法務部及所屬機關資通安全事件緊急應變計畫

法規資訊(體驗新版植根法律網)

法規名稱：	法務部及所屬機關資通安全事件緊急應變計畫
時間：	中華民國102年2月26日

所有條文

一、依據及目的
  （一）依行政院國家資通安全會報九十八年二月五日資安發字第０九八
        ０一０００五三號函送「國家資通安全通報應變作業綱要」辦理
        。
  （二）目的：為利法務部（以下簡稱本部）及所屬機關於遭遇資通安全
        事件時，能迅速通報及緊急應變處置，並在最短時間內回復，以
        確保本部及所屬機關各項業務之正常運作，特訂定本計畫。

二、適用對象及時機
  （一）適用對象：本部及所屬機關。
  （二）適用時機：本部及所屬機關於發生重大資通安全事件或其他災害
        涉及資通安全事件時，應立即依本計畫辦理。

三、資通安全危機處理組織
  （一）為督導本部及所屬機關執行資通安全預防及危機通報、緊急應變
        處理等相關工作，本部應成立「資通安全處理小組」，負責督導
        所屬機關執行資通安全預防及危機通報、緊急應變處理等相關工
        作。
  （二）所屬機關為辦理資通安全等相關作業，應成立跨單位之「資通安
        全執行小組」，負責推動、協調及督導資訊安全管理事項，並負
        責資訊安全危機事項之通報及處理事宜。

四、安全防護機制
  （一）本部依「行政院及所屬各機關資訊安全管理要點」及「行政院及
        所屬各機關資訊安全管理規範」，規劃建置資通系統及網路安全
        整體防護環境，含系統存取控管機制、連線紀錄資料庫、建構防
        火牆軟硬體、虛擬私人網路（ VPN）、病毒掃描機制、入侵偵測
        系統（IDS ）、外部弱點掃描、頻寬管理、系統內部安全漏洞檢
        測（更新、補強）、儲備必要之備份資料、程式或異地備援、重
        要文件資料檔案採取加密方式儲存等防護工具或措施。
  （二）本部「資通安全處理小組」執行即時偵防、監測預警工作，藉由
        二十四小時之監測工具（如入侵偵測系統 IDS等）或國家資通安
        全會報通報應變組通告等方式掌握最新的預警訊息，並適時對單
        位內發布告警及因應處理措施，以控制及降低資通安全事件受損
        程度。
  （三）本部及所屬機關應依「行政院及所屬各機關資訊安全稽核作業規
        定」及「法務部及所屬機關資訊安全政策」等各項規定辦理資通
        安全管理工作。
  （四）所屬機關依資通安全防護需要，經洽本部「資通安全處理小組」
        同意後，可協調國家資通安全會報技術服務中心支援執行入侵偵
        測、安全掃瞄、漏洞檢測修復等安全體檢工作，以做好事前防禦
        準備。

五、資通安全事件定義及分類
  （一）內部危安事件：發現或疑似遭人為惡意破壞毀損、作業不慎等危
        安事件。
  （二）外力入侵事件：
        1.病毒感染事件。
        2.駭客攻擊或非法入侵事件。
  （三）天然災害或重大突發事件：
        1.天然災害：颱風、水災、地震或其他天然災害。
        2.重大突發事件：火災、爆炸、核子事故或其他重大突發事件。

六、資通安全事件等級
  （一）「4 級」：符合下列情形之一者：
        1.國家機密資料遭洩漏。
        2.國家重要資訊基礎建設系統或資料遭竄改。
        3.國家重要資訊基礎建設運作遭影響或系統停頓，無法於可容忍
          中斷時間內回復正常運作。
  （二）「3 級」：符合下列情形之一者：
        1.密級或敏感公務資料遭洩漏。
        2.核心業務系統或資料遭嚴重竄改。
        3.核心業務運作遭影響或系統停頓，無法於可容忍中斷時間內回
          復正常運作。
  （三）「2 級」：符合下列情形之一者：
        1.非屬密級或敏感之核心業務資料遭洩漏。
        2.核心業務系統或資料遭輕微竄改。
        3.核心業務運作遭影響或系統效率降低，於可容忍中斷時間內回
          復正常運作。
  （四）「1 級」：符合下列情形之一者：
        1.非核心業務資料遭洩漏。
        2.非核心業務系統或資料遭竄改。
        3.非核心業務運作遭影響或短暫停頓。

七、危機通報作業處理程序
  （一）本部及所屬機關於確認發生資通安全事件時，應向該機關之「資
        通安全處理小組」或「資通安全執行小組」反應，該小組應立即
        （最遲不得超過一個小時）填報「法務部及所屬機關資通安全事
        件通報單」傳真本部資通安全處理小組並至國家資通安全通報應
        變網站（以下簡稱通報應變網站）（ https：//www.ncert.nat.
        gov.tw）通報登錄資通安全事件細節、影響等級及支援申請等資
        訊。
  （二）本部及所屬機關於通報資通安全事件時，如因網路或電力中斷等
        事由，致使無法上網填報資通安全事件，與國家資通安全會報資
        通安全組聯繫，先行提供事件細節，並於網路通訊恢復正常後至
        通報應變網站補登錄通報。國家資通安全會報資通安全組聯繫資
        訊如下：
        1.聯絡電話：（02） 2733-9922（24小時專線電話）。
        2.傳真：（02）2733-1655 。
        3.電子郵件：service@icst.org.tw 。
  （三）所屬機關發現疑似資通安全事件，但無法確認是否屬資通安全事
        件時，可填具「法務部及所屬機關資通安全事件通報單」（勾選
        協助研判欄位），請求本部協助研判，本部「資通安全處理小組
        」於確認發生資通安全事件後，立即將研判結果以傳真、電話、
        或電子郵件方式傳送至該機關之「資通安全執行小組」據以執行
        通報程序。
  （四）本部「資通安全處理小組」聯絡人於接獲所屬機關之資通安全事
        件通報或國家資通安全會報通報應變組之資通安全事件通告後，
        應至通報應變網站查詢事件細節，評估該事件是否影響其他政府
        機關（構）或重要民生設施運作，並視需要向國家資通安全會報
        申請技術支援。如資通安全事件屬 3級、4 級事件，應於通報後
        一小時內完成審核；1 級、2 級事件應於通報後八小時內完成審
        核。
  （五）本部及所屬機關進行資通安全事件處理，3 級、4 級事件須於三
        十六小時內復原或完成損害管制；1 級、2 級事件應於七十二小
        時內復原或完成損害管制。
  （六）本部及所屬機關資通安全事件處理完畢，系統恢復正常運作時，
        應透過「法務部及所屬機關資通安全事件通報單」（勾選解除欄
        位）以傳真、電話、電子郵件方式或上網將處理情形通報至行政
        院國家資通安全會報通報應變組解除事件列管，並以傳真、電話
        、電子郵件（本部資安聯絡人公佈於內網）方式通報本部「資通
        安全處理小組」。
  （七）本部及所屬機關如遇資通安全事件，危及人員生命或設備遭到破
        壞等涉及民、刑事案件時，應經洽本部「資通安全處理小組」同
        意後，立即通報檢調單位請求處理。如引發重大災害時，應向災
        害防救體系提報，請求支援處理。
  （八）如發生災損，有關通報單之災害損失評估內容包括如下：作業影
        響情況、是否影響其他政府機關運作、設備或系統損害情況、作
        業延誤情況、資料受損項目、估算資通訊系統作業及資料回復所
        需時間、備援中心設備及人員支援狀況等。
  （九）本部「資通安全處理小組」於資通安全事件影響等級 1級及 2級
        時，由各分組視其影響程度通報執行秘書立即綜理全盤狀況，並
        依需要由執行秘書召集各分組及相關單位召開緊急會議；當資通
        安全等級達到 3級（含）以上時，由資通安全處理小組執行秘書
        立即通報召集人（資訊安全長），並即刻召集各分組及相關單位
        召開緊急應變會議處理全盤。

附件-法務部及所屬機關資通安全事件通報單

八、緊急應變作業處理程序
  （一）緊急應變優先順序：本部及所屬機關如遇發生重大資通安全事件
        或其他災害涉及資通安全事件時，有關緊急應變優先順序處理原
        則，參照「法務部資訊作業營運持續管理計畫」。
  （二）資通安全事件分類緊急應變程序
        1.內部危安事件：發現或疑似遭人為惡意破壞毀損、作業不慎等
          危安事件時，應迅速查明事件影響狀況、受損程度等，啟用備
          份資料、程式或啟動備援計畫相關措施，期儘速回復正常運作
          。
        2.病毒感染事件：病毒入侵後，立即聯絡防毒維護廠商協助掌握
          電腦病毒感染最新動態，隔離病毒，避免疫情擴散；同時儘速
          取得所需病毒清除程式，並按病毒修護程序，完成病毒清除及
          修護復原工作。
        3.駭客攻擊或非法入侵事件
         (1)發現攻擊或被入侵時，立即隔離受入侵系統及拒絕入侵者任
            何存取動作，如切斷入侵者之實體連線或調整防火牆設定等
            ，以阻絕駭客進一步入侵，並迅速啟動備援系統或程序。
         (2)全面檢討網路安全措施、修補安全漏洞或修正防火牆之設定
            等具體改善補救措施，以防止類似入侵或攻擊情事再度發生
            。
         (3)紀錄入侵情形、被駭統計分析及損失評估等資料，以供防護
            與預警之參考，並向主管機關或檢警單位反映。
        4.天然災害或重大突發事件應變程序
         (1)如遇颱風、水災、地震等天然災害或火災、爆炸、核子事故
            、重大建築災害等重大意外事件，應迅速攜帶重要資料及程
            式等離開現場，或儲存於防火保險櫃等設施內，以利爾後系
            統重置復原。
         (2)如遇資通訊網路系統骨幹（主幹頻寬）中斷事件，應立即聯
            繫線路租用及網路維護廠商查明障礙點、影響區間及範圍，
            啟動應變機制，緊急調撥備援系統或替代路由，實施流量控
            管，執行搶修作業。

九、復原追蹤鑑識
  （一）因資通安全事件受損之本部或所屬機關（以下簡稱受損機關）應
        速依資訊系統回復作業計畫之災難損害回復處理步驟，實施災後
        復原重建工作。
  （二）受損機關執行災後復原工作，應先檢驗資通安全環境及硬體設備
        是否可以正常運作，並執行環境重建、系統復原及掃描作業，其
        步驟包含軟硬體設備重新取得建置、重置作業系統及應用系統，
        以及運轉測試等；並俟運作正常後即進行安全備份檔案下載、資
        料回復、資料重置等相關事宜。
  （三）當危機解除後，受損機關應將災害應變處置復原過程之完整紀錄
        （如事件原因分析及檢討改善方案、防止類似事件再次發生之具
        體方案、稽核軌跡及蒐集分析相關證據等資料）建檔管制，以利
        爾後查考使用。
  （四）受損機關如有需要，應保留事件發生之線索，經洽本部「資通安
        全處理小組」同意後，向國家資通安全會報技術服務中心、法務
        部調查局資通安全處、檢警單位申請追蹤鑑識、偵查支援，藉研
        析稽核紀錄或入侵活動偵測等相關資料，釐清事件發生的原因與
        責任並找出防護系統之漏洞，尋求補強保護方法以避免事件再度
        發生。

十、獎懲標準
  （一）有下列情事之一者，應為獎勵：
        1.通報之資安事件資料具時效性，足以提醒本部及所屬機關及早
          防範，防止資安事件之擴大。
        2.通報之資安事件資料所提供之解決辦法，可供本部及所屬機關
          使用並具時效者。
        3.於資安事件通報後，積極辦理相關回復工作，降低對機關影響
          程度，績效顯著者。
        4.提供本部分析之紀錄，具事先預防機關內資安事件發生，並提
          供其他機關事前應對及預防效益者，應從優獎勵。
        5.各機關積極推動資通安全防護及通報作業，績效卓著應從優獎
          勵。
  （二）有下列情事之一者，應為懲處：
        1.本部及所屬機關通報之資安事件資料，經查明如有不實之處，
          將依法處置。
        2.未遵循本計畫進行資安事件通報、應變作業，致使政府或民眾
          權益損失情形嚴重者，除本部內部依法處置外，亦須依相關法
          令規章進行處分。