您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態

經濟部主管法規共用系統

列印時間:113.11.25 09:08

歷史法規

法規名稱: 經濟部電子資料遭竊事故處理作業程序
民國 101 年 02 月 15 日
圖表附件:
法規內容:
壹、目的:
    經濟部(以下簡稱本部)為處理駭客入侵導致電子資料遭竊事故之作
    業程序標準化,以提升本類事故處理速度、保存事故相關資訊及強化
    本部資訊安全,特訂定本作業程序(以下簡稱本作業處理程序)。


貳、適用對象及時機:
一、適用對象:本部部次長室暨所屬幕僚單位(不含中部辦公室、中區聯
    合服務中心及南區聯合服務中心)。
二、適用時機:本部因駭客入侵導致電子資料遭竊時,依本作業處理程序
    辦理。


參、作業程序:
一、於本部資訊安全監控中心(以下簡稱監控中心)處理資訊安全事件且
    發現有資料遭竊跡象時,依下列程序處理:
(一)資安通報作業
      依「經濟部資通安全事件緊急應變計畫暨作業處理程序」(附件一
      )陳報並於「國家資通安全通報應變網站」進行通報作業。
(二)事故處理作業
      依設備類別(個人電腦或主機),進行以下處理作業。
      1.個人電腦
      1.1 取得使用者電腦
          將該部電腦取回資訊中心,以盡量保持其原始狀態之完整性,
          俾利後續調查處理作業。
      1.2 電腦硬碟映像檔製作
          取回之個人電腦硬碟由監控中心作業人員進行一對一(
          Bit-Stream)完全複製(一式三份),一份作為事故調查用;
          一份作為歸還使用者備份資料用;另一份留存備用。
      1.3 原始電腦硬碟封存
          原始電腦硬碟以公文袋封存,標示後置於資訊中心機房防火保
          險櫃內(標示格式如附件二)。
      1.4 電腦歸還使用者
          將其中一份複製硬碟中的惡意程式清除後,安裝回使用者電腦
          ,歸還使用者,並請使用者變更相關帳號之密碼。
      1.5 電腦使用者備份資料
          使用者將屬於個人的公私務資料部分進行備份作業。
      1.6 電腦重新安裝
          為確保使用者電腦環境之安全,俟電腦使用者備份作業完成後
          ,再由資訊中心進行電腦重新安裝作業。
      2.主機
      2.1 主機映像檔製作及封存
       (1)如屬虛擬主機,則由監控中心作業人員直接複製該虛擬主機
            檔案二份。
       (2)如屬實體主機,則由監控中心作業人員針對本機硬碟部分進
            行一對一(Bit-Stream)完全複製(一式二份)。
       (3)複製品一份作為事故調查用;另一份封存備用。
      2.2 清除惡意程式
          清除主機上之惡意程式,以防駭客續以利用。
(三)事故調查作業
      1.監控中心針對複製品進行調查分析作業,檢查使用者電腦登入紀
        錄痕跡、系統機碼、文件開啟痕跡、USB 使用痕跡、上網痕跡、
        E-mail  痕跡、軟體使用痕跡、記憶體等項目,並進行發生時間
        、惡意程式、惡意網路連線關係、運用手法及運用系統漏洞等整
        體分析作業。
      2.於調查當時發現可立即進行之損害管控動作,資訊中心得先進行
        處理,如當下發現惡意程式連往之駭客中繼站位置,立即於安全
        設備上進行連線阻擋,或停用遭利用之帳號等,以降低損害。
(四)遭竊資料列表
      疑似遭竊之資料檔由資訊中心進行檔名列表作業,以供資料所屬單
      位進行損害評估及管控之用。
(五)產出事故調查結果報告
      監控中心進行事故調查暨處理作業後,產出「經濟部資通安全事故
      調查結果報告」(格式如附件三,不含「資料檔案檔名列表」部分
      )。
(六)資料整併及提供
      1.將前開之事故調查結果報告與檔名列表資料,合併成完整報告。
      2.將報告中之「資料檔案檔名列表」部分提供資料所屬單位進行損
        害評估及管控作業。
(七)損害評估管控及通報作業
      1.資料所屬單位針對遭竊資料進行損害評估及後續之損害管控作業
        。
      2.資料所屬單位須填具「經濟部遭竊電子資料機敏等級評估單」(
        附件四)回報資訊中心。
      3.如遭竊資料內含機敏資訊,資料所屬單位須向政風處通報。
(八)陳報及資安通報結案作業
      1.遭竊資料如內含機敏資訊,資訊中心須依「經濟部資通安全事件
        緊急應變計畫暨作業處理程序」向本部資通安全處理小組召集人
        (資訊安全長)陳報。
      2.依前述程序於「國家資通安全通報應變網站」進行資訊作業面之
        結案作業。
      3.封存之硬碟併同完整報告以密件公文歸檔專用資料袋封存,標示
        後置於資訊中心機房防火保險櫃內。(標示格式如附件二)
(九)災害復原作業(主機)
      應變更該主機及系統相關使用之帳號及密碼,並依主機及系統復原
      程序進行災害復原作業。
(十)檢討及改善精進作業
      檢討遭入侵原因後,進行後續改善精進作業。
二、封存之證物,於資安通報結案作業完成日二年後銷毀,調查結果報告
    循公文程序歸檔。


肆、經濟部電子資料遭竊事故處理作業流程如附圖。


 
資料來源:經濟部主管法規共用系統