廠牌認定方式：由填報機關「從嚴認定」，所有屬大陸廠牌者，無論其原產地於我國、大陸地區或第三地區等，渠等產品均須納入填報範圍。 - 資通訊產品定義：參考資通安全管理法第3條用詞定義，包含==軟體、硬體及服務==等項，另具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品，如無人機、網路攝影機、印表機等。 - 如各機關無法於期限內完成汰換作業或有窒礙難行之處，須填報正當理由，後續由本院協助評估其妥適性或其他可行作法。 * 【院臺護長字第1100177483號】為避免公務及機敏資料遭不當竊取，導致機關機敏公務資訊外洩或造成國家資通安全危害風險，本院前請各機關配合擴大盤點大陸廠牌資通訊產品(含軟體、硬體及服務)，並至本院國家資通安全會報[資通安全作業管考系統](https://spm.nat.gov.tw/)(以下簡稱管考系統)填報「大陸廠牌資通訊產品」相關資料。 - 請各機關資通安全長(簡稱資安長)務必配合定期核定及檢視機關(含所屬機關)大陸廠牌資通訊產品之使用情形，以及相關資安防護等配套措施落實情形。 - 為強化各機關資通訊相關採購案之資安防護，本院據以研擬「資訊服務採購案之資安檢核事項」，並已登載於本院[數發處資通安全署網站](https://moda.gov.tw/ACS/laws/guide/rules-guidelines/1331)，請各機關於辦理資通訊採購案時參考上述檢核事項，並適時轉知採購單位配合辦理相關事項。 * 【臺教資(四)字第1100175149號】==各單位每年至管考系統填報資通安全維護計畫實施情形==時，併同更新大陸廠牌資通訊產品清冊。 ## 資安弱點通報機制(VANS) * 於「國家資通安全發展方案(110年至113年)」量化指標項目之一：==112 年 C 級公務機關及 CI 提供者完成導入資安弱點通報機制==。 * 資通安全責級等級辦法，附表五備註五指出：「資通安全弱點通報機制」，指結合資訊資產管理與弱點管理，掌握整體風險情勢，並協助機關落實本法有關資產盤點及風險評估應辦事項之作業。 * [政府機關資安弱點通報機制(VANS)專區](https://www.nccst.nat.gov.tw/Vans?lang=zh) * 技服中心推出Vans系統，主要功用是協助將所盤點的資訊資產CPE碼轉換比對出nvd弱點資訊並通報機關(只通報一次)，回報風險評估結果，不強迫一定要修補弱點。理論上，資產盤點要每年上傳一次。 > Common Platform Enumeration, CPE，為美國國家標準技術研究所(NIST)所提出將弱點標準化的方式，用於識別軟體上的應用程式、作業系統及硬體上的各種設備之資訊資產 * 目前只有對微軟的產品功效較大。對於類unix產品及辦公事務設備的韌體效用不大，因為資料庫較不齊全，故尚採取原有資安作為。 * [資訊服務共契廠商](https://www.cloudmarketplace.org.tw/order/Match/Search?cat_id=1&product_name=VANS)提供資產盤點軟體，可以提供CPE碼轉換，進行將資料介接到VANS系統，可節省人工作業。 * [資通安全管理法常見問題](https://moda.gov.tw/ACS/laws/faq/630) by 行政院數位發展部資通安全署 - 4.14. 應辦事項列表中資安弱點通報機制(VANS)應導入範圍為何?是否有建議之上傳頻率？ - 公務機關 VANS 導入範圍==以全機關之資訊資產為原則==，有關==支持核心業務持續運作相關之資通系統主機與電腦應於規定時限內完成導入==；關鍵基礎設施提供者 VANS 之導入範圍至少應涵蓋關鍵資訊基礎設施及營運持續運作必要相關資通系統。 - 有關資訊資產上傳頻率，除重大弱點通報或大量資產異動外，==建議每個月至少定期上傳1次==，機關如採系統化介接方式，可增加上傳頻率；並==應針對發現弱點設定修補期限==，未修補前應加強防護及異常偵測，以確保弱點管理之即時性及有效性。 - 4.15. 應辦事項列表中資安弱點通報機制(VANS)所謂應依主管機關指定方式提交資訊資產盤點資料，所稱「資訊資產」為何?如何執行盤點作業?是否有相關參考資料供導入參考? - 「資訊資產」係指伺服器主機及使用者電腦之==作業系統==及==應用程式==等軟體資訊。 - 導入 VANS 之資訊資產盤點資料，為彙總性之盤點資料，僅含比對所需之必要欄位資訊，包含「資產名稱」、「資產廠商」、「資產版本」及「數量」等。 - 提交作業流程可參考[國家資通安全研究院網站-VANS專區](https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/VANS/) 之實作訓練數位教材，教材內容包含資訊資產盤點、正規化、資產登錄等相關作業。 > 建議可分兩階段導入，優先將支持核心資通系統的主機及開發電腦導入，再逐步放大範圍導入(有使用核心資通系統的使用者電腦)。 ## 遠端維護資通系統 * 行政院資通安全處院臺護字第1100165761號函 * 各機關開放機關內部同仁及委外廠商進行==遠端維護資通系統==，應採「==原則禁止、例外允許==」方式辦理，若機關因地理限制、處理時效及專案特性等因素，須開放前揭人員自遠端存取資通系統時，至少辦理下列防護措施： - 依資通安全管理法施行細則第4條及資通安全責任等級分級辦法附表十中有關遠端存取相關規定辦理，並建立及落實管理機制。 - 開放遠端存取期間原則以短天期為限，並建立異常行為管理機制。 - 於結束遠端存取期間後，應確實關閉網路連線，並更換遠端存取通道(如VPN)登入密碼。 ## 資通系統應保存日誌(log) * 依行政院109年11月9日院臺護字第1090195231號函發布之「各機關資通安全事件通報及應變處理作業程序」，各機關於日常維運資通系統時，應依自身資通安全責任等級保存日誌(log)，並定期備份於外部設備，保存範圍如下： - A級機關：應保存全部資通系統與各項資通及防護設備最近6個月之日誌紀錄。 - B級機關：應保存全部核心資通系統與相連之資通及防護設備最近6個月之日誌紀錄。 - C級機關：==應保存全部核心資通系統最近6個月之日誌紀錄==。 * 保存項目如下： - 作業系統日誌 (OS event log) - 網站日誌 (web log) - 應用程式日誌 (AP log) - 登入日誌 (logon log) > 資料來源：「[各機關資通安全事件通報及應變處理作業程序](https://law.moda.gov.tw/LawContent.aspx?id=FL095461)」之「表二、保存範圍及項目」 * [資通安全管理法常見問題](https://moda.gov.tw/ACS/laws/faq/04/638#qaH660) by 數發部資通安全署 - 4.12. 分級辦法附表十所要求資通系統應保存日誌（log）之項目為何？ 包含但不限於資通系統伺服器日誌、資料庫日誌檔案及伺服器作業系統日誌等，以符合程式除錯、行為歸責、稽核取證及法律規範等用途。詳參[國家資通安全研究院網站](https://www.nics.nat.gov.tw/cybersecurity_resources/reference_guide/Common_Standards/)發布之「資通系統防護基準驗證實務」2.2.1.記錄事件章節之內容。 ## 異地備份距離要求 * 附表十有關營運持續計畫高等級防護基準於「不同地點」備份，有沒有距離要求？ > 有關不同地點備份，宜朝「不遭受同一風險或事件影響」的方向考量，目前並未設置距離要求；有關距離建議，機關亦可參考「102年我國電腦機房異地備援機制參考指引」中，異地備份/備援機制提及之主機房與異地備援機房之距離應距離30公里以上，做為參考依據，以期在發生地震等區域性毀損時，仍能夠保存完整之備份資料及縮短回復時間。 ## 相關行政命令 * [大陸廠牌資通訊產品及委外經營公眾場域盤點原則](https://isms.ccu.edu.tw/p/406-1044-42325,r3452.php?Lang=zh-tw) (臺教資(四)字第1110115624號函) * [校園使用生物特徵辨識技術個人資料保護指引](https://ipss.nsysu.edu.tw/p/405-1061-298541,c15332.php?Lang=zh-tw) * [資通系統籌獲各階段資安強化措施](https://moda.gov.tw/ACS/laws/guide/rules-guidelines/1355) (院臺護字第1110174630號) * [教育部委外辦理或補助建置維運伺服主機及應用系統網站資通安全及個人資料保護管理要點](https://edu.law.moe.gov.tw/LawContent.aspx?id=GL000423) (臺教資(四)字第1100068264B號) * [學校使用資通系統或服務蒐集及使用個人資料之注意事項](https://sites.google.com/email.nchu.edu.tw/g-form) (臺教資(四)字第1100122001號) * [國立大專校院資通安全維護作業指引](https://sites.google.com/email.nchu.edu.tw/isms-strategy/) (臺教資(四)字第1100179797號) * [教育體系遠距教學之資訊安全指引](https://isms.ccu.edu.tw/p/406-1044-33703,r3452.php?Lang=zh-tw) (臺教資(四)字第1100155979號) * [教育體系資通安全暨個人資料管理規範](https://edu.law.moe.gov.tw/LawContent.aspx?id=GL002020) (臺教資(四)字第1090114352B號) * [教育體系電子郵件服務與安全管理指引](https://gcommit.nfu.edu.tw/doc/0008789a00_attch6.pdf) (臺教資(四)字第1090008789號) * [各機關對危害國家資通安全產品限制使用原則](https://law.moda.gov.tw/LawContent.aspx?id=FL091047#lawmenu) (院臺護字第1080171497號) * [行政院及所屬各機關行動化服務發展作業原則](https://theme.ndc.gov.tw/lawout/LawContent.aspx?id=GL000033) (院授發資字第1061502175號)(臺教資(五)字第1090125304A號函) > 各機關開發之行動化服務應符合個人資料保護法及行政院訂定之政府資通安全管理法等相關規定，並==通過經濟部工業局訂定行動化應用軟體之檢測項目，取得基本資安檢測合格證明及標章==後，始得提供民眾下載使用 * [身份證字號隱碼規範](https://ipss.nsysu.edu.tw/p/406-1061-282839,r4974.php?Lang=zh-tw) (臺教資(四)字第1030195617號) > 國家發展委員會為落實政府資訊公開法及個人資料保護法，請各己關行為及網站資料涉及國民身分證統一編號之登載者，==統一隱碼欄位為後4碼==，如另有特殊性用途則依相關規定辦理。 * [教育部體系個人資料安全保護基本措施及作法](https://isms.ccu.edu.tw/var/file/44/1044/img/574/Personal_Information_Law01.pdf) (臺教資(四)字第1020143505號) ## 相關法源整理 >* [資通安全管理法](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297) >* [資通安全管理法施行細則](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303) >* [資通安全責任等級分級辦法](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304) >* [資通安全事件通報及應變辦法](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030305) - 臺灣學術網路各級學校資通安全通報應變作業程序 (教育部108年5月2日臺教資(四)字第1080063494號函訂定) - [教育機構資安通報平台](https://info.cert.tanet.edu.tw/prog/index.php) >* [資通安全情資分享辦法](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030307) >* [公務機關所屬人員資通安全事項獎懲辦法](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030308) >