您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態

經濟部主管法規共用系統

列印時間:113.11.22 00:49

法規內容

法規名稱: 經濟部電子資料遭竊事件處理作業程序
公發布日: 民國 101 年 02 月 15 日
修正日期: 民國 113 年 02 月 15 日
發文字號: 經資字第11314401560號函
法規體系: 經濟部部內各單位/經濟部資訊處
立法理由:
圖表附件:
法規功能按鈕區
壹、目的:
    經濟部(以下簡稱本部)為處理資通安全事件導致電子資料遭竊之作業程
    序標準化,以提升本類事件處理速度、保存事件相關資訊及強化本部資訊
    安全,特訂定本作業程序(以下簡稱本作業處理程序)。
貳、適用對象及時機:
一、適用對象:本部部次長室、主任秘書室、參事室及所屬幕僚單位。
二、適用時機:本部因資通安全事件導致電子資料遭竊時,依本作業處理程序
    辦理。
參、作業程序:
一、本部資訊安全監控中心(以下簡稱監控中心)處理資通安全事件且發現有
    資料遭竊跡象時,依下列程序處理:
    (一)資安通報作業
        依「經濟部資通安全事件通報及應變管理程序」陳報並於「國家資通
        安全通報應變網站」進行通報作業。
    (二)事件處理作業
        依設備類別(個人電腦或主機)及現場環境綜合評估。為避免揮發性
        資料因電源關閉影響事件調查,於狀況許可下,先將設備網路斷線並
        採擷揮發性資料。
        1.個人電腦
          (1) 取得使用者電腦
              如該部電腦於事件調查時為開機狀態,則應先將記憶體資料轉
              存(Memory Dump )後,再將該部電腦取回資訊處,以盡量保
              持其原始狀態之完整性,俾利後續調查處理作業。
          (2) 電腦硬碟映像檔製作
              取回之個人電腦硬碟由監控中心作業人員進行一對一(
              Bit-Stream)完全複製(一式三份),一份作為事件調查用;
              一份作為歸還使用者備份資料用;另一份留存備用。
          (3) 原始電腦硬碟封存
              原始電腦硬碟以公文袋封存,標示後置於資訊處機房防火保險
              櫃內(標示格式如附件一)。
          (4) 電腦歸還使用者
              將其中一份複製硬碟中之惡意程式清除後,安裝回使用者電腦
              ,歸還使用者,並請使用者變更相關帳號之密碼。
          (5) 電腦使用者備份資料
              使用者進行檔案資料檢視,將確屬於個人之公私務資料部分進
              行備份作業。
          (6) 電腦重新安裝
              為確保使用者電腦環境之安全,俟電腦使用者備份作業完成後
              ,再由資訊處進行電腦重新安裝作業。
        2.主機
          (1) 主機映像檔製作及封存
              ①如屬虛擬主機,則由監控中心作業人員直接複製該虛擬主機
                檔案二份,並註記複製檔案建立日期時間。
              ②如屬實體主機,則由監控中心作業人員於確認系統服務可中
                斷後,先將記憶體資料轉存(Memory Dump ),再將主機電
                源關閉,並針對主機硬碟部分進行一對一(Bit-Stream)完
                全複製(一式二份)。
              ③複製品一份作為事件調查用;另一份封存備用。
          (2) 清除惡意程式
              清除主機上之惡意程式,以防駭客續以利用。
    (三)事件調查作業
        1.監控中心針對複製品進行調查分析作業,檢查項目包含使用者電腦
          登入紀錄、系統機碼、處理程序及應用程式、檔案異動紀錄、USB
          使用紀錄、上網紀錄、E-mail  紀錄、軟體使用紀錄以及記憶體暫
          存資料等項目,並依事件發生時間、惡意程式、惡意網路連線關係
          、攻擊手法及利用之系統漏洞等進行整體關聯分析作業。
        2.於調查當時發現可立即進行之損害管控動作,資訊處得先進行處理
          ,如當下發現惡意程式連往之駭客中繼站位置,立即於安全設備上
          進行連線阻擋,或停用遭利用之帳號等,以降低損害。
    (四)遭竊資料列表
        疑似遭竊之資料檔由資訊處進行檔名列表作業,以供資料所屬單位進
        行損害評估及管控之用。
    (五)產出事件調查結果報告
        監控中心進行事件調查暨處理作業後,產出「經濟部資通安全事件調
        查結果報告」(格式如附件二,不含「資料檔案檔名列表」部分)。
    (六)資料整併及提供
        1.將前開之事件調查結果報告與檔名列表資料,合併成完整報告。
        2.將報告中之「資料檔案檔名列表」部分提供資料所屬單位進行損害
          評估及管控作業。
    (七)損害評估管控及通報作業
        1.資料所屬單位針對遭竊資料進行損害評估及後續之損害管控作業。
        2.資料所屬單位須填具「經濟部遭竊電子資料機敏等級評估單」(附
          件三)回報資訊處。
        3.如遭竊資料內含機敏資訊,資料所屬單位須向政風處通報;如遭竊
          資料內含個人資料,資料所屬單位須依經濟部及所屬機關個人資料
          保護管理要點第二十二點規定通報至本部個人資料保護推動執行小
          組。
    (八)陳報及資安通報結案作業
        1.遭竊資料如內含機敏資訊,資訊處須依「經濟部資通安全事件通報
          及應變管理程序」向本部資通安全推動小組召集人(資通安全長)
          陳報。
        2.依前述程序於「國家資通安全通報應變網站」進行資訊作業面之結
          案作業。
        3.封存之硬碟併同完整報告以密件公文歸檔專用資料袋封存,標示後
          置於資訊處機房防火保險櫃內。(標示格式如附件一)
    (九)災害復原作業(主機)
        應變更該主機及系統相關使用之帳號及密碼,並依主機及系統復原程
        序進行災害復原作業。
    (十)檢討及改善精進作業
        檢討遭入侵原因後,進行後續改善精進作業。
二、封存之證物,於資安通報結案作業完成日二年後銷毀,調查結果報告循公
    文程序歸檔。
肆、經濟部電子資料遭竊事件處理作業流程如附圖。
資料來源:經濟部主管法規共用系統