一、依據
中華民國九十八年二月五日行政院國家資通安全會報函頒「國家資通
安全通報應變作業綱要」
|
二、緣起
中華民國九十年一月十七日行政院通過「建立我國通資訊基礎建設安
全機制計畫」,並且成立跨部會專責資訊安全的「國家資通安全會報
」,統籌推動我國資訊與通訊安全作業,積極防範與遏阻駭客入侵或
內部破壞行為,建立我國政府機關之資安防護體系。
為落實國家資通安全事件通報與應變,行政院國家資通安全會報規劃
行政院轄下各部會、直轄市與地方政府成立資通安全處理小組,並要
求於每年對所屬機關舉辦乙次資安事件通報演練。本資安通報演練計
畫即在檢驗本部所屬各機關在面臨各種資安突發狀況時的通報與應變
能力。
|
三、目的
本部資通安全處理小組及所屬各機關資訊安全執行小組在面臨各種資
安突發狀況時之通報與應變相關作業,應符合下列效益:
(一)推廣資安認知觀念,建立危機意識。
(二)建全資安通報機制,加強應變能力。
(三)強化資訊作業安全,提升 e 化能量。
(四)確保所屬機關擁有安全、可信賴之資訊通訊環境。
|
四、計畫作為
本計畫內容如下:
(一)演練時間
於每年四至九月擇定一個月為演練期,並於正式舉辦資安通報演
練前召開啟動會議。
(二)參與機關(單位)
1.參與演練之機關為本部資通安全處理小組及所屬機關資訊安全
執行小組。
2.本部資通安全處理小組在本項通報演練作業中,分 3組分工執
行各項任務:應用系統組、設備網路組及使用稽核組,組織架
構如附圖。
(三)演練說明
1.演練實施前,設備網路組須先與行政院研究發展考核委員會(
以下簡稱行政院研考會)、行政院國家資通安全會報聯繫。演
練作業流程如附件一。
2.參與演練之機關(以下簡稱參演機關)遴選方式,由應用系統
組(資訊處一科)依業務體系隨機抽取三分之一以上所屬機關
參與演練,惟前一年度參與資安演練通報程序不完整之機關及
被行政院研考會列為未達標準之機關,無需參與抽籤,直接列
為本次參演練機關。
3.由應用系統組(資訊處一科)事先依1、2、3、4級之資安
影響等級規劃各種模擬狀況(以下簡稱演練劇本,如附件二)
,以隨機方式分配予選定之參演機關,並密封由應用系統組(
資訊處三科)保管。
4.演練結果不合格意指演練機關自接獲演練通知電子郵件或傳真
單超過二十四小時尚未完成通報者,以及3、4級超過三十六
小時或1、2級超過七十二小時尚未修復(結案)者。
5.本部接獲通報後,3、4級事件須於四小時內完成審核;1、
2級事件須於十六小時內完成審核。
6.演練作業所發的電子郵件均不得有附件,以防病毒感染。
7.為使參演機關能熟悉向本部資通安全處理小組請求支援之通報
程序,演練期間,暫不允許參演機關自行研判「無需本部資通
安全處理小組支援的情形」,以避免參演機關一通報後,又立
即通報解除之情形發生。
8.為使演練期間連繫通報順利,設備網路組提醒本部所屬各機關
之第一或第二通報人員如有名單或連絡資訊異動時,請務必更
新,並於更新完畢後至本部內部網站/各機關資訊安全執行小
組項下,查詢該機關之名單或連絡資訊確實無誤。
9.演練期間,設備網路組提醒本部及所屬各機關確認傳真機之日
期及時間正確無誤,俾利使用稽核組紀錄本部及參演機關間之
傳真處理及回覆時間。
10.演練期間本部 E-mail Server如無法運作時,本部將啟用備援
作業程序,詳如肆之五、演練方式-備援作業程序,原以電子
郵件聯繫之各項作業均改採傳真方式進行演練。
11.演練結束後,由使用稽核組彙整演練成果報告陳報部次長核定
,並將各演練機關之演練成果報告(附件三)、資通安全處理
小組演練時間紀錄單(附件四,以下簡稱演練時間紀錄單)及
資通安全處理小組演練通報時效結果彙整表(附件五,以下簡
稱通報時效結果彙整表),提供給設備網路組彙整後提報行政
院研考會及行政院國家資通安全會報。
12.本部資通安全處理小組設備網路組將配合行政院國家資通安全
會報資安演練作業情形,及根據參演機關通報結果辦理獎懲事
宜。
13.有關當次通報演練主要聯絡人及電話、傳真清單,將以當次演
練預定舉行日期通知函之附件併送,受文機關應妥為保管至演
練結束。
(四)正常程序之演練方式如下:
1.由設備網路組發送一封主旨為「資通安全處理小組演練,請電
:應用系統組(資訊處三科)」的電子郵件(電子郵件可分批
發送),通知參演機關,副本寄送使用稽核組,以便登錄電子
郵件發信人及發出時間至演練時間紀錄單之「 (a)通知參演
連絡人/時間」欄。
2.參演機關收到此特定的電子郵件後,即電洽應用系統組(資訊
處三科)詢問演練劇本內容,應用系統組(資訊處三科)同時
也以電子郵件發送演練劇本給參演機關。(使用稽核組記錄參
演機關電話詢問人及時間至演練時間紀錄單「 (b)參演機關
查詢人/時間」欄,及紀錄應用系統組(資訊處三科)MAIL發
信的時間至演練時間紀錄單「 (c)通知劇本連絡人/時間」
欄。
3.參演機關按被賦予之演練劇本內容,向通報應變組演練網站(
http://www.ncert.nat.gov.tw/exer),依『資通安全事件通
報單』格式登錄通報完成後,並填寫「法務部及所屬機關資通
安全事件通報單」(附件六),勾選「通報單」欄,經機關首
長核可後,傳真本部設備網路組完成內部通報程序,如資通安
全事件等級為1、2級本通報單須陳報至資通安全處理小組執
行秘書,3、4級則陳報至資訊安全長(即次長,演練期間由
本部資訊處處長代理)。
4.通報應變組演練網站接獲參演機關通報後,演練網站會依照該
主管機關所提供之資安聯絡人名冊(兩位),以電子郵件傳送
及手機簡訊之方式通知本部資安聯絡人有資安事件發生。
5.本部資安聯絡人接獲電子郵件或手機簡訊通知後,應立即利用
通報應變組事先賦予之資通安全處理小組帳號(ID)及密碼(
PASS WORD)上網( http://www.ncert.nat.gov.tw/exer)審
核參演機關所報內容,並向設備網路組報告,請其研判是否可
支援解決。(由資通安全處理小組聯絡人向使用稽核組報告參
演機關至通報應變分組之演練網站上網通報的時間及處理小組
上網審核的時間,以便分別登錄至演練時間紀錄單「 (d)所
屬機關演練網站通報時間」及「 (e)處理小組上網查詢人/
時間」欄。
6.設備網路組如經研判可支援解決,即以支援處理及回覆單(附
件七)勾註可支援並書寫處理方式,經設備網路組承辦人及其
主管簽名(章)、時間(年月日時分)後、傳真至待支援之參
演機關,再由參演機關承辦人及其主管簽名(章)、時間(年
月日時分),並於支援處理及回覆單解決辦法欄內加註「『機
關全銜』參照辦理」,原件回傳至使用稽核組,以便將支援處
理及回覆單上設備網路組承辦人之處理日期及時間與參演機關
之回覆日期及時間,分別登錄至演練時間紀錄單「 (f)轉通
報人員處理傳真簽章時間」及「 (h)參演承辦人員回覆傳真
簽章時間」欄。
7.參演機關在收到支援處理及回覆單勾註可支援時,並按上項步
驟(六)處理後,再至通報應變組演練網站,通報解除列管,
並另填一張「法務部及所屬機關資通安全事件通報單」,勾選
「解除通報單」欄,經機關首長核可後,傳真本部設備網路組
完成內部通報程序,如資通安全事件等級為1、2級,本通報
單須陳報至資通安全處理小組執行秘書,3、4級則陳報至資
訊安全長(即次長,演練期間由本部資訊處處長代理)。此時
演練方結案。結案後,由設備網路組至演練網站查看參演機關
的結案時間,並提供使用稽核組登錄至演練時間紀錄單「( l
)結案/時間」欄。
8.設備網路組如經研判無法支援解決,即以支援處理及回覆單勾
註無法支援,分別傳真至待支援之參演機關、使用稽核組及技
服中心(由應用系統組(資訊處一科)扮演),參演機關無須
回覆此傳真單。技服中心收到傳真後,即發一封主旨為「技服
團支援作業」電子郵件給參演機關,郵件內容簡略敘述處理方
式,再由參演機關加註「『機關全銜』問題已解決」後,回覆
此電子郵件予技服中心(由應用系統組(資訊處一科)扮演)
,使用稽核組則將技服中心MAIL發信的時間及參演機關MAIL回
覆技服中心的時間,分別登錄至演練時間紀錄單「 (j)技服
人員通知支援時間」及「 (k)參演承辦人員回覆技服時間」
欄,同時參演機關至通報應變組演練網站,通報解除列管,並
另填一張「法務部及所屬機關資通安全事件通報單」,勾選「
解除通報單」欄,經機關首長核可後,傳真本部設備網路組完
成內部通報程序。如資通安全事件等級為1、2級本通報單須
陳報至資通安全處理小組執行秘書,3、4級則陳報至資訊安
全長(即次長,演練期間由本部資訊處處長代理),此時演練
方結案。結案後,由設備網路組至演練網站查看參演機關的結
案時間,並提供使用稽核組登錄至演練時間紀錄單「 (l)結
案/時間」欄。
(五)備援作業程序之演練方式如下:
本程序為演練期間本部 E-mail Server無法運作時之替代程序。
1.由設備網路組傳真一張主旨為「資通安全處理小組演練,請電
:應用系統組(資訊處三科)」的「通知參演機關傳真單」(
附件八,以下簡稱通知傳真單,傳真可分批發送)告知參演機
關,副本傳送使用稽核組,以便登錄發信人及發出時間至演練
時間紀錄單「(a)通知參演連絡人/時間」欄。
2.參演機關收到通知傳真單後,即電洽應用系統組(資訊處三科
)詢問演練劇本內容,應用系統組(資訊處三科)同時也以「
通知演練劇本傳真單」(附件九,以下簡稱劇本傳真單)通知
參演機關演練劇本內容。(使用稽核組記錄參演機關電話詢問
人及時間至演練時間紀錄單「 (b)參演機關查詢人/時間」
欄,及紀錄應用系統組(資訊處三科)傳真的時間至演練時間
紀錄單「(c )通知劇本連絡人/時間」欄。
3.參演機關按被賦予之演練劇本內容,向通報應變組演練網站(
http://www.ncert.nat.gov.tw/exer),依『資通安全事件通
報單』格式登錄通報完成後,並填寫「法務部及所屬機關資通
安全事件通報單」(附件六),勾選「通報單」欄,經機關首
長核可後,傳真本部設備網路組完成內部通報程序,如資通安
全事件等級為1、2級本通報單須陳報至資通安全處理小組執
行秘書,3、4級則陳報至資訊安全長(即次長,演練期間由
本部資訊處處長代理)。
4.通報應變組演練網站接獲參演機關通報後,演練網站會依照該
主管機關所提供之資安聯絡人名冊(兩位),以電子郵件傳送
及手機簡訊之方式通知本部資安聯絡人有資安事件發生(註:
本部E- mail Server無法運作時,本部資安聯絡人務必留意手
機是否收到有資安事件發生之簡訊)。
5.本部資安聯絡人接獲手機簡訊通知後,應立即利用通報應變組
事先賦予之資通安全處理小組帳號(ID)及密碼(PASSWORD)
上網(http://www.ncert.nat.gov.tw/exer)審核參演機關所
報內容,並向設備網路組報告,請其研判是否可支援解決。(
由資通安全處理小組聯絡人向使用稽核組報告參演機關至通報
應變組之演練網站上網通報的時間及處理小組上網審核的時間
,以便分別登錄演練時間紀錄單「 (d)所屬機關演練網站通
報時間」及「(e)處理小組上網查詢人/時間」欄。
6.設備網路組如經研判可支援解決,即以支援處理及回覆單(如
附件七)勾註可支援並書寫處理方式,經設備網路組承辦人及
其主管簽名(章)、時間(年月日時分)後、傳真至待支援之
參演機關,再由參演機關承辦人及其主管簽名(章)、時間(
年月日時分),並於支援處理及回覆單解決辦法欄內加註「『
機關全銜』參照辦理」,原件回傳至使用稽核組,以便將支援
處理及回覆單單上設備網路組承辦人之處理日期及時間與參演
機關之回覆日期及時間,分別登錄至演練時間紀錄單「 (f)
轉通報人員處理傳真簽章時間」及「 (h)參演承辦人員回覆
傳真簽章時間」欄。
7.參演機關在收到支援處理及回覆單勾註可支援時,並按上項步
驟(六)處理後,再至通報應變組演練網站,通報解除列管,
並另填一張「法務部及所屬機關資通安全事件通報單」,勾選
「解除通報單」欄,經機關首長核可後,傳真本部設備網路組
完成內部通報程序,如資通安全事件等級為1、2級本通報單
須陳報至資通安全處理小組執行秘書,3、4級則陳報至資訊
安全長(即次長,演練期間由本部資訊處處長代理)。此時演
練方結案。結案後,由設備網路組至演練網站查看參演機關的
結案時間,並提供使用稽核組登錄至演練時間紀錄單「 (l)
結案/時間」欄。
8.設備網路組如經研判無法支援解決,即以支援處理及回覆單勾
註無法支援,分別傳真至待支援之參演機關、使用稽核組及技
服中心(由應用系統組(資訊處一科)扮演),參演機關無須
回覆此傳真單。技服中心收到傳真後,即傳真主旨為「技服團
支援作業」之「技服團支援作業傳真單」(附件十)至參演機
關,傳真內容簡略敘述處理方式,再由參演機關於解決辦法欄
加註「『機關全銜』問題已解決」後,原紙回傳技服中心(由
應用系統組(資訊處一科)扮演),使用稽核組則將技服中心
傳真的時間及參演機關傳真回覆技服中心的時間,分別登錄至
演練時間紀錄單「(j)技服人員通知支援時間」及「(k)參
演承辦人員回覆技服時間」欄,同時參演機關至通報應變組演
練網站,通報解除列管,並另填一張「法務部及所屬機關資通
安全事件通報單」,勾選「解除通報單」欄,經機關首長核可
後,傳真本部設備網路組完成內部通報程序。如資通安全事件
等級為1、2級本通報單須陳報至資通安全處理小組執行秘書
,3、4級則陳報至資訊安全長(即次長,演練期間由本部資
訊處處長代理)。結案後,由設備網路組至演練網站查看參演
機關的結案時間,並提供使用稽核組登錄至演練時間紀錄單「
(l)結案/時間」欄。
(六)使用表單
1.演練成果報告(附件三),於演練完成後一個月內由使用稽核
組彙整演練成果報告陳報部次長核定,再由網路設備組函送行
政院國家資通安全會報備查。
2.演練紀錄時間單(附件四),由使用稽核組負責登錄、保管,
以作為檢討依據,本表併『演練成果報告』送行政院國家資通
安全會報。
3.資通安全處理小組演練通報時效結果彙整表(附件五),由使
用稽核組負責登錄,作為時效之檢討,本表併『演練成果報告
』送行政院國家資通安全會報。
4.法務部及所屬機關資通安全事件通報單(附件六),參演機關
以本表向本部資通安全處理小組進行內部通報程序。如資通安
全事件等級為1、2級,本通報單須陳報至資通安全處理小組
執行秘書,如為3、4級則陳報至資訊安全長(即次長,演練
期間由本部資訊處處長代理)。
5.支援處理及回覆單(附件七),當資通安全處理小組設備網路
組研判可否支援資安事件,並回覆參演機關所使用之表單。
6.通知參演機關傳真單(附件八),演練期間如本部E-mail Ser
ver 無法運作時,由設備網路組改採傳真方式通知參演機關進
行演練作業所使用之表單。
7.通知演練劇本傳真單(附件九),演練期間如本部E-mail Ser
ver 無法運作時,由應用系統組(資訊處三科)改採傳真方式
對參演機關說明演練劇本所使用之表單。
8.技服團支援作業傳真單(附件十),演練期間如本部 E-mail
Server無法運作時,由技服中心(資訊處一科扮演)改採傳真
方式通知參演機關支援處理作業所使用之表單。
|