事件通報與應變機制
目的及適用範圍
為加強應對資通安全事件的能力,以避免事件失控對組織運作造成持續影響的危機,我們制定了「資通安全事件通報與應變機制」。
當公司系統、服務或網路的狀態顯示可能違反資通安全政策或保護措施失效時,這些事件將被鑑別並視為對資通系統功能運作構成威脅的情況。
資通安全風險管理架構
(一) 本公司的資訊安全政策管理與規劃由資訊管理處負責,並由資安小組負責處理與通報相關事件,包括:
➢ 資訊安全技術與專案評估規劃。
➢ 機房的維護與管理。
➢ 硬體設備和系統的維護與管理。
(二) 對於資訊安全的防毒、防災、防駭、防漏等機制,我們定期向權責主管進行報告彙整。
(三) 資通安全架構
資通安全事件等級
本公司所討論的資通安全事件泛指任何對於資通安全的機密性、完整性或可用性造成危害的突發事件。為了有效應對,我們將資通安全事件分為三級,依照嚴重程度分別為「3級」、「2級」和「1級」。
(一)3 級事件
符合以下任一情形者,屬於3級事件:
- 機房設備發生電力異常或停電,導致系統無法正常運作或停止運行,無法在可容忍的中斷時間內恢復正常運作。
- 機房因強烈地震或火災等災害而受損,導致系統無法運作或停止運行,無法在可容忍的中斷時間內恢復正常運作。
(二)2 級事件
符合下列任一情形者,屬於 2 級事件:
- 資通系統的硬體受損,導致系統無法運作或停止運行,無法在可容忍的中斷時間內恢復正常運作。
- 資通系統遭受駭客攻擊、病毒感染或惡意程式攻擊,導致系統無法運作或停止運行,無法在可容忍的中斷時間內恢復正常運作。
- 資通系統的網路通訊中斷,導致系統無法運作或停止運行,無法在可容忍的中斷時間內恢復正常運作。
(三)1 級事件
符合下列任一情形者,屬 1 級事件:
- 資通系統發生輕微洩漏、輕微竄改或資料異常。
- 資通系統的運作受到影響或停止,但在可容忍的中斷時間內能夠恢復正常運作。
資通安全事件通報窗口及應變作業流程
(一) 資通安全事件通報窗口及聯繫專線:06-2091821 Mail: [email protected]
(二) 人員發現資通安全事件後,應立即向所屬單位主管及資訊部之通報窗口通報。
(三) 應確保通報窗口的聯絡管道全天維持暢通。若因設備故障或其他情形導致窗口聯絡管道中斷,且中斷情況持續達一小時以上,應立即通知相關人員,並提供其他有效的臨時聯絡管道。
(四) 當事件經初步判斷認為可能屬於重大資安事件或事態嚴重時,應即向行政主管報告。資訊部主管應成立緊急處理小組,立即開會討論應變計畫。
(五) 各相關權責人員應詳細紀錄事件處理過程,並檢討事件發生的原因,積極著手進行改善措施,同時留存必要的證據。
資通安全事件通報程序
(一)判定事件等級之流程及權責
權責人員或緊急處理小組在知悉資通安全事件後,應依據以下事項完成資通安全事件等級判斷:
1.事件導致資通系統遭竄改的影響程度,判斷是屬於嚴重還是輕微程度。
2.事件導致資通系統遭受中毒、惡意攻擊或電力設備異常等情況,以及機房發生災害等導致系統停頓的情況,需要評估是否在可容忍中斷時間內能夠回復正常運作。
3.事件可能涉及其他足以影響資通安全事件等級的因素,這些因素也應納入考慮。
(二) 除了評估資通安全事件的等級外,權責人員或緊急處理小組也應評估事件對資通安全的影響範圍和損害程度,以及應對這些影響的能力。
(三) 權責人員或緊急處理小組在完成資通安全事件等級的判斷和相關評估後,應盡速向權責主管代表報告,並等待核准。
(四) 如果資通安全事件的等級發生變更,權責人員或緊急應變小組應立即通知通報窗口,以確保通報作業得以繼續進行。
資通安全事件應變程序
(一) 事件發生前的防護措施規劃
本公司應於平時妥善實施資通安全維護計畫,並以組織營運目標與策略為基準。透過整體的營運衝擊分析,我們將規劃業務持續運作計畫並實施演練,以預防資安事件的發生。
(二)損害控制機制
負責應變之權責人員或緊急處理小組,應完成以下應變事務之辦理,並留存應變之紀錄:
1. 資安事件之衝擊及損害控制作業。
2. 資安事件所造成損害之復原作業。
3. 資安事件之調查、處理方式以及改善報告的撰寫。
4. 資安事件後續發展監控以及與其他事件的關聯性追蹤。
5. 資訊系統、網路、機房等安全區域發生重大事故或災難,導致業務中斷時,應依據公司事先擬定的緊急計畫,進行應變措施以恢復業務持續運作。
6. 其他資通安全事件應變相關事項。
對於第一級和第二級資通安全事件,本公司應於知悉事件後七十二小時內完成上述事務的辦理,並留存相關紀錄。對於第三級資通安全事件,應於知悉事件後三十六小時內完成損害控制或復原作業,並執行上述事項,同時留存相關紀錄。
紀錄留存及管理程序之調整
(一) 本公司應將資通安全事件的通報與應變作業執行情形、事件影響範圍與損害程度,以及其他通報應變的執行情形,完整地留存於「資訊設備或系統異常狀況處理紀錄表」上。該文件應經承辦人員和權責主管簽核。
(二) 本公司於完成資通安全事件的通報及應變程序後,應根據「資訊設備或系統異常狀況處理紀錄表」中的內容和實際處理情況,對管理程序、人力配置或其他相關事項進行必要的修正或調整。
輸出文件/紀錄
(一)資訊設備或系統異常狀況處理紀錄表
(二)資通安全事件應變機制與檢查表
(三)非法軟體定期檢查表
資通安全具體管理方案
(一) 為因應突發狀況及資訊資料回復,我們已著手規劃資訊斷線備援演練及備援資產盤點。透過演練,我們將進一步了解目前欠缺的措施、設備、人員熟練等應變能力,並透過後續的補強規劃,強化企業整體的應變能力與危機處理。
(二) 機房內主要伺服器設備與電力管理等,均定期配合廠商定期維護,以保障防災、消防規劃、不斷電系統等,以確保維運環境的安全。
(三) 使用防火牆機制,將各內部需使用網路與服務的單位群組進行分類與應用服務管制。加上時段管理與透過申請機制,進一步強化網路管理與彈性應用。
(四) 郵件服務搭配 SPAM 機制,並掛載防毒模組與進階防禦模組,以進行進階惡意程式比對,防禦魚叉式攻擊、匯款詐騙、APT 攻擊郵件、勒索病毒以及新型態攻擊等事件。
(五) 資料檔案與系統面等備份,均安排排程自動化的定期備份與異地存放。
(六) 使用伺服器虛擬化技術,透過系統備份機制,可在突發狀況發生時,快速進行系統掛載與服務恢復。
(七) 公司內所有的 Windows 電腦均部署防毒軟體,並定期配合作業系統更新,以有效避免系統漏洞、提升系統安全,保障企業在整體應用上、網路上、管理上的可靠性與安全性。
(八) 公司內各系統的使用,同仁員工密碼原則上均不能少於 8 碼,並搭配特殊符號、數字、大小寫英文等,同時不能與歷程密碼相同。
(九) 定期宣導資訊安全政策與提供改善措施等規劃,避免內部同仁透過上網行為、郵件內容、USB 的隨插即用與個人持有設備等使用操作,造成公司內部風險提升與間接異常破壞。
| 資安風險 | 資安管控因應措施 |
| 1.在辦公室內私自安裝電腦及網路通訊等相關設備的不當行為 | 1.防火牆政策規則確保公司內外部網路安全連線,防止惡意軟體和駭客入侵等網路安全威脅 |
| 2.使用者未在停止使用資通系統時立即停用或移除使用者帳號 | 2.公司電腦安裝防毒軟體,以確保電腦免受病毒侵害,提升電腦的安全性保護 |
| 3.機密資訊未在儲存或傳輸時進行加密 | 3.郵件防護系統包括垃圾郵件防護、病毒郵件防護和防禦郵件威脅與攻擊,以確保企業郵件的安全性 |
| 4.使用者在使用電子郵件時未提高警覺,並閱讀來自未知來源的郵件 | 4.進行資訊安全加強宣導與教育訓練,推廣人員對資訊安全的意識,並強化對相關責任的認知 |