壹、目的
經濟部(以下簡稱本部)為遵照資通安全管理法第十四條及資
通安全維護計畫之規定,建立本部資通安全事件通報及應變
機制,以迅速有效獲知並處理事件,特訂定資通安全事件通
報及應變管理程序(以下稱本管理程序)。
貳、適用範圍
發生於本部之系統、服務或網路狀態,經鑑別可能有違反資
通安全政策或保護措施失效之狀態,而影響資通系統機能運
作,構成資通安全政策威脅之事件。
參、責任
一、本部所屬人員於發現資通安全事件時,應依本管理程序或
權責人員之指示,執行通報及應變程序。
二、本部應於資通安全事件發生前,確保所屬公務機關及所管
之特定非公務機關是否訂定及落實資通安全事件通報及應
變管理程序,並依規定指定其知悉資通安全事件之通報以
及完成應變作業後之結案登錄方式。
三、本部應視必要性與受託機關約定,使其訂定資通安全事件
通報及應變管理程序,並於知悉資通安全事件後向本部進
行通報,於完成事件之通報及應變程序後,依本部指示提
供相關之紀錄或資料。
四、本部於知悉資通安全事件後,應依本管理程序之規定,儘
速完成損害控制、復原與事件之調查及處理作業。完成
後,應依行政院指定之方式進行結案登錄作業,並送交調
查、處理及改善報告。
五、本部應於資通安全事件發生前,確認所管之特定非公務機
關資通安全事件通報之方式,並於知悉其資通安全事件
後,依規定向行政院通報。
肆、事件通報窗口及緊急處理小組
一、本部之資通安全事件通報窗口及聯繫專線:本部資訊中心
資服熱線。
二、本部應以適當方式使相關人員明確知悉本部之通報窗口及
聯絡方式。
三、本部所屬人員發現資通安全事件後,應立即向所屬單位主
管及本部之通報窗口通報。
四、本部應確保通報窗口之聯絡管道全天維持暢通,若因設備
故障或其他情形導致窗口聯絡管道中斷,若中斷持續達一
小時以上者,應即將該情況告知相關人員,並即提供其他
有效之臨時聯絡管道。
五、負責事件處理之單位(該事件發生之單位)權責人員應與相
關單位密切合作以進行事件之處理,並使通報窗口適時掌
握事件處理之進度及其他相關資訊。
六、事件經初步判斷認為可能屬重大資安事件或事態嚴重時,
應即向資通安全長報告,由資通安全長成立緊急處理小
組,立即協助處理;接獲本部受託機關所通報之資通安全
事件時,亦同。
七、緊急處理小組成員由資通安全長或其授權人員指派本部之
資通安全相關技術人員擔任,並得由其他機關資通安全相
關技術人員或外部專家擔任之。
八、各相關權責人員應記錄事件處理過程,檢討事件發生原
因,進行改善並留存必要之證據。
伍、通報程序
一、通報作業程序
(一)判定事件等級之流程及權責
本部之權責人員或緊急處理小組應依據以下事項,於知
悉資通安全事件後,依資通安全事件通報及應變辦法完
成資通安全事件等級判斷:
1.事件涉及核心業務或關鍵基礎設施業務之資訊與否。
2.事件導致業務之資訊或資通系統遭竄改之影響程度,屬
嚴重或輕微。
3.事件所涉資訊屬於國家機密、敏感資訊或一般公務機
密。
4.機關業務運作若遭影響或資通系統停頓,是否於可容忍
中斷時間內能回復正常運作。
5.其他足以影響資通安全事件等級之因素。
(二)除事件之等級外,權責人員或緊急處理小組亦應對資通
安全事件之影響範圍、損害程度及本部因應之能力進行
評估。
(三)本部權責人員或緊急處理小組於完成資通安全事件等級
之判斷及相關評估後,應盡速陳報資通安全長或其授權
人員核准。
(四)除因網路或電力中斷等事由,致無法依行政院所指定或
認可之方式通報外,應於知悉資通安全事件後一小時內
依行政院所指定或認可之方式,進行事件通報。
(五)本部因網路或電力中斷等事由,致無法依前款規定方式
為通報者,應於知悉資通安全事件後一小時內以電話或
其他適當方式,將該次資安事件應通報之內容及無法依
規定方式通報之事由,告知行政院,並於事由解除後,
依原方式補行通報。
(六)資通安全事件等級如有變更,權責人員或緊急處理小組
應告知通報窗口,使其續行通報作業。
(七)本部於委外辦理資通系統之建置、維運或提供資通服務
之情形時,應於合約中訂定委外廠商於知悉資通安全事
件時,應即向本部之權責人員或窗口,以指定之方式進
行通報。
(八)本部於知悉資通安全事件後,如認該事件之影響涉及其
他機關或應由其他機關依其法定職權處理時,權責人員
或緊急處理小組應於知悉資通安全事件後一小時內,將
該事件依行政院所指定或認可之方式,通知該機關。
(九)本部執行通報及應變作業時,得視情形向行政院提出技
術支援或其他協助之需求。
二、接獲自身、所屬公務機關或所管特定非公務機關通報之評
估作業程序
(一)本部之權責人員或緊急處理小組,於接獲所屬公務機關
或所管特定非公務機關之資通安全事件通報後,應於以
下時限內,完成資通安全事件通報等級及相關事項之審
核:
1.通報為第一級或第二級之資通安全事件,於接獲通報後
八小時內。
2.通報為第三級或第四級之資通安全事件,於接獲通報後
二小時內。
(二)本部之權責人員或緊急處理小組進行前款之審核,得請
求通報之公務機關或特定非公務機關提供級別判斷所需
之資料或紀錄。
(三)本部於必要時得依據審核之結果,逕行變更資通安全事
件之等級,並應於決定變更後一小時內,將審核結果及
級別變更之決定通知行政院,並提供做成決定所依據之
相關資訊。
(四)本部於知悉所管特定非公務機關發生第三級或第四級之
資通安全事件或收受所管特定非公務機關之第三級或第
四級資通安全事件通報後,應於完成審核後一小時內依
行政院指定或認可之方式通知行政院。
(五)本部於知悉所管特定非公務機關發生第一級或第二級之
資通安全事件或收受所管特定非公務機關之第一級或第
二級資通安全事件通報後,應依行政院指定或認可之方
式,定期彙整相關資訊送交行政院。
三、對所屬公務機關或所管特定非公務機關之協助程序
本部所屬公務機關或所管特定非公務機關知悉資通安全事
件,向本部為通報時,本部資通安全長應視必要性於以下
時限內,決定是否組成緊急處理小組,以協助本部所屬公
務機關或所管特定非公務機執行通報及應變程序,並視情
形提供必要之支援或協助:
(一)通報為第一級或第二級之資通安全事件,於完成複核後
二小時內。
(二)通報為第三級或第四級之資通安全事件,於接獲通報後
一小時內。
陸、應變程序
一、事件發生前之防護措施規劃
本部應於平時妥善實施資通安全維護計畫,並以組織營運
目標與策略為基準,透過整體之營運衝擊分析,規劃業務
持續運作計畫並實施演練,以預防資通安全事件發生。
二、損害控制機制
(一)負責應變之權責人員或緊急處理小組,應完成以下應變
事務之辦理,並留存應變之紀錄:
1.資安事件之衝擊及損害控制作業。
2.資安事件所造成損害之復原作業。
3.資安事件相關鑑識及其他調查作業。
4.資安事件之調查與處理及改善報告之方式。
5.資安事件後續發展及與其他事件關聯性之監控。
6.資訊系統、網路、機房等安全區域發生重大事故或災
難,致使業務中斷時,應依本部事前訂定之緊急計畫,
進行應變措施以恢復業務持續運作之狀態。
7.其他資通安全事件應變之相關事項。
(二)對於第一級、第二級資通安全事件,本部應於知悉事件
後七十二小時內完成前款事務之辦理,並應留存紀錄;
於第三級、第四級資通安全事件,本部應於知悉事件後
三十六小時內完成損害控制或復原作業,並執行上述事
項,及留存相關紀錄。
(三)本部完成通報及應變程序之辦理後,應依行政院所指定
或認可之方式進行結案登錄。
(四)本部於知悉委外廠商發生與受託業務相關之資通安全事
件時,應於知悉委外廠商發生第一級、第二級資通安全
事件後七十二小時內,確認委外廠商已完成損害控制或
復原事項之辦理;於知悉委外廠商發生第三級、第四級
資通安全事件後三十六小時內,確認委外廠商完成損害
控制或復原事項之辦理。
三、本部於接獲特定非公務機關之損害控制、復原與事件之調
查及處理作業完成通知後,應依行政院所指定或認可之方
式進行結案登錄。
柒、資通安全事件發生後之復原、鑑識、調查及改善機制
一、本部完成資通安全事件之通報及應變程序後,應針對事件
所造成之衝擊、損害及影響進行調查及改善,並應於事件
發生後一個月內完成資通安全事件調查、處理及改善報
告。
二、資通安全事件調查、處理及改善報告應包括以下項目:
(一)事件發生、完成損害控制或復原作業之時間。
(二)事件影響之範圍及損害評估。
(三)損害控制及復原作業之歷程。
(四)事件調查及處理作業之歷程。
(五)為防範類似事件再次發生所採取之管理、技術、人力或
資源等層面之措施。
(六)前款措施之預定完成時程及成效追蹤機制。
三、本部應向行政院提出第一項之報告,以供監督與檢討。
四、本部指示所屬公務機關或所管特定非公務機關限期提出第
一項報告,逾期未提出者,本部除應為必要之監督及指示
外,並應促使其盡速提出。
捌、紀錄留存及管理程序之調整
一、本部應將資通安全事件之通報與應變作業之執行、事件影
響範圍與損害程度以及其他通報應變之執行情形留存完整
之紀錄。
二、本部於完成資通安全事件之通報及應變程序後,於必要時
對本管理程序、人力配置或其他相關事項進行修正或調
整。
玖、演練作業
一、本部應每年依資通安全事件通報及應變辦法之規定辦理社
交工程演練、資通安全事件通報及應變演練,並於完成後
一個月內,將執行情形及成果報告送交行政院。
二、本部應配合行政院依資通安全事件通報及應變辦法之規定
辦理下列資通安全演練作業:
(一)社交工程。
(二)資安事件通報及應變。
(三)網路攻防。
(四)情境演練。
(五)其他資安演練。