政府機關_構_資通安全責任等級分級作業規定

壹 目 的 政 府 機 關 ( 構 ) 資 通 安 全 責 任 等 級 分 級 規 定 為 明 確 規 範 政 府 機 關 ( 構 ) 資 通 安 全 責 任 等 級 分 級 流 程, 透 過 資 通 安 全 ( 以 下 簡 稱 資 安 ) 管 理, 以 防 範 潛 在 資 安 威 脅, 進 而 提 升 國 家 資 安 防 護 水 準, 特 訂 定 政 府 機 關 ( 構 ) 資 通 安 全 責 任 等 級 分 級 規 定 ( 以 下 簡 稱 本 規 定 ) 貳 適 用 對 象 一 中 央 及 地 方 政 府 機 關 ( 含 行 政 法 人 ) 二 國 ( 公 ) 營 事 業 醫 療 及 學 術 機 構 三 由 政 府 委 託 民 間 興 建 營 運 後 轉 移 (Build-Operate-Transfer, BOT) 之 關 鍵 資 訊 基 礎 設 施 (Critical Information Infrastructure,CII) 之 營 運 單 位 關 鍵 資 訊 基 礎 設 施, 指 涉 及 核 心 業 務 運 作, 為 支 持 關 鍵 基 礎 設 施 持 續 營 運 所 需 之 重 要 資 訊 系 統 或 調 度 控 制 系 統 (Supervisory Control and Data Acquisition, SCADA), 亦 屬 關 鍵 基 礎 設 施 之 重 要 元 件, 應 配 合 對 應 之 關 鍵 基 礎 設 施 統 一 納 管 參 分 級 原 則 一 政 府 機 關 層 級 二 涉 及 外 交 國 防 國 土 安 全 財 政 經 濟 警 政 等 重 要 業 務 三 涉 及 能 源 水 資 源 通 訊 傳 播 交 通 金 融 緊 急 救 援 與 醫 院 高 科 技 園 區 等 關 鍵 資 訊 基 礎 設 施 業 務 或 營 運 四 涉 及 全 國 區 域 性 或 地 區 性 個 人 資 料 檔 案 肆 具 體 作 法 一 政 府 機 關 ( 構 ) 資 安 責 任 等 級 ( 一 ) 政 府 機 關 1. A 級 第 1 頁, 共 7 頁

(1) 總 統 府 國 安 會 立 法 院 司 法 院 考 試 院 監 察 院 行 政 院 及 直 轄 市 政 府 (2) 立 法 院 司 法 院 考 試 院 監 察 院 及 行 政 院 等 所 屬 二 級 機 關 相 當 二 級 機 關 之 獨 立 機 關 ( 以 下 合 稱 二 級 機 關 ) 但 其 業 務 或 組 織 單 純 者, 得 報 經 其 上 級 機 關 核 准, 調 整 為 B 級 或 C 級 (3) 凡 涉 及 外 交 國 防 國 土 安 全, 及 掌 理 全 國 財 政 經 濟 警 政 等 重 要 業 務 之 機 關, 如 外 交 部 領 事 事 務 局 內 政 部 警 政 署 刑 事 警 察 局 等 (4) 負 責 能 源 水 資 源 通 訊 傳 播 交 通 金 融 緊 急 救 援 高 科 技 園 區 等 關 鍵 資 訊 基 礎 設 施 之 營 運 機 關, 如 交 通 部 民 用 航 空 局 飛 航 服 務 總 臺 等 (5) 保 有 全 國 性 個 人 資 料 檔 案 之 機 關, 如 勞 動 部 勞 工 保 險 局 衛 生 福 2. B 級 利 部 中 央 健 康 保 險 署 等 (1) 縣 ( 市 ) 政 府 (2) 凡 涉 及 社 會 秩 序 及 人 民 財 產 業 務 之 機 關, 如 地 方 政 府 警 察 局 地 方 政 府 地 政 事 務 所 等 (3) 保 有 區 域 性 或 地 區 性 個 人 資 料 檔 案 之 機 關, 如 財 政 部 各 地 區 國 稅 3. C 級 ( 二 ) 學 術 機 構 局 地 方 政 府 戶 政 事 務 所 等 其 他 政 府 機 關 及 地 方 政 府 民 意 機 關 1. A 級 凡 涉 及 各 相 關 機 關 委 託 研 究 具 國 家 安 全 機 密 性 或 敏 感 性 之 學 校 2. B 級 (1) 各 大 學 (2) 臺 灣 學 術 網 路 各 區 域 網 路 中 心 暨 各 直 轄 市 縣 ( 市 ) 教 育 網 路 中 心 3. C 級 (1) 各 學 院 專 科 學 校 及 高 級 中 等 以 下 學 校 第 2 頁, 共 7 頁

(2) 教 育 部 所 屬 研 究 機 構 ( 三 ) 國 ( 公 ) 營 事 業 醫 療 機 構 及 其 他 1. A 級 (1) 國 ( 公 ) 營 事 業 與 特 許 機 構, 處 理 涉 及 能 源 水 資 源 通 訊 傳 播 交 通 金 融 等 關 鍵 資 訊 基 礎 設 施 業 務 者, 如 台 灣 電 力 公 司 臺 灣 港 務 股 份 有 限 公 司 臺 灣 證 券 交 易 所 等 (2) 由 政 府 委 託 民 間 興 建 營 運 後 轉 移 之 關 鍵 資 訊 基 礎 設 施 之 營 運 單 位, 如 遠 通 電 收 股 份 有 限 公 司 台 灣 高 速 鐵 路 股 份 有 限 公 司 高 雄 捷 運 股 份 有 限 公 司 等 (3) 醫 學 中 心, 如 國 立 臺 灣 大 學 醫 學 院 附 設 醫 院 臺 北 榮 民 總 醫 院 等 (4) 保 有 全 國 性 個 人 資 料 檔 案 之 機 構, 如 中 華 郵 政 股 份 有 限 公 司 等 2. B 級 (1) 國 ( 公 ) 營 事 業 涉 及 全 國 或 地 方 民 生 資 源 等 業 務, 如 台 灣 糖 業 股 份 有 限 公 司 等 (2) 區 域 醫 院, 如 臺 北 市 立 聯 合 醫 院 衛 生 福 利 部 桃 園 醫 院 國 立 臺 灣 大 學 醫 學 院 附 設 醫 院 雲 林 分 院 等 (3) 保 有 區 域 性 或 地 區 性 個 人 資 料 檔 案 之 機 構 3. C 級 (1) 其 他 國 ( 公 ) 營 事 業 機 構, 如 金 門 酒 廠 實 業 股 份 有 限 公 司 福 建 省 連 江 縣 馬 祖 日 報 社 等 (2) 地 區 醫 院, 如 臺 北 市 立 關 渡 醫 院 國 立 成 功 大 學 醫 學 院 附 設 醫 院 斗 六 分 院 臺 北 榮 民 總 醫 院 新 竹 分 院 等 二 政 府 機 關 ( 構 ) 符 合 前 點 所 述 一 個 以 上 之 等 級 者, 適 用 最 高 等 級 三 行 政 院 所 屬 二 級 機 關 各 直 轄 市 及 縣 ( 市 ) 政 府, 應 檢 視 其 所 屬 機 關 ( 構 ) ( 含 行 政 法 人 ) 資 安 責 任 等 級 之 分 級 及 其 妥 適 性, 並 彙 送 行 政 院 資 通 安 全 辦 公 室, 經 該 辦 公 室 複 核 後, 提 請 行 政 院 國 家 資 通 安 全 會 報 核 定 資 安 責 任 等 級, 其 修 正 亦 同 四 總 統 府 國 安 會 立 法 院 司 法 院 考 試 院 監 察 院 所 屬 機 關 ( 構 ) 之 資 安 責 任 等 級, 比 照 前 點 規 定 辦 理, 並 提 送 行 政 院 國 家 資 通 安 全 會 報 備 查 第 3 頁, 共 7 頁

五 原 為 國 ( 公 ) 營 已 民 營 化 之 事 業 公 辦 民 營 事 業 民 營 公 用 事 業 及 政 府 捐 助 之 財 團 法 人, 得 由 其 主 管 ( 監 督 ) 機 關 參 照 本 規 定, 自 行 訂 定 資 安 責 任 等 級, 並 依 其 訂 定 之 應 辦 事 項 監 督 管 理 六 政 府 機 關 ( 構 ) 除 遵 循 行 政 院 及 所 屬 各 機 關 資 安 管 理 規 範 外, 依 其 資 安 等 級, 應 辦 理 之 工 作 事 項 如 附 表 第 4 頁, 共 7 頁

附 表 名 稱 資 訊 系 統 分 類 分 級 ISMS 推 動 資 安 專 責 人 力 稽 核 方 式 業 務 持 續 運 作 演 練 防 護 縱 深 監 控 管 理 安 全 性 檢 測 資 安 教 育 訓 練 ( 一 般 主 管 資 訊 人 員 / 資 安 人 專 業 證 照 員 一 般 使 用 者 等 級 A 級 B 級 1. 完 成 資 訊 系 統 分 級 (104 年 底 2. 完 成 資 訊 系 統 資 安 防 護 基 準 要 求 (105 年 底 1. 完 成 資 訊 系 統 分 級 (104 年 底 2. 完 成 資 訊 系 統 資 安 防 護 基 準 要 求 (105 年 底 1. 全 部 核 心 資 訊 系 統 完 成 ISMS 導 入 (105 年 底 2. 全 部 核 心 資 訊 系 統 通 過 第 三 方 驗 證 (106 年 底 1. 至 少 2 項 核 心 資 訊 系 統 完 成 ISMS 導 入 (106 年 底 2. 至 少 2 項 核 心 資 訊 系 統 通 過 第 三 方 驗 指 派 資 安 專 責 人 力 2 人 指 派 資 安 專 責 人 力 1 人 每 年 至 少 2 次 內 稽 每 年 至 少 1 次 內 稽 每 年 至 少 辦 理 1 次 核 心 資 訊 系 統 持 續 運 作 演 練 每 2 年 至 少 辦 理 1 次 核 心 資 訊 系 統 持 續 運 作 演 練 1. 防 毒 防 火 牆 郵 件 過 濾 裝 置 2.IDS/IPS Web 應 用 程 式 防 火 牆 3.APT 攻 擊 防 禦 1. 防 毒 防 火 牆 郵 件 過 濾 裝 置 2. IDS/IPS 3. Web 應 用 程 式 防 火 牆 ( 機 關 具 有 對 外 服 務 之 核 心 資 訊 系 統 ) SOC 監 控 (104 年 底 SOC 監 控 (105 年 底 1. 每 年 至 少 辦 理 2 次 網 站 安 全 弱 點 檢 測 2. 每 年 至 少 辦 理 1 次 系 統 滲 透 測 試 3. 每 年 至 少 辦 理 1 次 資 安 健 診 1. 每 年 至 少 辦 理 1 次 網 站 安 全 弱 點 檢 測 2. 每 2 年 至 少 辦 理 1 次 系 統 滲 透 測 試 3. 每 2 年 至 少 辦 理 1 次 1. 每 年 資 安 人 員 ( 資 訊 人 員 ) 至 少 2 人 次 須 接 受 12 小 時 以 上 資 安 專 業 課 程 訓 練 或 資 安 職 能 訓 練 2. 每 年 一 般 使 用 者 與 主 管 至 少 須 接 受 3 小 時 資 安 宣 導 課 程 並 通 過 課 程 評 量 1. 每 年 資 安 人 員 ( 資 訊 人 員 ) 至 少 1 人 次 須 接 受 12 小 時 以 上 資 安 專 業 課 程 訓 練 或 資 安 職 能 訓 練 2. 每 年 一 般 使 用 者 與 主 管 至 少 須 接 受 3 小 時 每 年 維 持 至 少 2 張 國 際 資 安 專 業 證 照 與 2 張 資 安 職 能 訓 練 證 書 之 有 效 性 每 年 維 持 至 少 1 張 國 際 資 安 專 業 證 照 與 1 張 資 安 職 能 訓 練 證 書 之 有 效 性 第 5 頁, 共 7 頁

附 表 名 稱 資 訊 系 統 分 類 分 級 ISMS 推 動 資 安 專 責 人 力 稽 核 方 式 業 務 持 續 運 作 演 練 等 級 證 (107 年 底 C 級 依 各 主 管 機 自 行 成 立 依 各 主 依 各 主 依 各 主 管 關 規 定 推 動 小 組 管 機 關 管 機 關 機 關 規 定 規 劃 規 定 規 定 防 護 縱 深 監 控 管 理 安 全 性 檢 測 資 安 教 育 訓 練 ( 一 般 主 管 資 訊 人 員 / 資 安 人 員 一 般 使 用 者 資 安 健 診 資 安 宣 導 課 程 並 通 過 課 程 評 量 1. 防 毒 依 各 主 管 2. 防 火 牆 機 關 規 定 3. 郵 件 過 濾 裝 置 ( 機 關 具 有 郵 件 伺 服 器 ) 註 1. 名 詞 說 明 : ( 一 ) ISMS:Information Security Management System, 資 訊 安 全 管 理 制 度 ( 二 ) IDS:Intrusion Detection System, 入 侵 偵 測 系 統 ( 三 ) IPS:Intrusion Prevention System, 入 侵 防 禦 系 統 ( 四 ) SOC:Security Operation Center, 資 安 監 控 中 心 ( 五 ) APT:Advanced Persistent Threat, 進 階 持 續 性 威 脅 第 6 頁, 共 7 頁 依 各 主 管 機 1. 依 各 主 管 機 關 關 規 定 規 定 資 安 人 員 ( 資 訊 人 員 ) 資 安 專 業 課 程 訓 練 或 資 安 職 能 訓 練 要 求 2. 每 年 一 般 使 用 者 與 主 管 至 少 須 接 受 3 小 時 資 安 宣 導 課 程 並 通 過 課 程 評 量 專 業 證 照 依 各 主 管 機 關 規 定

註 2. 核 心 資 訊 系 統 : 指 經 資 訊 系 統 分 級 後, 等 級 為 高 者, 另 政 府 機 關 於 通 過 ISMS 第 三 方 驗 證 後, 仍 應 依 循 標 準 要 求 辦 理 相 關 註 3. 資 安 教 育 訓 練 之 對 象 說 明 : ( 一 ) 一 般 主 管 : 指 擔 任 主 管 職 務 相 關 人 員, 如 機 關 首 長 副 首 長 部 門 主 管 ( 含 資 訊 主 管 ) 等 ( 二 ) 資 訊 人 員 : 指 負 責 資 訊 相 關 人 員, 如 系 統 分 析 設 計 人 員 系 統 設 計 人 員 系 統 管 理 人 員 及 系 統 操 作 人 員 等 ( 三 ) 資 安 人 員 : 指 負 責 資 安 業 務 相 關 人 員, 如 資 安 管 理 人 員 資 安 稽 核 人 員 等 ( 四 ) 一 般 使 用 者 : 指 一 般 業 務 行 政 會 計 總 務 等 單 位 內 資 訊 系 統 之 使 用 者 註 4. 國 際 資 安 專 業 證 照 : 指 由 國 外 獨 立 認 驗 證 機 構 所 核 發 之 資 安 專 業 證 照 ( 非 針 對 特 定 廠 牌 產 品 之 證 照 ), 例 如 資 安 管 理 類 之 ISO27001 主 導 稽 核 員 (Lead Auditor, LA) 資 安 經 理 人 (Certified Information Security Manager, CISM) 系 統 安 全 從 業 人 員 (Systems Security Certified Practitioner, SSCP) 資 安 管 理 師 (Certification for Information System Security Professional, CISSP) 等, 及 資 安 技 術 類 之 道 德 駭 客 (Certified Ethical Hacker, CEH) 全 方 位 資 安 專 家 (Global Information Assurance Certification, GIAC) 等 註 5. 資 安 職 能 訓 練 證 書 : 指 資 訊 人 員 資 安 人 員 需 根 據 機 關 業 務 所 需, 參 加 資 安 職 能 訓 練 並 通 過 評 量 取 得 證 書 資 安 職 能 訓 練 科 目 包 括 : 資 訊 安 全 通 識 資 訊 系 統 風 險 管 理 政 府 資 訊 委 外 安 全 資 安 事 故 處 理 電 子 資 料 保 護 電 子 郵 件 安 全 WEB 應 用 程 式 安 全 個 人 資 料 保 護 管 理 及 政 府 資 安 管 理 評 鑑 等 第 7 頁, 共 7 頁