壹、依據九十一年六月六日行政院  院長核定第二次修訂「建立我國通資
    訊基礎建設安全機制計畫」辦理。

貳、行政院國家資通安全會報 （以下簡稱「本會報」） 為有效掌握我國
    政府機關及重要公民營事業機構之資通訊及網路系統遭受破壞、不當
    使用等危安或重大災害事件，能迅速通報及緊急應變處置，並在最短
    時間內回復，以確保國家利益與政府之正常運作，特定資通安全事件
    危機通報緊急應變作業注意事項 （以下簡稱「本注意事項」） 。

參、本注意事項適用對象及時機：
一、適用對象：運用（擁有）資通訊及網路系統，進行電子化作業之政府
    機關及重要公民營事業機構（如資通訊、能源、運輸、金融、救災、
    衛生醫療等體系業者） 。
二、適用時機：政府機關及重要公民營事業機構，於發生重大資通安全事
    件或其他災害涉及資通安全事件時，應立即依本作業注意事項辦理。

肆、於本會報下設置「國家資通安全應變中心」（以下簡稱「應變中心」
    ），應變中心係一任務編組，召集人由本院 NICI 小組總召集人兼任
    ，副召集人三員由國家安全會議派員兼任、行政院主計處電子中心主
    任兼任及行政院科技顧問組執行秘書兼任。

伍、資通安全事件等級概分為四級：
    『Ａ』級：影響公共安全、社會秩序、人民生命財產。
    『Ｂ』級：系統停頓，業務無法運作。
    『Ｃ』級：業務中斷，影響系統效率。
    『Ｄ』級：業務短暫停頓，可立即修復。

陸、資通安全事件危機通報作業注意事項：
一、各機關（機構）應成立常態任務編組之「資通安全處理小組」，負責
    執行資通安全預防及危機通報、緊急應變處理相關措施；各分組主責
    單位平時即應建立其轄管之單位或重要目的事業機構之通報聯絡網及
    技術支援聯絡網等人員名冊。
二、資通安全事件影響層面如遇重大災害，且影響層面深廣、受損程度嚴
    重時（如外力入侵、資通訊網路系統骨幹中斷重大突發事件等，或水
    、火災、地震、天然災害等涉及資通安全事件者），應儘速向危機通
    報分組通報；惟如屬一般性【Ｄ級（含）以下】，僅涉及單位內、受
    損程度輕微時（如內部危安、電腦病毒感染），可由各單位自行處置
    ，並逕行通報。
三、資通安全事件危機通報作業程序如下：
  （一）各機關（機構）資訊或通信系統用戶端於發生危安事故時，應立
        即（最遲不得超過三十分鐘）向所屬單位之「資通安全處理小組
        」反應事實或請求支援，完成內部通報流程。「資通安全處理小
        組」則依據事故狀況，評估相關可能因素，藉由上網或資料庫等
        查詢方式，以尋求解決方案，儘速協助用戶端進行緊急應變處置
        。
  （二）各機關（機構）「資通安全處理小組」於發生危安事故時，應將
        事件發生之事實、可能影響之範圍、損失評估、判斷支援申請、
        採取之應變措施等事項，立即（最遲不得超過三十分鐘）填具「
        資通安全事件通報單」，並透過上網、固網電話、行動電話、衛
        星電話、傳真、國家資通安全應變中心（N-CERT）網頁或電子郵
        件等方式，通報至「國家資通安全應變中心」及其隸屬之分組召
        集單位；應變中心值勤人員接獲通報單後，立即據以處置，並陳
        報相關長官及列入管制。
  （三）各分組召集單位一旦接獲通報開始，即迅速掌握全般狀況，並適
        時指導各轄管之單位或重要目的事業機構，採取相關因應作為或
        協調危機通報分組提供技術支援，以迅速解決狀況，並降低資安
        事件之危害。
  （四）各機關（機構）如遇資通安全事件，危及人員生命或設備遭到破
        壞等涉及民、刑事案件時，應即時通報檢調單位請求處理。
  （五）如發生災損，有關通報單之災害損失評估內容包括如下：作業影
        響情況、設備或系統損害情況、作業延誤情況、資料受損項目、
        估算資通訊系統作業及資料回復所需時間、備援中心設備及人員
        支援狀況等。

柒、資通安全事件緊急應變作業注意事項：
一、事前建置安全防護機制：
  （一）各機關（機構）應主動積極建立事前安全防護、事中預警應變、
        事後復原鑑識等機制；並為確保機關組織功能正常運作，依據組
        織風險評估界定，針對遭遇內部危安（如人為破壞）、外力入侵
        （如病毒感染、駭客攻擊、非法入侵）、天然災害或重大突發（
        如水災、火災、地震、資通訊網路系統骨幹中斷）等事件，訂定
        有關資通安全危機通報緊急應變計畫暨處置復原作業程序；同時
        藉由事先律定之相關災害預防、緊急應變對策、回復計畫等措施
        及定期演練，以建立緊急應變能量。
  （二）各機關（機構）應依通資訊基礎建設安全機制計畫之防護、識別
        、回復等層面，並參照「行政院及所屬各機關資訊安全管理要點
        、管理規範」等，規劃建置資通系統或網路安全整體防護環境，
        如系統存取控管機制、連線紀錄資料庫、建構防火牆軟硬體、虛
        擬私人網路（VPN）、病毒掃描機制、身分認證授權、資料加
        解密、電子簽章、入侵偵測系統（IDS）、外部弱點掃描、頻
        寬管理、系統內部安全漏洞檢測（更新、補強）暨資料庫（含解
        決方案）建立、電磁脈衝防護、定期體檢、儲備必要之備份資料
        、程式或異地備援（簽訂備援協議）、極重要及重要文件資料檔
        案應採取加密方式儲存或實體隔離等防護工具或措施。並制訂資
        通安全管理政策及制度、作業規範等相關措施，定期實施安全稽
        核、網路監控、人員安全管理等機制，以強化資通安全整體防護
        能力，降低安全威脅及災害損失。
  （三）稽核服務工作組（行政院主計處電子中心）應針對前述政府各機
        關（機構）建立之資通安全防護環境及相關措施，列入年度定期
        稽核工作項目，期儘早發現系統安全漏洞暨完成修復補強。
  （四）各機關（機構）可依資通安全防護需要，協調技服中心支援執行
        入侵偵測、安全掃瞄、漏洞檢測修復等安全體檢工作，以做好事
        前防禦準備。
  （五）各機關（機構）應就主管業務需求，規劃建置資通訊網路系統骨
        幹（含主幹頻寬）實體備援能量及緊急應變機制；期於資通訊網
        路系統中斷時，得立即啟動緊急備援機制，儘速回復正常運作。
二、事中主動預警緊急應變：
  （一）資訊蒐集工作組（國科會）及技術服務中心應主動積極蒐集彙整
        資通安全危害通告資訊，提供危機通報工作組（行政院主計處電
        子中心）主動於有關網站公告或透過「資通安全通報聯絡網」通
        報相關單位，並視其影響程度由國家資通安全應變中心副召集人
        （行政院主計處電子中心主任）透過媒體對外發布有關訊息。
  （二）危機通報分組應主動發出「資通安全危害通告資訊（如最新電腦
        病毒疫情、漏洞、弱點及駭客攻擊等）之預警訊息、防範須知或
        解決方案」，並依「資通安全通報聯絡網」即時通知應變中心下
        各分組召集單位轉知其轄管之單位或重要目的事業機構，妥採因
        應作為，並加強防範措施。
  （三）各機關（機構）「資通安全處理小組」執行即時偵防、監測預警
        工作時，可藉由二十四小時之監測工具（如入侵偵測系統IDS
        等）或危機通報分組通告等方式，以掌握最新的預警訊息，並適
        時對單位內發布警告訊息及控制發展趨勢，以降低受損程度。
  （四）資通安全事件緊急應變優先順序如后：各機關（機構）如遇發生
        重大資通安全事件或其他災害涉及資通安全事件時，有關緊急應
        變優先順序處理原則請依左表辦理；並請各分組主責單位督導轄
        管之單位或重要目的事業機構等，儘速依本注意事項暨相關規定
        執行應變處置事宜。

      ┌──────┬─────────┬──────────┐
      │優先順序    │主優先            │次優先              │
      ├─┬────┼─────────┼──────────┤
      │一│國防體系│軍用通信、資訊骨幹│指管通資情監偵網路、│
      │  │        │（主幹頻寬）      │國軍行政網路        │
      ├─┼────┼─────────┼──────────┤
      │二│資通訊體│民營通信、資訊骨幹│專屬系統（如台電核能│
      │  │系      │（主幹頻寬）      │管理、電力調度、中油│
      │  │        │                  │油料調度系統等）、公│
      │  │        │                  │眾網路（如 GSN、TANE│
      │  │        │                  │T 網路、ISP 、固網等│
      │  │        │                  │）、一般網路        │
      ├─┼────┼─────────┼──────────┤
      │三│能源體系│核能、電力        │石油、瓦斯、自來水  │
      ├─┼────┼─────────┼──────────┤
      │四│運輸體系│航管              │大眾運輸            │
      ├─┼────┼─────────┼──────────┤
      │五│金融體系│金融、證券、關貿  │ 稅務               │
      ├─┼────┼─────────┼──────────┤
      │六│救災體系│防救災緊急通信、資│                    │
      │  │        │訊系統            │                    │
      ├─┼────┼─────────┼──────────┤
      │七│衛生醫療│醫療資訊系統      │健保資訊系統        │
      │  │體系    │                  │                    │
      ├─┼────┼─────────┼──────────┤
      │八│治安體系│警務通信網路、警政│                    │
      │  │        │資訊系統          │                    │
      ├─┼────┼─────────┼──────────┤
      │九│政府服務│政府重要機關服務網│政府一般機關服務網站│
      │  │體系    │站 （如總統府等） │（如戶役政、地政、學│
      │  │        │                  │校、交控、監理等）  │
      └─┴────┴─────────┴──────────┘
  （五）資通安全事件緊急應變措施如下：
      1.各機關就資通安全危害事件之徵兆，查明事件原因、安全等級區
        分、判定可能影響範圍、評估可能損失、判斷是否需要支援申請
        等作業項目逐一檢討與處置；並保留被入侵或破壞等證據（如網
        頁置換等） 。
      2.透過系統弱點（病毒）資料庫、上網站、技術支援單位（或廠商
        ）等方式，查詢獲得解決方案（如下載漏洞修補程式、解毒程式
        等）；或依既定之緊急應變計畫，實施災害緊急應變搶修處置（
        如保護、救援、回復運轉等），並持續性主動積極之監控與追蹤
        管制。
      3.視災損程度啟動備援計畫、異地備援或備援中心等應變措施。
      4.如屬新生（以往未發生過）無法解決之危害事件，應迅速向危機
        通報分組反映，請求提供相關技術支援。
      5.執行其他災害應變及防止事件擴大之措施。
  （六）資通安全事件分類應變步驟如下：
      1.內部危安事件：發現（或疑似）遭人為惡意破壞毀損、作業不甚
        等危安事件時，應迅速查明事件影響狀況、受損程度等，啟用備
        分資料、程式或啟動備援計畫相關措施，期儘速回復正常運作。
      2.外力入侵事件：
     （1）病毒感染事件：病毒入侵後，隨時掌握電腦病毒感染最新動態
          ，隔離病毒避免疫情擴散；同時儘速取得所需病毒清除程式，
          並按病毒修護程序，完成病毒清除及修護復原工作。
     （2）駭客攻擊 （或非法入侵） 事件：
          A.發現（或）被入侵時，立即隔離受入侵系統及拒絕入侵者任
            何存取動作，如切斷入侵者之實體連線或調整防火牆設定等
            ，以阻絕駭客進一步入侵，並迅速啟動備援系統或程序。
          B.如入侵者已被嚴密監控暨不危害內部（含 DMZ  非軍事區）
            網路安全下，可考慮讓入侵者作有條件的連接，適度允許其
            繼續動作，以利追查入侵者 IP 位置；並利用稽核檔案或系
            統指令、聯合 ISP  公司等方式，追蹤入侵者行蹤。惟一旦
            入侵者危害到內部（含 DMZ  非軍事區）網路安全，則立即
            切斷入侵者之實體連線。
          C.全面檢討網路安全措施、修補安全漏洞或修正防火牆之設定
            等具體改善補救措施，以防止類似入侵或攻擊情事再度發生
            。
          D.正式紀錄入侵情形、被駭統計分析及損失評估等資料，以供
            防護與預警之參考，並向主管機關或檢警單位反映。
      3.天然災害或重大突發事件：
     （1）如遇颱風、水災、地震等天然災害或火災、爆炸、核子事故、
          重大建築災害等重大意外事件，應迅速攜帶重要資料及程式等
          離開現場，或儲存於防火保險櫃等設施內，以利爾後系統重置
          復原。
     （2）如遇資通訊網路系統骨幹（主幹頻寬）中斷事件，應立即查明
          障礙點、影響區間及範圍，啟動應變機制，緊急調撥備援系統
          或替代路由，實施流量控管，執行搶修作業。
三、事後復原追蹤鑑識偵查：
  （一）受損單位速依應變（回復）計畫，實施災後復原重建。
  （二）受損單位執行災後復原工作，首先檢驗資通安全環境及硬體設備
        是否可以正常運作，並執行環境重建、系統復原及掃描作業，其
        步驟包含軟硬體設備重新取得建置、重置作業系統及應用系統，
        以及運轉測試等；並俟運作正常後即進行安全備份檔案下載、資
        料回復、資料重置等相關事宜。
  （三）當危機解除後，受損單位應將災害應變處置復原過程相關完整紀
        錄（如事件原因分析及檢討改善方案、防止類似事件再次發生之
        具體方案、稽核軌跡及蒐集分析相關證據等資料），予以建檔管
        制（如建立資通安全事件資料庫或列入更新解決方案資料庫等）
        ，以利爾後查考使用。
  （四）受損單位如有需要，應保留事件發生之線索，向技術服務中心或
        檢警單位申請追蹤鑑識、偵查支援，藉研析稽核紀錄或入侵活動
        偵測等相關資料，以釐清事件發生的原因與責任；並找出防護系
        統之漏洞，尋求補強保護方法，避免事件再度發生。

捌、應變中心實施緊急應變作業注意事項：
一、除資通安全通報體系於平時依行政體制運作外，緊急狀況通報應變或
    重點任務需要時由危機通報工作組（行政院主計處電子中心）負責籌
    劃運作，視需要邀集相關機關進駐應變中心，並隨時掌握政府機關等
    重要資通網路之安全狀況及採取緊急應變處置事宜。
二、影響等級『Ｂ』級（含）以下時，由危機通報分組視其影響程度負責
    通報各副召集人處理，並依需要由副召集人召集各分組及相關單位召
    開緊急應變會議或立即進駐應變中心處理全般狀況；當危機通報分組
    回報影響等級達到『Ａ』級時，由應變中心副召集人立即通報召集人
    ，並即刻召集各分組及相關單位進駐應變中心召開緊急應變會議處理
    全般狀況；技術服務中心應於接獲通知後一小時內即刻成立「資通安
    全技術服務團」，執行資通安全事件應變相關事宜，採取定時回報制
    度，俾便掌握應變處理情形。
三、應變中心成立期間，危機通報分組應每日定時邀集應變中心各分組召
    開「緊急應變會議」（綜合業務組及技服中心協助支援），會議程序
    由技服中心、危機通報分組、國防體系分組、行政機構分組、學術機
    構分組、事業機構分組（一）、（二）、（三）、（四）等各分組，
    分別提報災損狀況、應變處置方式及研議解決方案。各分組召集單位
    自事件開始即應依權責追蹤管制處理全般事項，期於最短時間內回復
    系統正常運作。
四、應變中心成立期間，如遇資通安全事件擴大至重大災害發生時，危機
    通報分組應儘速將災損狀況及處置方式向「中央防救災指揮中心」通
    報處理；如遇地震、水災、火災等天然災害時，危機通報分組應視資
    通安全事件災損影響狀況，儘速與「消防署救災救護指揮中心」通聯
    ，以獲得災損狀況、災情統計等資料；如遇軍事作戰狀態時，危機通
    報分組應視資通安全事件災損影響狀況，儘速與「國防部作戰指揮中
    心」通聯，以獲得戰損等相關情資，以利適時採取緊急應變措施。
五、影響等級如為『Ｃ』、『Ｄ』級或未召開緊急應變會議時，危機通報
    分組仍應自事件通報開始至應變處置結束期間，全程主動追蹤掌握狀
    況暨管制回報。
六、應變中心對於需要支援之單位，視需要項目，由危機通報分組及技術
    服務中心協調各工作組、分組提供支援，期迅速獲得有效解決方案及
    回復正常運作。
七、危機通報分組於事件結束後，應主動蒐整事件之處置過程紀錄、解決
    方案、資料存檔管制或爾後應加強之防範措施等資訊，送交各相關單
    位參考改善，以加強資通安全防護機制。