一、依據及目的
(一)依行政院國家資通安全會報九十八年二月五日資安發字第0九八
0一000五三號函送「國家資通安全通報應變作業綱要」辦理
。
(二)目的:為利法務部(以下簡稱本部)及所屬機關於遭遇資通安全
事件時,能迅速通報及緊急應變處置,並在最短時間內回復,以
確保本部及所屬機關各項業務之正常運作,特訂定本計畫。
|
二、適用對象及時機
(一)適用對象:本部及所屬機關。
(二)適用時機:本部及所屬機關於發生重大資通安全事件或其他災害
涉及資通安全事件時,應立即依本計畫辦理。
|
三、資通安全危機處理組織
(一)為督導本部及所屬機關執行資通安全預防及危機通報、緊急應變
處理等相關工作,本部應成立「資通安全處理小組」,負責督導
所屬機關執行資通安全預防及危機通報、緊急應變處理等相關工
作。
(二)所屬機關為辦理資通安全等相關作業,應成立跨單位之「資通安
全執行小組」,負責推動、協調及督導資訊安全管理事項,並負
責資訊安全危機事項之通報及處理事宜。
|
四、安全防護機制
(一)本部依「行政院及所屬各機關資訊安全管理要點」及「行政院及
所屬各機關資訊安全管理規範」,規劃建置資通系統及網路安全
整體防護環境,含系統存取控管機制、連線紀錄資料庫、建構防
火牆軟硬體、虛擬私人網路( VPN)、病毒掃描機制、入侵偵測
系統(IDS )、外部弱點掃描、頻寬管理、系統內部安全漏洞檢
測(更新、補強)、儲備必要之備份資料、程式或異地備援、重
要文件資料檔案採取加密方式儲存等防護工具或措施。
(二)本部「資通安全處理小組」執行即時偵防、監測預警工作,藉由
二十四小時之監測工具(如入侵偵測系統 IDS等)或國家資通安
全會報通報應變組通告等方式掌握最新的預警訊息,並適時對單
位內發布告警及因應處理措施,以控制及降低資通安全事件受損
程度。
(三)本部及所屬機關應依「行政院及所屬各機關資訊安全稽核作業規
定」及「法務部及所屬機關資訊安全政策」等各項規定辦理資通
安全管理工作。
(四)所屬機關依資通安全防護需要,經洽本部「資通安全處理小組」
同意後,可協調國家資通安全會報技術服務中心支援執行入侵偵
測、安全掃瞄、漏洞檢測修復等安全體檢工作,以做好事前防禦
準備。
|
五、資通安全事件定義及分類
(一)內部危安事件:發現或疑似遭人為惡意破壞毀損、作業不慎等危
安事件。
(二)外力入侵事件:
1.病毒感染事件。
2.駭客攻擊或非法入侵事件。
(三)天然災害或重大突發事件:
1.天然災害:颱風、水災、地震或其他天然災害。
2.重大突發事件:火災、爆炸、核子事故或其他重大突發事件。
|
六、資通安全事件等級
(一)「4 級」:符合下列情形之一者:
1.國家機密資料遭洩漏。
2.國家重要資訊基礎建設系統或資料遭竄改。
3.國家重要資訊基礎建設運作遭影響或系統停頓,無法於可容忍
中斷時間內回復正常運作。
(二)「3 級」:符合下列情形之一者:
1.密級或敏感公務資料遭洩漏。
2.核心業務系統或資料遭嚴重竄改。
3.核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內回
復正常運作。
(三)「2 級」:符合下列情形之一者:
1.非屬密級或敏感之核心業務資料遭洩漏。
2.核心業務系統或資料遭輕微竄改。
3.核心業務運作遭影響或系統效率降低,於可容忍中斷時間內回
復正常運作。
(四)「1 級」:符合下列情形之一者:
1.非核心業務資料遭洩漏。
2.非核心業務系統或資料遭竄改。
3.非核心業務運作遭影響或短暫停頓。
|
七、危機通報作業處理程序
(一)本部及所屬機關於確認發生資通安全事件時,應向該機關之「資
通安全處理小組」或「資通安全執行小組」反應,該小組應立即
(最遲不得超過一個小時)填報「法務部及所屬機關資通安全事
件通報單」傳真本部資通安全處理小組並至國家資通安全通報應
變網站(以下簡稱通報應變網站)( https://www.ncert.nat.
gov.tw)通報登錄資通安全事件細節、影響等級及支援申請等資
訊。
(二)本部及所屬機關於通報資通安全事件時,如因網路或電力中斷等
事由,致使無法上網填報資通安全事件,與國家資通安全會報資
通安全組聯繫,先行提供事件細節,並於網路通訊恢復正常後至
通報應變網站補登錄通報。國家資通安全會報資通安全組聯繫資
訊如下:
1.聯絡電話:(02) 2733-9922(24小時專線電話)。
2.傳真:(02)2733-1655 。
3.電子郵件:service@icst.org.tw 。
(三)所屬機關發現疑似資通安全事件,但無法確認是否屬資通安全事
件時,可填具「法務部及所屬機關資通安全事件通報單」(勾選
協助研判欄位),請求本部協助研判,本部「資通安全處理小組
」於確認發生資通安全事件後,立即將研判結果以傳真、電話、
或電子郵件方式傳送至該機關之「資通安全執行小組」據以執行
通報程序。
(四)本部「資通安全處理小組」聯絡人於接獲所屬機關之資通安全事
件通報或國家資通安全會報通報應變組之資通安全事件通告後,
應至通報應變網站查詢事件細節,評估該事件是否影響其他政府
機關(構)或重要民生設施運作,並視需要向國家資通安全會報
申請技術支援。如資通安全事件屬 3級、4 級事件,應於通報後
一小時內完成審核;1 級、2 級事件應於通報後八小時內完成審
核。
(五)本部及所屬機關進行資通安全事件處理,3 級、4 級事件須於三
十六小時內復原或完成損害管制;1 級、2 級事件應於七十二小
時內復原或完成損害管制。
(六)本部及所屬機關資通安全事件處理完畢,系統恢復正常運作時,
應透過「法務部及所屬機關資通安全事件通報單」(勾選解除欄
位)以傳真、電話、電子郵件方式或上網將處理情形通報至行政
院國家資通安全會報通報應變組解除事件列管,並以傳真、電話
、電子郵件(本部資安聯絡人公佈於內網)方式通報本部「資通
安全處理小組」。
(七)本部及所屬機關如遇資通安全事件,危及人員生命或設備遭到破
壞等涉及民、刑事案件時,應經洽本部「資通安全處理小組」同
意後,立即通報檢調單位請求處理。如引發重大災害時,應向災
害防救體系提報,請求支援處理。
(八)如發生災損,有關通報單之災害損失評估內容包括如下:作業影
響情況、是否影響其他政府機關運作、設備或系統損害情況、作
業延誤情況、資料受損項目、估算資通訊系統作業及資料回復所
需時間、備援中心設備及人員支援狀況等。
(九)本部「資通安全處理小組」於資通安全事件影響等級 1級及 2級
時,由各分組視其影響程度通報執行秘書立即綜理全盤狀況,並
依需要由執行秘書召集各分組及相關單位召開緊急會議;當資通
安全等級達到 3級(含)以上時,由資通安全處理小組執行秘書
立即通報召集人(資訊安全長),並即刻召集各分組及相關單位
召開緊急應變會議處理全盤。
|
八、緊急應變作業處理程序
(一)緊急應變優先順序:本部及所屬機關如遇發生重大資通安全事件
或其他災害涉及資通安全事件時,有關緊急應變優先順序處理原
則,參照「法務部資訊作業營運持續管理計畫」。
(二)資通安全事件分類緊急應變程序
1.內部危安事件:發現或疑似遭人為惡意破壞毀損、作業不慎等
危安事件時,應迅速查明事件影響狀況、受損程度等,啟用備
份資料、程式或啟動備援計畫相關措施,期儘速回復正常運作
。
2.病毒感染事件:病毒入侵後,立即聯絡防毒維護廠商協助掌握
電腦病毒感染最新動態,隔離病毒,避免疫情擴散;同時儘速
取得所需病毒清除程式,並按病毒修護程序,完成病毒清除及
修護復原工作。
3.駭客攻擊或非法入侵事件
(1)發現攻擊或被入侵時,立即隔離受入侵系統及拒絕入侵者任
何存取動作,如切斷入侵者之實體連線或調整防火牆設定等
,以阻絕駭客進一步入侵,並迅速啟動備援系統或程序。
(2)全面檢討網路安全措施、修補安全漏洞或修正防火牆之設定
等具體改善補救措施,以防止類似入侵或攻擊情事再度發生
。
(3)紀錄入侵情形、被駭統計分析及損失評估等資料,以供防護
與預警之參考,並向主管機關或檢警單位反映。
4.天然災害或重大突發事件應變程序
(1)如遇颱風、水災、地震等天然災害或火災、爆炸、核子事故
、重大建築災害等重大意外事件,應迅速攜帶重要資料及程
式等離開現場,或儲存於防火保險櫃等設施內,以利爾後系
統重置復原。
(2)如遇資通訊網路系統骨幹(主幹頻寬)中斷事件,應立即聯
繫線路租用及網路維護廠商查明障礙點、影響區間及範圍,
啟動應變機制,緊急調撥備援系統或替代路由,實施流量控
管,執行搶修作業。
|
九、復原追蹤鑑識
(一)因資通安全事件受損之本部或所屬機關(以下簡稱受損機關)應
速依資訊系統回復作業計畫之災難損害回復處理步驟,實施災後
復原重建工作。
(二)受損機關執行災後復原工作,應先檢驗資通安全環境及硬體設備
是否可以正常運作,並執行環境重建、系統復原及掃描作業,其
步驟包含軟硬體設備重新取得建置、重置作業系統及應用系統,
以及運轉測試等;並俟運作正常後即進行安全備份檔案下載、資
料回復、資料重置等相關事宜。
(三)當危機解除後,受損機關應將災害應變處置復原過程之完整紀錄
(如事件原因分析及檢討改善方案、防止類似事件再次發生之具
體方案、稽核軌跡及蒐集分析相關證據等資料)建檔管制,以利
爾後查考使用。
(四)受損機關如有需要,應保留事件發生之線索,經洽本部「資通安
全處理小組」同意後,向國家資通安全會報技術服務中心、法務
部調查局資通安全處、檢警單位申請追蹤鑑識、偵查支援,藉研
析稽核紀錄或入侵活動偵測等相關資料,釐清事件發生的原因與
責任並找出防護系統之漏洞,尋求補強保護方法以避免事件再度
發生。
|
十、獎懲標準
(一)有下列情事之一者,應為獎勵:
1.通報之資安事件資料具時效性,足以提醒本部及所屬機關及早
防範,防止資安事件之擴大。
2.通報之資安事件資料所提供之解決辦法,可供本部及所屬機關
使用並具時效者。
3.於資安事件通報後,積極辦理相關回復工作,降低對機關影響
程度,績效顯著者。
4.提供本部分析之紀錄,具事先預防機關內資安事件發生,並提
供其他機關事前應對及預防效益者,應從優獎勵。
5.各機關積極推動資通安全防護及通報作業,績效卓著應從優獎
勵。
(二)有下列情事之一者,應為懲處:
1.本部及所屬機關通報之資安事件資料,經查明如有不實之處,
將依法處置。
2.未遵循本計畫進行資安事件通報、應變作業,致使政府或民眾
權益損失情形嚴重者,除本部內部依法處置外,亦須依相關法
令規章進行處分。
|