為確保資通系統與資料、設備、網路通訊之安全,有效降低人為破壞、天然災害導致之風險,落實資通安全管理相關規範,明確規定資通安全組織與權責,特訂定「資通安全管理辦法」(A-IS-A0101)
(以下簡稱本辦法)。
一、 資通安全管理法及其相關子法。
二、 ISO 27001。
三、 個人資料保護法。
本辦法適用範圍涵蓋本社所有部門。
(無)
一、 資通安全政策
為使本社業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體人員共同遵循:
1.
建立資通安全風險管理機制,因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
2.
保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
3.
強固資通系統之可靠性,確保本社業務持續營運。
4.
因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本社人員之資通安全意識,本社人員亦應確實參與訓練。
二、 資通安全目標
1.
非核心資通系統可用性達90%以上。
2.
知悉資安事件發生,能於規定的時間完成通報、應變及復原作業。
3.
適時因應法令與技術之變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
4.
達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
本社資通安全政策由資通安全管理系統推動小組(以下簡稱資安小組)簽陳資安小組召集人核定。
1.
本社資通安全政策及目標應每年透過教育訓練、內部會議或內網公告等方式,向本社所有人員進行宣導。
2.
本社應向利害關係人(如資訊服務委外廠商)進行資安政策及目標宣導。
資通安全政策及目標應定期於資安小組會議檢討適切性。
本社由執行長為資安小組召集人,負責督導機關資通安全相關事項,其任務包括:
1.
資通安全管理政策及目標之核定、核轉及督導。
2.
資通安全責任之分配及協調。
3.
資通安全資源分配。
4.
資通安全防護措施之監督。
5.
資通安全事件之檢討及監督。
6.
資通安全相關規章與程序、制度文件核定。
7.
資通安全維護計畫之核定。
8.
資通安全相關工作事項督導。
9.
每年至少召開1次資通安全管理審查會議(以下簡稱資安小組會議)。
10.
其他資通安全事項之核定。
二、 資安小組副召集人:
本社由副執行長為資安小組副召集人,負責協助資安小組召集人督導機關資通安全相關事項。
(一) 組織
為推動本社之資通安全相關政策、落實資通安全事件通報及相關應變處理,由資安小組召集人召集部門主管以上人員代表成立資安小組,成員及分工詳如「資安小組成員及分工表」(A-IS-A0101-001),其任務包括:
1. nbsp;
跨部門資通安全事項權責分工之協調。
2.
應採用之資通安全技術、方法及程序之協調研議。
3.
整體資通安全措施之協調研議。
4.
資通安全計畫之協調研議。
5.
其他重要資通安全事項之協調研議。
(二) 分工及職掌
本社資安小組依下列分工進行責任分組,並依資安小組召集人之指示負責下列事項,資安小組分組職掌如下:
1.
策略規劃組:
(1)
資通安全政策及目標之研議。
(2)
訂定本社資通安全相關規章與程序、制度文件,並確保相關規章與程序、制度合乎法令及契約之要求。
(3)
依據本社資通安全政策與目標擬定工作計畫。
(4)
傳達本社資通安全政策與目標。
(5)
資通安全相關規章與程序、制度之執行。
(6)
資訊及資通系統之盤點及風險評估。
(7)
其他資通安全事項之規劃。
2.
策略推動組:
(1)
資通安全技術之研究、建置及評估相關事項。
(2)
資料及資通系統之安全防護事項之執行。
(3)
資通安全事件之對外通報及應變機制之執行。
(4)
資通安全教育訓練及資安相關活動之辦理。
(5)
資安小組會議之準備。
(6)
資通安全內部稽核結果改善事項之規劃。
(7)
其他資通安全事項之辦理與推動。
3.
資安稽核組:
(1)
辦理資通安全內部稽核。
(2)
於資安小組會議提報資通安全事項執行稽核情形。
本社將綜整內外部關注方及內外部議題、要求與期待並將相關意見內容納入「組織全景評鑑表」(A-IS-A0101-002)中,以利定期審視其適切性。
目標之評量機制的各項紀錄應彙整成「資通安全目標與評量機制查核表」(A-IS-A0101-003),以利定期追蹤達成績效。
針對本社資通安全管理系統實施範圍以科學的方法進行風險評鑑,規劃風險防護計畫,並依據風險評鑑及風險防護規劃的結果制定「適用性聲明書」(A-IS-P0206)、「資通資產管理暨風險評鑑管理要點」(A-IS-P0201)、「資通資產清冊」(詳附件一)、「風險評鑑報告」(詳附件二)及「風險處理計畫」(詳附件三)。
本社將透過資安小組會議確認風險管理之有效性的,並檢視風險防護措施是否有效降低相關風險,以達成風險管理之預期目標。
依據「適用性聲明書」(A-IS-P0206)所宣告之控制項目,訂定控制措施,包括負責人員、程序、步驟以及紀錄的留存,發行並實施控制措施。
一、 人員安全
(一) 人員進用
本社人員進用由用人部門及行政處負責,如其工作職責須使用處理內含機密性資訊設施,或須處理機密性資訊者,由用人部門依據本社「工作規則」評估,並依據工作性質明訂資產之存取權限。
(二) 保密需求
本社新進人員於報到時,需依照人事相關規定辦理。本社非核心資通系統開發人員應簽署「資通安全保密同意書」(A-IS-A0101-004)。
資訊相關業務委外廠商均應遵守契約要求及本社「資通委外安全管理要點」(A-IS-P0208)之規定並簽署「資通業務委外廠商保密切結書」(A-IS-P0208-001)。
(三) 教育訓練
人員執行資通安全管理系統相關作業前,必須確認其具備執行該項作業所需之技能,此外,本社員工定期應接受規定時數之資通安全訓練,說明如表1,新進人員亦應補足規定訓練時數。
表 1:本社人員應接受資安訓練時數表
|
訓練名稱 |
訓練對象 |
每年度須接受資通安全教育訓練時數 |
|
資通安全 教育訓練 |
資通安全專責人員 |
毎人每年至少接受12小時以上之資通安全專業課程訓練或資通安全職能訓練。 |
|
資通安全專責人員以外之資訊人員 |
每人每2年至少接受3小時以上之資通安全專業課程訓練或資通安全職能訓練,且每年接受3小時以上之資通安全通識教育訓練。 |
|
|
一般使用者及主管 |
每人每年接受3小時以上之資通安全通識教育訓練。 |
|
|
資通安全 專業證照 |
資通安全專業證照 |
初次受核定或等級變更後之一年內,資通安全專責人員總計應持有1張以上,並持續維持證照之有效性。 |
資通安全教育訓練除對本社人員實施外,另對於臨時人員、駐點廠商人力及本社委外廠商執行計畫人員,得視需要要求參加本社資通安全教育訓練,並得要求相關人員遵循本社資通安全相關規定。
資通安全人力或經驗如有不足,得洽請學者專家提供顧問諮詢服務。
(四) 人員離職
本社人員離職時,須依照本社「工作規則」辦理。
(五) 職務區隔
本社人員應依職務與責任範圍,區隔資通資產存取權限,以保護全社資通資產的安全。
(六) 人員獎懲
本社人員若違反資安相關規定,基於法律之規定或發生法律上之爭議與糾紛或本社及其他使用者遭受名譽、隱私權、智慧財產權等相關權利侵害時,企劃推廣處得報請主管核定後,進行追查、監看、暫停、刪除其內容或限制其使用權限;情節嚴重者,將停止其使用權,並報請行政處依本社「工作規則」進行懲處。
二、 危害國家資安產品限制原則
依行政院「各機關對危害國家資通安全產品限制使用原則」,本社不得採購及使用主管機關核定之廠商生產、研發、製造或提供之危害國家資通安全產品。
三、 資通安全事件通報、應變及演練機制
為即時掌控資通安全事件,並有效降低其所造成之損害,本社訂定「資通安全事件通報及應變管理程序」,並演練相關機制。有關資通安全事件通報、應變及演練,詳「資通安全事件通報及應變管理程序」。
四、 實體與環境的安全
在本社辦公環境內,須防範核心業務資訊遭受未授權的存取、破壞及干擾。
(一) 辦公環境與設備的安全
保障辦公環境安全為本社所有人員之責任,並應配合辦公環境安全控制措施:
1.
暫時離開座位時,應將桌面上機密公文收到辦公抽屜中,避免被非法人士不當瀏覽。
2.
暫時離開座位時,建議將電腦螢幕畫面鎖定。
3.
電腦應設定螢幕保護裝置,等候時間不得超過15分鐘,並以密碼保護。
(二) 機房的安全
有關機房安全控制措施,依據「實體及環境安全管理要點」(D-IS-P0202)辦理。
五、 專案安全
納入管制的計畫宜在專案管理中因應資通安全。
六、 資通系統獲取開發及維護管理
資通系統採購、開發、維護、管理,依據「資通系統獲取開發及維護管理要點」(D-IS-P0204)辦理。
七、 系統規劃與委外
(一) 安全需求規劃
各資通系統建置、維護及停用前,視需要辦理資通安全分析及研訂規格需求,確保相關資通系統之安全要求。
(二) 容量規劃
系統建置或維護前,視需要辦理容量規劃,以確保資通系統之效能與儲存空間。
(三) 資通系統開發與維護安全程序
依據「資通系統獲取開發及維護管理要點」(D-IS-P0204)辦理。
(四) 資通安全驗收程序
依據「資通系統獲取開發及維護管理要點」(D-IS-P0204)及「資通委外安全管理要點」(A-IS-P0208)辦理。
八、 日常作業管理
依據「實體及環境安全管理要點」(D-IS-P0202)及「系統與網路安全管理要點」(A-IS-P0203)辦理例行性備份、復原演練及機房巡查日誌等。
(一) 資料備份
依據「實體及環境安全管理要點」(D-IS-P0202)辦理。
(二) 系統操作
各資通系統開發人員應訂定系統操作手冊,並以書面、電子或其他方式載明之,以確保使用者可正確及安全地操作系統。
(三) 公開資訊的防護
本社對外公開之網站或資訊服務系統應設置防火牆、防毒系統等防護機制,並保留各伺服器主機的稽核軌跡紀錄定期稽查,避免公開資訊遭竄改。
(四) 加密政策
本社對外提供的資訊服務網站或系統,如資訊內容包含機密性資訊者(包含使用者通行碼或帳號資訊),通訊傳輸均建議使用加密技術。
(五) 系統與網路安全管理
依據「系統與網路安全管理要點」(A-IS-P0203)辦理。
(六) 個資保護
1.
系統處理個資時,應依據「個人資料保護法」相關規定辦理,審慎處理個人資料,非業務用途嚴禁調閱使用。
2.
對外公開服務的資通系統如存放使用者之個資,應另行存放於防火牆內部之主機以妥善保管,避免有心人士竊取,侵犯使用者隱私。
3.
個人資料依有關法令為特定目的外之利用時,應由各該資料檔案承辦部門簽奉核准後行之。
(七) 文件與紀錄安全管理
為確保本社業務活動能正常進行,與本社核心業務活動相關之文件與紀錄應依據「資安文件與紀錄管制要點」(A-IS-P0207)辦理。
(八) 系統稽核工具
為確保稽核紀錄準確性,本社各伺服主機應進行時間校正,相關系統監控稽核依據「系統與網路安全管理要點」(A-IS-P0203)辦理。
為保護相關稽核軌跡紀錄,宜建置保存及保護機制,並保護稽核軌跡紀錄安全與完整性。
(九) 業務持續管理
為因應人為或天然重大災害可能造成本社核心業務中斷,以業務持續管理確保本社核心業務在可接受的時間內恢復運作,依據「業務持續管理要點」(A-IS-P0205)辦理。
為維持業務持續運作,依據營運衝擊分析結果,宜針對重要的資通系統採用多重備份或備援機制。
依據「資通委外安全管理要點」(A-IS-P0208)辦理。
稽核機制之實施
辦理本社內稽業務時應至少每2年執行一次內部資通安全稽核作業,以確認人員是否遵循本規範與管理程序要求,並有效實作及維持管理制度。
稽核機制之實施依據本社品質系統「內部稽核管理程序」(A-RD-P8002)相關規定辦理。
稽核改善報告依據本社品質系統「內部稽核管理程序」(A-RD-P8002)相關規定辦理。
同時在遭遇下列情形時,應啓動稽核改善作業:
一、 資通安全目標無法達成。
二、 風險處理計畫失效。
三、 內部/外部稽核有不符合事項。
四、 當資安事件等級達本社資通安全事件通報及應變程序中所述之3級或4級時。
五、 當相同資安事件連續發生達2次以上時。
如發現前述情況,依據「內部稽核管理程序」(A-RD-P8002)啟動稽核改善程序,並將根因分析填寫於「稽核/追查報告」的缺點說明欄位。
一、 資通安全管理系統文件架構
參考「資安文件與紀錄管制要點」(A-IS-P0207)。
二、 文件管制
所有資通安全管理系統相關文件(含執行紀錄)均需管制,依據「資安
文件與紀錄管制要點」(A-IS-P0207)辦理。
三、 資安績效評估
由各部門主管負責監督各資通安全程序是否依規定進行,若有不符合之處應予以糾正。
四、 控制措施有效性的量測
本社定期彙整資通安全相關紀錄,確認是否達成預期目標或需修訂資通安全維護計畫,俾利持續改善並強化整合性資通安全管理,提高安全防禦強度。
彙整相關資訊作為資安小組會議的報告項目,確認控制措施有效性,及研議適當改善措施。
資通安全目標之評量紀錄應彙整成「資通安全目標與評量機制查核表」(A-IS-A0101-003)以利追蹤。
五、 管理審查
(一) 本社每年至少召開一次資安小組會議,確認資通安全維護計畫之實施情形,確保其持續適切性、合宜性及有效性,資安小組會議討論議程至少應包括:
1.
上次會議處理情形追蹤。
2.
與資通安全管理系統有關之變更。
3.
資通安全績效之回饋,如資通安全政策及目標之實施情形。
4.
重大資通安全事件之處理及改善情形。
資安小組會議應作紀錄,依行政程序陳報。
一、 附件一:資通資產清冊
二、 附件二:風險評鑑報告
三、 附件三:風險處理計畫
三、 資通安全目標與評量機制查核表(A-IS-A0101-003)
四、 資通安全保密同意書(A-IS-A0101-004)