壹、目的
經濟部(以下簡稱本部)為遵照資通安全管理法第十四條及資通安全維護計畫之規定,建立本部資通安全事件通報及應變機制,以迅速有效獲知並處理事件,特訂定資通安全事件通報及應變管理程序(以下稱本管理程序)。。
貳、適用範圍
發生於本部之系統、服務或網路狀態,經鑑別可能有違反資通安全政策或保護措施失效之狀態,而影響資通系統機能運作,構成資通安全政策威脅之事件。
參、責任
一、本部所屬人員於發現資通安全事件時,應依本管理程序或權責人員之指示,執行通報及應變程序。
二、本部應於資通安全事件發生前,確保所屬公務機關及所管之特定非公務機關是否訂定及落實資通安全事件通報及應變管理程序,並依規定指定其知悉資通安全事件之通報以及完成應變作業後之結案登錄方式。
三、本部應視必要性與受託機關約定,使其訂定資通安全事件通報及應變管理程序,並於知悉資通安全事件後向本部進行通報,於完成事件之通報及應變程序後,依本部指示提供相關之紀錄或資料。
四、本部於知悉資通安全事件後,應依本管理程序之規定,儘速完成損害控制、復原與事件之調查及處理作業。完成後,應依行政院指定之方式進行結案登錄作業,並送交調查、處理及改善報告。
五、本部應於資通安全事件發生前,確認所管之特定非公務機關資通安全事件通報之方式,並於知悉其資通安全事件後,依規定向行政院通報。
肆、事件通報窗口及緊急處理小組
一、本部之資通安全事件通報窗口及聯繫專線:本部資訊中心資服熱線。
二、本部應以適當方式使相關人員明確知悉本部之通報窗口及聯絡方式。
三、本部所屬人員發現資通安全事件後,應立即向所屬單位主管及本部之通報窗口通報。
四、本部應確保通報窗口之聯絡管道全天維持暢通,若因設備故障或其他情形導致窗口聯絡管道中斷,若中斷持續達一小時以上者,應即將該情況告知相關人員,並即提供其他有效之臨時聯絡管道。
五、負責事件處理之單位(該事件發生之單位)權責人員應與相關單位密切合作以進行事件之處理,並使通報窗口適時掌握事件處理之進度及其他相關資訊。
六、事件經初步判斷認為可能屬重大資安事件或事態嚴重時,應即向資通安全長報告,由資通安全長成立緊急處理小組,立即協助處理;接獲本部受託機關所通報之資通安全事件時,亦同。
七、緊急處理小組成員由資通安全長或其授權人員指派本部之資通安全相關技術人員擔任,並得由其他機關資通安全相關技術人員或外部專家擔任之。
八、各相關權責人員應記錄事件處理過程,檢討事件發生原因,進行改善並留存必要之證據。
伍、通報程序
一、通報作業程序
(一)判定事件等級之流程及權責
本部之權責人員或緊急處理小組應依據以下事項,於知悉資通安全事件後,依資通安全事件通報及應變辦法完成資通安全事件等級判斷:
1.事件涉及核心業務或關鍵基礎設施業務之資訊與否。
2.事件導致業務之資訊或資通系統遭竄改之影響程度,屬嚴重或輕微。
3.事件所涉資訊屬於國家機密、敏感資訊或一般公務機密。
4.機關業務運作若遭影響或資通系統停頓,是否於可容忍中斷時間內能回復正常運作。
5.其他足以影響資通安全事件等級之因素。
(二)除事件之等級外,權責人員或緊急處理小組亦應對資通安全事件之影響範圍、損害程度及本部因應之能力進行評估。
(三)本部權責人員或緊急處理小組於完成資通安全事件等級之判斷及相關評估後,應盡速陳報資通安全長或其授權人員核准。
(四)除因網路或電力中斷等事由,致無法依行政院所指定或認可之方式通報外,應於知悉資通安全事件後一小時內依行政院所指定或認可之方式,進行事件通報。
(五)本部因網路或電力中斷等事由,致無法依前款規定方式為通報者,應於知悉資通安全事件後一小時內以電話或其他適當方式,將該次資安事件應通報之內容及無法依規定方式通報之事由,告知行政院,並於事由解除後,依原方式補行通報。
(六)資通安全事件等級如有變更,權責人員或緊急處理小組應告知通報窗口,使其續行通報作業。
(七)本部於委外辦理資通系統之建置、維運或提供資通服務之情形時,應於合約中訂定委外廠商於知悉資通安全事件時,應即向本部之權責人員或窗口,以指定之方式進行通報。
(八)本部於知悉資通安全事件後,如認該事件之影響涉及其他機關或應由其他機關依其法定職權處理時,權責人員或緊急處理小組應於知悉資通安全事件後一小時內,將該事件依行政院所指定或認可之方式,通知該機關。
(九)本部執行通報及應變作業時,得視情形向行政院提出技術支援或其他協助之需求。
二、接獲自身、所屬公務機關或所管特定非公務機關通報之評估作業程序
(一)本部之權責人員或緊急處理小組,於接獲所屬公務機關或所管特定非公務機關之資通安全事件通報後,應於以下時限內,完成資通安全事件通報等級及相關事項之審核:
1.通報為第一級或第二級之資通安全事件,於接獲通報後八小時內。
2.通報為第三級或第四級之資通安全事件,於接獲通報後二小時內。
(二)本部之權責人員或緊急處理小組進行前款之審核,得請求通報之公務機關或特定非公務機關提供級別判斷所需之資料或紀錄。
(三)本部於必要時得依據審核之結果,逕行變更資通安全事件之等級,並應於決定變更後一小時內,將審核結果及級別變更之決定通知行政院,並提供做成決定所依據之相關資訊。
(四)本部於知悉所管特定非公務機關發生第三級或第四級之資通安全事件或收受所管特定非公務機關之第三級或第四級資通安全事件通報後,應於完成審核後一小時內依行政院指定或認可之方式通知行政院。
(五)本部於知悉所管特定非公務機關發生第一級或第二級之資通安全事件或收受所管特定非公務機關之第一級或第二級資通安全事件通報後,應依行政院指定或認可之方式,定期彙整相關資訊送交行政院。
三、對所屬公務機關或所管特定非公務機關之協助程序
本部所屬公務機關或所管特定非公務機關知悉資通安全事件,向本部為通報時,本部資通安全長應視必要性於以下時限內,決定是否組成緊急處理小組,以協助本部所屬公務機關或所管特定非公務機執行通報及應變程序,並視情形提供必要之支援或協助:
(一)通報為第一級或第二級之資通安全事件,於完成複核後二小時內。
(二)通報為第三級或第四級之資通安全事件,於接獲通報後一小時內。
陸、應變程序
一、事件發生前之防護措施規劃
本部應於平時妥善實施資通安全維護計畫,並以組織營運目標與策略為基準,透過整體之營運衝擊分析,規劃業務持續運作計畫並實施演練,以預防資通安全事件發生。
二、損害控制機制
(一)負責應變之權責人員或緊急處理小組,應完成以下應變事務之辦理,並留存應變之紀錄:
1.資安事件之衝擊及損害控制作業。
2.資安事件所造成損害之復原作業。
3.資安事件相關鑑識及其他調查作業。
4.資安事件之調查與處理及改善報告之方式。
5.資安事件後續發展及與其他事件關聯性之監控。
6.資訊系統、網路、機房等安全區域發生重大事故或災難,致使業務中斷時,應依本部事前訂定之緊急計畫,進行應變措施以恢復業務持續運作之狀態。
7.其他資通安全事件應變之相關事項。
(二)對於第一級、第二級資通安全事件,本部應於知悉事件後七十二小時內完成前款事務之辦理,並應留存紀錄;於第三級、第四級資通安全事件,本部應於知悉事件後三十六小時內完成損害控制或復原作業,並執行上述事項,及留存相關紀錄。
(三)本部完成通報及應變程序之辦理後,應依行政院所指定或認可之方式進行結案登錄。
(四)本部於知悉委外廠商發生與受託業務相關之資通安全事件時,應於知悉委外廠商發生第一級、第二級資通安全事件後七十二小時內,確認委外廠商已完成損害控制或復原事項之辦理;於知悉委外廠商發生第三級、第四級資通安全事件後三十六小時內,確認委外廠商完成損害控制或復原事項之辦理。
三、本部於接獲特定非公務機關之損害控制、復原與事件之調查及處理作業完成通知後,應依行政院所指定或認可之方式進行結案登錄。
柒、資通安全事件發生後之復原、鑑識、調查及改善機制
一、本部完成資通安全事件之通報及應變程序後,應針對事件所造成之衝擊、損害及影響進行調查及改善,並應於事件發生後一個月內完成資通安全事件調查、處理及改善報告。
二、資通安全事件調查、處理及改善報告應包括以下項目:
(一)事件發生、完成損害控制或復原作業之時間。
(二)事件影響之範圍及損害評估。
(三)損害控制及復原作業之歷程。
(四)事件調查及處理作業之歷程。
(五)為防範類似事件再次發生所採取之管理、技術、人力或資源等層面之措施。
(六)前款措施之預定完成時程及成效追蹤機制。
三、本部應向行政院提出第一項之報告,以供監督與檢討。
四、本部指示所屬公務機關或所管特定非公務機關限期提出第一項報告,逾期未提出者,本部除應為必要之監督及指示外,並應促使其盡速提出。
捌、紀錄留存及管理程序之調整
一、本部應將資通安全事件之通報與應變作業之執行、事件影響範圍與損害程度以及其他通報應變之執行情形留存完整之紀錄。
二、本部於完成資通安全事件之通報及應變程序後,於必要時對本管理程序、人力配置或其他相關事項進行修正或調整。
玖、演練作業
一、本部應每年依資通安全事件通報及應變辦法之規定辦理社交工程演練、資通安全事件通報及應變演練,並於完成後一個月內,將執行情形及成果報告送交行政院。
二、本部應配合行政院依資通安全事件通報及應變辦法之規定辦理下列資通安全演練作業:
(一)社交工程。
(二)資安事件通報及應變。
(三)網路攻防。
(四)情境演練。
(五)其他資安演練。