# 資通安全責任等級分級辦法 ###### tags: `iPAS`, `資安`, `法規` - 筆記總表請參閱 [iPAS 資安法規及標準筆記](https://hackmd.io/@ywChen/H192F7VPC) [toc] ## 法源 - [資通安全責任等級分級辦法-全國法規資料庫](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304) ## 資通安全責任等級核定 - 每兩年核定一次 - 主管機關 - 自身 - 行政院直屬機關 - 自身 - 所屬或監督之公務機關 - 所管之特定非公務機關 - 直轄市、縣（市）政府 - 自身 - 所屬或監督之公務機關 - 與所轄鄉（鎮、市）、直轄市山地原住民區公所 - 其所屬或監督之公務機關 - 直轄市及縣（市）議會、鄉（鎮、市）民代表會、直轄市山地原住民區民代表會 - 自身 - 總統府、國家安全會議、立法院、司法院、考試院、監察院應 - 自身 - 所屬或監督之公務機關 - 所管之特定非公務機關 ## 分級 - 符合多分級時以高的優先 ### A - 涉及國家機密 - 涉及外交、國防或國土安全 - 涉及全國性民眾服務或跨公務機關共用性資通系統 - 涉及全國性民眾或公務員個人資料檔案 - 公務機關 + 全國性之關鍵基礎設施 - 有災難性或非常嚴重影響的關鍵基礎設施提供者 - 公立醫學中心 ### B - 公務機關捐助、資助或研發之國家核心科技資訊 - 區域性、地區性民眾服務或跨公務機關共用性資通系統 - 區域性或地區性民眾個人資料檔案 - 中央二級機關及所屬各級機關（構）共用性資通系統 - 公務機關 + 區域性或地區性之關鍵基礎設施 - 有嚴重影響的關鍵基礎設施提供者 - 公立區域醫院或地區醫院 ### C - 自行或委外設置、開發之資通系統 ### D - 自行辦理資通業務，未維運自行或委外設置、開發之資通系統 ### E - 無資通系統且未提供資通服務 - 全部資通業務由上級機關兼辦或代管的公務機關 - 全部資通業務由中央主管機關兼辦或代管的特定非公務機關 ## 應辦事項 > X 年內: 初次受核定或等級變更後之 X 年內 > X: 無該項要求 | 制度面 | 辦理項目 | 辦理細項 | A 公務 | A 特定非公務 | B 公務 | B 特定非公務 | C 公務 | C 特定非公務 | D 公務 | E 公務 | |:------:|:------------------------:|:--------:|:----------------------------------------------------------------:|:-------------------------:|:-----------------------------:|:-----------------------:|:---------------------------------------------------------------:|:-------------------------:|:------:|:------:| | 管理 | 資通系統分級及防護基準 | | 一年內完成系統分級+控制措施，每年檢視一次 | 同左 | 同左 | 同左 | 一年內完成系統分級+兩年內完成控制措施，每年檢視一次 | 同左 | X | X | | | 資安系統導入及第三方驗證 | | 兩年內全部核心系統完成 CNS 27001 + ISO 27001，三年內完成第三方驗證 | 同左 | 同左 | 同左 | 兩年內全部核心系統完成 CNS 27001 + ISO 27001 | 同左 | X | X | | | 資安專責人員 | | 一年內專職人員 4 人 | 一年內人員 4 人 | 一年內專職人員 2 人 | 一年內人員 2 人 | 一年內專職人員 1 人 | 一年內人員 1 人 | X | X | | | 內部資安稽核 | | 一年 2 次 | 同左 | 一年 1 次 | 同左 | 兩年 1 次 | 同左 | X | X | | | 業務持續運作演練 | | 全部核心資通系統一年 1 次 | 同左 | 全部核心資通系統兩年 1 次 | 同左 | 同左 | 同左 | X | X | | | 資安治理成熟度評估 | | 一年 1 次 | X | 一年 1 次 | X | X | X | X | X | | 技術 | 安全性檢測 | 弱點掃描 | 全部核心資通系統一年 2 次 | 同左 | 全部核心資通系統一年 1 次 | 同左 | 全部核心資通系統兩年 1 次 | 同左 | X | X | | | | 滲透測試 | 全部核心資通系統一年 1 次 | 同左 | 全部核心資通系統兩年 1 次 | 同左 | 同左 | 同左 | X | X | | | 資安健診 | 網路架構檢視 | 一年 1 次 | 同左 | 兩年 1 次 | 同左 | 同左 | 同左 | X | X | | | | 網路惡意活動檢視 | 一年 1 次 | 同左 | 兩年 1 次 | 同左 | 同左 | 同左 | X | X | | | | 使用者端電腦惡意活動檢視 | 一年 1 次 | 同左 | 兩年 1 次 | 同左 | 同左 | 同左 | X | X | | | | 伺服器主機惡意活動檢視 | 一年 1 次 | 同左 | 兩年 1 次 | 同左 | 同左 | 同左 | X | X | | | | 目錄伺服器設定及防火牆連線設定檢視 | 一年 1 次 | 同左 | 兩年 1 次 | 同左 | 同左 | 同左 | X | X | | | 資安威脅偵測管理機制 | | 一年內完成威脅偵測機制建置+提交監管，監控範圍包含「端點偵測及應變機制」+「資通安全防護」+系統紀錄 | 一年內完成威脅偵測機制建置，監控範圍包含「資通安全防護」+系統紀錄 | 一年內完成威脅偵測機制建置+提交監管，監控範圍包含「端點偵測及應變機制」+「資通安全防護」+系統紀錄 | 一年內完成威脅偵測機制建置，監控範圍包含「資通安全防護」+系統紀錄 | X | X | X | X | | | 政府組態基準 | | 一年內完成導入 | X | 一年內完成導入 | X | X | X | X | X | | | 資安弱點通報機制 | | 一年內完成導入 | 同左 | 同左 | 同左 | 兩年內完成導入 | 同左 | X | X | | | 端點偵測及應變機制 | | 兩年內完成導入 | X | 兩年內完成導入 | X | X | X | X | X | | | 資安弱點通報機制 | | 兩年內完成導入 | X | 兩年內完成導入 | X | X | X | X | X | | | 資安防護 | 防毒軟體 | 一年內完成啟用 | 同左 | 同左 | 同左 | 同左 | 同左 | 同左 | X | | | | 網路防火牆 | 一年內完成啟用 | 同左 | 同左 | 同左 | 同左 | 同左 | 同左 | X | | | | 電子郵件過濾機制 | 一年內完成啟用 | 同左 | 同左 | 同左 | 同左 | 同左 | X | X | | | | 入侵偵測及防禦機制 | 一年內完成啟用 | 同左 | 同左 | 同左 | X | X | X | X | | | | 應用程式防火牆 | 一年內完成啟用 | 同左 | 同左 | 同左 | X | X | X | X | | | | 進階持續性威脅攻擊防禦措施 | 一年內完成啟用 | 同左 | X | X | X | X | X | X | | 認知與訓練 | 資安教育訓練 | 資通安全專職(責)人員 | 每人每年 12 小時資安專業課程/職能訓練 | 同左 | 同左 | 同左 | 同左 | 同左 | X | X | | | | 資通安全專職(責)人員以外資訊人員 | 每人每兩年 3 小時資安專業課程/職能訓練+每年 3 小時資安通識教育訓練 | 同左 | 同左 | 同左 | 同左 | 同左 | X | X | | | | 一般使用者及主管 | 每人每年 3 小時資安通識教育訓練 | 同左 | 同左 | 同左 | 同左 | 同左 | 同左 | 同左 | | | 資安專業證照(及職能訓練證書) | | 一年內 4 名資通安全專職(責)人員各自一張 | 同左 | 一年內 2 名資通安全專職(責)人員各自一張 | 同左 | 一年內 1 名資通安全專職(責)人員各自一張 | 同左 | X | X | ## 資通系統防護需求分級 - 以其中一構面最高者優先 > 機密性、完整性、可用性: 發生資安事件致資通系統受影響時的危害程度 > 法律遵循性: 未遵循相關法規使資安事件發生時的法律影響程度 | 構面 | 高 | 中 | 普 | |:----------:|:------------------------:|:------------:|:------------:| | 機密性 | 產生非常嚴重或災難性影響 | 產生嚴重影響 | 產生有限影響 | | 完整性 | 產生非常嚴重或災難性影響 | 產生嚴重影響 | 產生有限影響 | | 可用性 | 產生非常嚴重或災難性影響 | 產生嚴重影響 | 產生有限影響 | | 法律遵循性 | 使機關所屬人員負刑事責任 | 使機關或其所屬人員受行政罰、懲戒或懲處 | 其他相關規範 | ## 資通系統防護基準 - 大原則: 高要包含低 > X: 無要求 | 構面 | 措施內容 | 高 | 中 | 普 | |:----:|:--------:|:---:|:---:|:---:| | 存取控制 | 帳號管理 | 等級中+定義閒置時間或可使用期限與資通系統之使用情況及條件+超過定義閒置時間自動登出+監控系統帳號 | 等級普+停用逾期或閒置帳號+定期審核系統帳號申請、建立、修改、啟用、停用、刪除 | 建立帳號管理機制，包含申請、建立、修改、啟用、停用、刪除程序 | | | 最小權限 | 採最小權限原則，僅允許使用者完成任務所需之授權 | 同左 | X | | | 遠端存取 | 等級普+遠端來源應為已預先定義及管理之存取控制點 | 同左 | 遠端存取類型應先取得授權，建立使用限制、組態需求、連線需求及文件化+權限檢查於伺服器端完成+監控遠端存取連線+採用加密機制 | | 事件日誌與可歸責性 | 記錄事件 | 等級普+定期審查日誌 | 同左 | 訂定日誌記錄週期及留存政策，保留日誌至少六個月+確保系統有記錄特定事件之功能+記錄系統管理者帳號執行之各項功能 | | | 日誌紀錄內容 | 包含事件類型、發生時間、發生位置及任何相關使用者身分識別等資訊，採用單一日誌機制，確保輸出格式之一致性 | 同左 | 同左 | | | 日誌儲存容量 | 依據需求配置所需容量 | 同左 | 同左 | | | 日誌處理失效之回應 | 等級中+規定需要即時通報之日誌失效事件發生時對特定人員提出警告 | 日誌處理失效時應採適當行動 | 同左 | | | 時戳及校時 | 等級普+定期與基準時間源同步 | 同左 | 使用系統內部時鐘產生日誌時戳，並可對應到 UTC 或 GMT | | | 日誌資訊之保護 | 等級中+定期備份日誌至原系統外 | 等級普+使用雜湊或其他完整性確保機制 | 日誌存取管理僅限於有權限使用者 | | 營運持續計畫 | 系統備份 | 等級中+將備份還原作為營運持續計畫測試之一部分+與運作系統不同地點之獨立設施或防火櫃中儲存備份 | 等級普+定期測試備份資訊 | 訂定可容忍資料損失之時間要求+系統源碼與資料備份 | | | 系統備援 | 訂定中斷後至重新恢復服務之可容忍時間要求+服務中斷時於可容忍時間內由備援設備或其他方式取代 | 同左 | X | | 識別與鑑別 | 內部使用者之識別與鑑別 | 等級中+存取採取多重認證技術 | 系統應具備唯一識別及鑑別機關使用者功能，禁止使用共用帳號 | 同左 | | | 身分驗證管理 | 等級普+防範自動化程式登入或密碼更換嘗試+密碼重設發送一次性及具有時效性符記 | 同左 | 預設密碼登入時要求立即變更+身分驗證資訊不以明文傳輸+帳戶鎖定機制，驗證失敗達五次後十五分鐘內不允許該帳號繼續嘗試登入+強制最低密碼複雜度、最短及最長效期限制+密碼變更時不可與前三次使用過之密碼相同 | | | 鑑別資訊回饋 | 遮蔽鑑別過程中資訊 | 同左 | 同左 | | | 加密模組鑑別 | 密碼應加密或經雜湊處理後儲存 | 同左 | X | | | 非內部使用者之識別與鑑別 | 應識別及鑑別非機關使用者 | 同左 | 同左 | | 系統與服務獲得 | 系統發展生命週期需求階段 | 針對系統安全需求進行確認 | 同左 | 同左 | | | 系統發展生命週期設計階段 | 識別可能影響系統之威脅，進行風險分析及評估+評估結果回饋需求階段檢核項目並提出安全需求修正 | 同左 | X | | | 系統發展生命週期開發階段 | 等級中+執行源碼掃描+應具備發生嚴重錯誤時之通知機制 | 實作必要控制措施+避免軟體常見漏洞+發生錯誤時僅顯示簡短錯誤訊息及代碼，不包含詳細錯誤訊息 | 同左 | | | 系統發展生命週期測試階段 | 等級中+執行滲透測試 | 執行弱點掃描 | 同左 | | | 系統發展生命週期部署與維運階段 | 等級普+執行版本控制與變更管理 | 同左 | 針對資安威脅進行更新與修補，並關閉不必要服務及埠口+不使用預設密碼 | | | 系統發展生命週期委外階段 | 將系統發展生命週期各階段依等級將安全需求納入委外契約 | 同左 | 同左 | | | 獲得程序 | 區隔開發、測試及正式作業環境 | 同左 | X | | | 系統文件 | 儲存與管理系統發展生命週期相關文件 | 同左 | 同左 | | 系統與通訊保護 | 傳輸之機密性與完整性 | 應採用加密機制+使用公開、國際機構驗證且未遭破解之演算法+支援最大長度金鑰+定期更換加密金鑰或憑證+伺服器端金鑰保管應訂定管理規範及實施防護措施 | X | X | | | 資料儲存之安全 | 加密重要組態設定檔案及其他具保護需求資訊 | X | X | | 系統與資訊完整性 | 漏洞修復 | 等級普+定期確認漏洞修復狀態 | 同左 | 測試有效性及潛在影響，並定期更新 | | | 資通系統監控 | 等級中+採用自動化工具監控進出流量，發現不尋常或未授權活動時進行分析 | 等級普+監控資通系統 | 發現入侵跡象應通報特定人員 | | | 軟體及資訊完整性 | 等級中+定期執行軟體與資訊完整性檢查 | 使用完整性驗證工具+應用系統伺服器端檢查使用者輸入資料合法性+發現違反完整性時應實施安全保護措施 | X |