本法第十條、第十六條第二項及第十七條第一項所定資通安全維護計畫,應包括下列事項: Show
一、核心業務及其重要性。 二、資通安全政策及目標。 三、資通安全推動組織。 四、專責人力及經費之配置。 五、公務機關資通安全長之配置。 六、資通系統及資訊之盤點,並標示核心資通系統及相關資產。 七、資通安全風險評估。 八、資通安全防護及控制措施。 九、資通安全事件通報、應變及演練相關機制。 十、資通安全情資之評估及因應機制。 十一、資通系統或服務委外辦理之管理措施。 十二、公務機關所屬人員辦理業務涉及資通安全事項之考核機制。 十三、資通安全維護計畫與實施情形之持續精進及績效管理機制。 各機關依本法第十二條、第十六條第三項或第十七條第二項規定提出資通安全維護計畫實施情形,應包括前項各款之執行成果及相關說明。 第一項資通安全維護計畫之訂定、修正、實施及前項實施情形之提出,公務機關經其上級或監督機關同意,得由其上級、監督機關或其上級、監督機關所屬公務機關辦理;特定非公務機關經其中央目的事業主管機關同意,得由其中央目的事業主管機關、中央目的事業主管機關所屬公務機關或中央目的事業主管機關所管特定非公務機關辦理。 各機關有下列情形之一者,其資通安全責任等級為A級: 一、業務涉及國家機密。 二、業務涉及外交、國防或國土安全事項。 三、業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運。 四、業務涉及全國性民眾或公務員個人資料檔案之持有。 五、屬公務機關,且業務涉及全國性之關鍵基礎設施事項。 六、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生災難性或非常嚴重之影響。 七、屬公立醫學中心。 各機關有下列情形之一者,其資通安全責任等級為 B 級: 一、業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理。 二、業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維運。 三、業務涉及區域性或地區性民眾個人資料檔案之持有。 四、業務涉及中央二級機關及所屬各級機關(構)共用性資通系統之維運。 五、屬公務機關,且業務涉及區域性或地區性之關鍵基礎設施事項。 六、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生嚴重影響。 七、屬公立區域醫院或地區醫院。 各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供(以下簡稱受託業務),選任及監督受託者時,應注意下列事項: 一、受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證。 二、受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。 三、受託者辦理受託業務得否複委託、得複委託之範圍與對象,及複委託之受託者應具備之資通安全維護措施。 四、受託業務涉及國家機密者,執行受託業務之相關人員應接受適任性查核,並依國家機密保護法之規定,管制其出境。 五、受託業務包括客製化資通系統開發者,受託者應提供該資通系統之安全性檢測證明;該資通系統屬委託機關之核心資通系統,或委託金額達新臺幣一千萬元以上者,委託機關應自行或另行委託第三方進行安全性檢測;涉及利用非受託者自行開發之系統或資源者,並應標示非自行開發之內容與其來源及提供授權證明。 六、受託者執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應立即通知委託機關及採行之補救措施。 七、委託關係終止或解除時,應確認受託者返還、移交、刪除或銷毀履行契約而持有之資料。 八、受託者應採取之其他資通安全相關維護措施。 九、委託機關應定期或於知悉受託者發生可能影響受託業務之資通安全事件時,以稽核或其他適當方式確認受託業務之執行情形。 委託機關辦理前項第四款之適任性查核,應考量受託業務所涉及國家機密之機密等級及內容,就執行該業務之受託者所屬人員及可能接觸該國家機密之其他人員,於必要範圍內查核有無下列事項: 一、曾犯洩密罪,或於動員戡亂時期終止後,犯內亂罪、外患罪,經判刑確定,或通緝有案尚未結案。 二、曾任公務員,因違反相關安全保密規定受懲戒或記過以上行政懲處。 三、曾受到外國政府、大陸地區、香港或澳門政府之利誘、脅迫,從事不利國家安全或重大利益情事。 四、其他與國家機密保護相關之具體項目。 第一項第四款情形,應記載於招標公告、招標文件及契約;於辦理適任性查核前,並應經當事人書面同意。 壹、依據及目的本計畫依據下列法規訂定:
貳、適用範圍本計畫適用範圍涵蓋本機關。 參、核心業務及重要性一、核心業務及重要性:本機關之核心業務及重要性如下表:
各欄位定義:
二、非核心業務及說明:本機關之非核心業務及說明如下表:
各欄位定義:
肆、資通安全政策及目標一、資通安全政策為使本機關業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:
二、資通安全目標
三、資通安全政策及目標之核定程序資通安全政策由本機關資訊業務承辦人簽陳資通安全長核定。 四、資通安全政策及目標之宣導
五、資通安全政策及目標定期檢討程序資通安全政策及目標應定期於資通安全管理審查會議中檢討其適切性。 伍、資通安全推動組織一、資通安全長依本法第11條之規定,本機關由謝有誌為資通安全長,負責督導機關資通安全相關事項,其任務包括: (一)資通安全管理政策及目標之核定、核轉及督導。(二)資通安全責任之分配及協調。(三)資通安全資源分配。(四)資通安全防護措施之監督。(五)資通安全事件之檢討及監督。(六)資通安全相關規章與行政命令之核定。(七)資通安全維護計畫之核定。二、資通安全推動小組(一)組織為推動本機關之資通安全相關政策、落實資通安全事件通報及相關應變處理,由資通安全長召集各業務承辦人成立資通安全推動小組[1],其任務包括:
(二)分工及職掌本機關之資通安全推動小組依下列分工進行責任分組,並依資通安全長之指示負責下列事項,本機關資通安全推動小組分組人員名單及職掌應列冊,並適時更新之[2]:
陸、專職人力及經費配置一、專職人力及資源之配置
二、經費之配置
柒、資訊及資通系統之盤點一、資訊及資通系統盤點
1.硬體資產:電腦及通訊設備、可攜式設備及資通系統相關之設備等。2.軟體資產:包括下列二類型-(1)應用軟體、系統軟體、開發工具、套裝軟體及電腦作業系統等。(2)以數位等形式儲存之資訊,如資料庫、資料檔案、系統文件、操作手冊、訓練教材、研究報告、作業程序、永續運作計畫、稽核紀錄及歸檔之資訊等。3.支援服務資產:(1)支援服務之相關人員。(2)相關基礎設施級其他機關內部之支援服務,如電力、消防等。
二、機關資通安全責任等級分級本機關自行辦理資通業務,未維運自行或委外開發之資通系統者,其資通安全責任等級為 E級。。 捌、資通安全風險評估一、資通安全風險評估
玖、資通安全防護及控制措施本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項,採行相關之防護及控制措施,全機關之防護及控制措施詳如本機關資通安全維護計畫。 本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項,採行相關之防護及控制措施如下: 一、資訊及資通系統之管理(一)資訊及資通系統之使用
二、存取控制與加密機制管理(一)網路安全控管
(二)資通系統權限管理
(三)特權帳號之存取管理
(四)加密管理
三、作業與通訊安全管理(一)防範惡意軟體之控制措施
(二)遠距工作之安全措施
(三)電子郵件安全管理
(四)確保實體與環境安全措施
(五)資料備份
(六)媒體防護措施
(七)電腦使用之安全管理
(八)行動設備之安全管理
(九)即時通訊軟體之安全管理1.使用即時通訊軟體傳遞機關內部公務訊息,其內容不得涉及機密資料。2.因特殊需求須使用即時通訊軟體傳遞非機密之公務訊息時,應簽核至縣府一層長官同意後,方可開放,然大陸地區設計製造之即時通訊軟體仍不得使用。若中央訂有統一機關使用之即時通訊軟體,則應全面改用之。四、業務持續運作演練依南投縣政府資通安全維護計畫第玖點、五、業務持續運作縯練規定,有核心資通系統之E級機關適用,本機關無核心資通系統為E級機關,無強制規定需持續運作演練,餘配合縣府規定辦理。 五、資通安全防護設備
壹拾、資通安全事件通報、應變及演練相關機制為即時掌控資通安全事件,並有效降低其所造成之損害,本機關應訂定資通安全事件通報、應變及演練相關機制,詳資通安全事件通報應變程序[10]。 壹拾壹、資通安全情資之評估及因應本機關接獲資通安全情資,應評估該情資之內容,並視其對本機關之影響、本機關可接受之風險及本機關之資源,決定最適當之因應方式,必要時得調整資通安全維護計畫之控制措施,並做成紀錄。 一、資通安全情資之分類評估本機關接受資通安全情資後,應指定人員進行情資分析,並依據情資之性質進行分類及評估,情資分類評估如下: (一)資通安全相關之訊息情資資通安全情資之內容如包括重大威脅指標情資、資安威脅漏洞與攻擊手法情資、重大資安事件分析報告、資安相關技術或議題之經驗分享、疑似存在系統弱點或可疑程式等內容,屬資通安全相關之訊息情資。 (二)入侵攻擊情資資通安全情資之內容如包含特定網頁遭受攻擊且證據明確、特定網頁內容不當且證據明確、特定網頁發生個資外洩且證據明確、特定系統遭受入侵且證據明確、特定系統進行網路攻擊活動且證據明確等內容,屬入侵攻擊情資。 (三)機敏性之情資資通安全情資之內容如包含姓名、出生年月日、國民身份證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接識別之個人資料,或涉及個人、法人或團體營業上秘密或經營事業有關之資訊,或情資之公開或提供有侵害公務機關、個人、法人或團體之權利或其他正當利益,或涉及一般公務機密、敏感資訊或國家機密等內容,屬機敏性之情資。 (四)涉及核心業務、核心資通系統之情資資通安全情資之內容如包含機關內部之核心業務資訊、核心資通系統、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作等內容,屬涉及核心業務、核心資通系統之情資。 二、資通安全情資之因應措施本機關於進行資通安全情資分類評估後,應針對情資之性質進行相應之措施,必要時得調整資通安全維護計畫之控制措施。 (一)資通安全相關之訊息情資由資通安全推動小組彙整情資後進行風險評估,並依據資通安全維護計畫之控制措施採行相應之風險預防機制。 (二)入侵攻擊情資由指定人員判斷有無立即之危險,必要時採取立即之通報應變措施,並依據資通安全維護計畫採行相應之風險防護措施,另通知各單位進行相關之預防。 (三)機敏性之情資就涉及個人資料、營業秘密、一般公務機密、敏感資訊或國家機密之內容,應採取遮蔽或刪除之方式排除,例如個人資料及營業秘密,應以遮蔽或刪除該特定區段或文字,或採取去識別化之方式排除之。 (四)涉及核心業務、核心資通系統之情資資通安全推動小組應就涉及核心業務、核心資通系統之情資評估其是否對於機關之運作產生影響,並依據資通安全維護計畫採行相應之風險管理機制。 壹拾貳、資通系統或服務委外辦理之管理本機關委外辦理資通系統之建置、維運或資通服務之提供時,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。 一、選任受託者應注意事項
二、監督受託者資通安全維護情形應注意事項
壹拾參、資通安全教育訓練一、資通安全教育訓練要求
二、資通安全教育訓練辦理方式
壹拾肆、公務機關所屬人員辦理業務涉及資通安全事項之考核機制本機關所屬人員之平時考核或聘用,依據公務機關所屬人員資通安全事項獎懲辦法、南投縣政府暨所屬各機關學校公務人員平時獎懲標準表規定辦理之。 壹拾伍、資通安全維護計畫及實施情形之持續精進及績效管理機制一、資通安全維護計畫之實施為落實本安全維護計畫,使本機關之資通安全管理有效運作,相關單位於訂定各階文件、流程、程序或控制措施時,應與本機關之資通安全政策、目標及本安全維護計畫之內容相符,並應保存相關之執行成果記錄。 二、資通安全維護計畫實施情形之稽核機制(一)稽核機制之實施
(二)稽核改善報告
三、資通安全維護計畫之持續精進及績效管理
壹拾陸、資通安全維護計畫實施情形之提出本機關依據南投縣政府資通安全維護計畫第壹拾陸規定配合辦理,向監督機關-南投縣政府,提出資通安全維護計畫實施情形[21],使其得瞭解本機關之年度資通安全計畫實施情形。 壹拾柒、相關法規、程序及表單一、相關法規及參考文件(一)資通安全管理法(二)資通安全管理法施行細則(三)資通安全責任等級分級辦法(四)資通安全事件通報及應變辦法(五)資通安全情資分享辦法(六)公務機關所屬人員資通安全事項獎懲辦法(七)資訊系統風險評鑑參考指引(八)政府資訊作業委外安全參考指引(九)南投政府政府資訊安全管理要點(十)南投縣政府資通安全緊急應變計畫暨作業處理程序(十一)南投縣政府個人資料保護管理要點(十二)南投縣政府資通安全處理小組設置及作業要點(十三)南投縣政府資訊推動小組設置要點(十四)南投縣資訊系統開發及維運作業要點(十五)南投縣政府網路使用規範(十六)南投縣政府電子郵件使用作業規定(十七)南投縣政府網際網路網站管理要點(十八)本機關資通安全事件通報及應變管理程序 |