# 各機關資通安全事件通報及應變處理作業程序 ###### tags: `iPAS`, `資安`, `法規` - 筆記總表請參閱 [iPAS 資安法規及標準筆記](https://hackmd.io/@ywChen/H192F7VPC) [toc] ## 法源 - [數位發展部主管法規共用系統-法規內容-各機關資通安全事件通報及應變處理作業程序](https://law.moda.gov.tw/LawContent.aspx?id=FL095461) ## 目的 - 即時通報及應變 - 損害控制或復原 - 跡證保存 ## 通報應變小組  - 事件指揮官 - 通報應變小組總召集人，綜理全般業務 - 新聞官／組 - 對外發布新聞或說明之單一窗口 - 綜整與定期更新訊息及擬定溝通計畫 - 執行秘書 - 督辦通報應變小組各項業務 - 情資及計畫組 - 組成 - 資通安全專責人員 - 資訊人員 - 委外廠商或外部專家 - 資通安全事件通報及情資分享 - 釐清事件影響 - 清查各單位受影響情形 - 完成資通安全事件各階段通報 - 分享 IoC - 應變策略及計畫研擬 - 研擬損害控制、復原作業及跡證保存計畫 - 應變執行組 - 組成 - 資通安全專責人員 - 資訊人員 - 業務單位 - 委外廠商 - 執行損害控制 - 災害搶救及損害管制 - 復原作業 - 系統重建、弱點掃描或漏洞修補 - 跡證保全及留存 - 系統及網路設備事件日誌保存及管理 - 後勤調度組 - 組成 - 資通安全專責人員 - 資訊人員 - 委外廠商或外部專家 - 事件根因查找 - 鑑識分析 - 防堵 C2 - 提出改善建議 - 短、中、長期改善建議 - 彙整改善報告 - 撰寫調查、處理及改善報告 - 追蹤管考 - 財務行政組 - 預算調撥及行政支援 ## 資通安全事件通報及應變程序  - 通報資安事件 - 情資及計畫組通報主管機關 - 三四級資安事件，須通報上級或主管機關 - 組成通報應變小組與召開事件應變會議 - 三四級資安事件先完成初步損害控制 - 討論 - 資通安全事件概況 - 評估受影響範圍 - 其他必要之討論事項 - 損害控制或復原作業 - 應變執行組執行損害控制或復原作業 - 確認具體受害範圍 - 優先恢復對外服務及核心資通系統運作 - 評估是否於可容忍中斷時間內恢復服務及對利害關係人影響 - 是否對外公告事件相關內容 - 完成損害控制或復原作業後通知主管機關 - (三四級) 定時向事件指揮官、通報應變小組成員、上級機關回報控制措施成效 - (三四級) 涉及個人資料外洩應評估通知當事人之適當方式 - 事件根因分析 - 後勤調度組執行 - 保存相關跡證 - 惡意程式建議得請防毒軟體或資安服務公司檢測，並上傳至 Virus Check 網站 - 根因調查 - 提出紀錄分析 - 發現惡意程式應提出惡意程式分析 - 評估短、中、長期資安管理改善策略 - 短期: 完成可立即性修補項目之調整 - e.g. 換密碼 - 中期: 三至六個月內完成之強化作為 - e.g. 換設備 - 長期: 二年內完成之管理改善建議 - e.g. 教育訓練 - 執行秘書提報事件調查根因及改善策略，彙整送交上級機關 - 改善追蹤 - 評估改善作為期程 - 評估執行成效並據以調整改善策略 - 配合上級機關 - (三四級) 執行秘書定期回報各階段改善措施執行成效，彙整送交上級機關 - 送交調查、處理及改善報告給主管機關 - (三四級) 密件 - 改善事項定期追蹤管考 ## 跡證保存 - 保存 log 並定期備份到不同主機 - A 級 - 保存全部資通系統與各項資通及防護設備最近六個月的紀錄 - B 級 - 保存全部核心資通系統與相連之資通及防護設備最近六個月的紀錄 - C 級 - 保存全部核心資通系統最近六個月的紀錄 - 保存項目 - 作業系統日誌 - 網站日誌 - 應用程式日誌 - 登入日誌 - 保存原則 - 優先採取隔離機制 - 設備關機 - 網路連線中斷或隔離 - 關閉服務 - 限制連線 - 限制權限 - 有限度修補漏洞 - 備援 - 無備援機制 - 備份受害系統儲存媒介 - 以乾淨儲存媒介重建系統 - 系統測試 - 有備援機制 - 切換至備援系統提供服務 - 保留受害系統及設備 - 根因分析或完整備份後重建系統 - 切換至原系統提供服務 - 備援設備亦為受害範圍 - 維持最低限度對外運作為原則，保存受害跡證