修正各機關資通安全事件通報及應變處理作業程序
一、為確保資通安全管理法(以下簡稱本法)納管之公務機關及特定非 公務機關(以下簡稱各機關)於發生資通安全事件時,依本法及資 通安全事件通報及應變辦法相關規定即時通報及應變,迅速完成 損害控制或復原作業,降低資通安全事件對各機關業務之衝擊影 響,並確保資通安全事件發生時之跡證保存,特訂定本程序。
二、各機關應成立資通安全事件通報及應變小組(以下簡稱通報應變 小組),於平時進行演練,並於發生資通安全事件時,依事件等 級進行通報及應變作業。
通報應變小組組成建議如圖一,各分組代表如表一,其任 務如下:
| 第一級、第二級 資通安全事件 | 第三級、第四級 資通安全事件 |
| 事件指揮官 | 機關資訊(安)單位主管 | 機關資通安全長 |
| 新聞官/組 | 事件指揮官或其授權人員 | 事件指揮官或其授權人員 |
| 執行秘書 | 機關資通安全專責人員 或資訊人員 | 機關資訊(安)單位主管 |
| 情資及計畫組 組長 | 機關資通安全專責人員 或資訊人員 | 機關資訊(安)單位主管 或資通安全專責人員 |
| 應變執行組組長 | 機關資通安全專責人員 或資訊人員 | 機關資訊(安)單位主管 或資通安全專責人員 |
| 後勤調度組組長 | 機關資通安全專責人員 或資訊人員 | 機關資訊(安)單位主管 或資通安全專責人員 |
| 財務行政組組長 | 機關財務或秘書單位主管 | 機關財務或秘書單位主管 |
(一)事件指揮官
為通報應變小組總召集人,綜理全般業務,直接督導各單位 聯絡人員及機關新聞官/組。
(二)新聞官/組
視事件需要由事件指揮官或其授權人員擔任新聞官或分組代 表,資通安全事件對外發布新聞或說明之單一窗口,綜整與 定期更新訊息及擬定溝通計畫。
(三)執行秘書
為事件指揮官幕僚,負責督辦通報應變小組各項業務。
(四)情資及計畫組
1. 本分組負責辦理下列事宜:
(1) 資通安全事件通報及情資分享:透過資通安全監控 中心(SOC)、防毒軟體及系統釐清事件影響,並清查 各單位受影響情形,據以完成資通安全事件各階段 通報,分享惡意程式 IoC 等。
(2) 應變策略及計畫研擬:於發生重大資通安全事件 時,依據事件情況研擬損害控制、復原作業及跡證 保存計畫。
2. 本分組由機關資通安全專責人員、資訊人員及委外廠商 或外部專家組成,上級機關、中央目的事業主管機關或 相關機關,亦應視情況或納入政風單位派員參與,以提 供必要之支援協助。
(五)應變執行組
1. 本分組負責辦理下列事宜:
(1) 執行損害控制:依據情資及計畫組研擬之應變策略 及計畫,調度資訊及資通安全人員執行災害搶救及 損害管制,防止次波攻擊及損害擴散。
(2) 復原作業:依據情資及計畫組研擬之復原作業,完 成系統重建、弱點掃描或漏洞修補等事宜。
(3) 跡證保全及留存:確保受害系統與相關系統及網路 設備事件日誌之保存及管理。
2. 本分組由機關資通安全專責人員、資訊人員、業務單位 及委外廠商組成,上級機關、中央目的事業主管機關或 相關機關得於機關申請支援時派員參與。
(六)後勤調度組
1. 本分組負責辦理下列事宜:
(1)事件根因查找:依據系統保存跡證,完成鑑識分 析,並追查防堵惡意中繼站。
(2)提出改善建議:依據事件調查根因,提出短、中、 長期改善建議。
(3)彙整改善報告。
(4)撰寫調查、處理及改善報告。
(5)追蹤管考:針對機關單位已結案或未結案事項,如 有未盡改善事宜,將另案追蹤管考。
2.本分組由機關資通安全專責人員、資訊人員及委外廠商 或外部專家組成,上級機關、中央目的事業主管機關或 相關機關得於機關申請支援時派員參與。
(七)財務行政組
本分組視事件需要由機關財務或秘書單位組成,負責辦理預 算調撥及提供行政支援事宜。
各機關得以現有分組為基礎,依各機關編制及業務分工, 經機關資通安全長同意後調整通報應變小組組成及各分組代 表,另得視資通安全事件或機關資通環境需要調整各分組任 務。
三、各機關之資通安全事件通報及應變程序,應包含通報資通安全事 件、組成通報應變小組與召開事件應變會議、損害控制或復原作
業、事件根因分析及改善追蹤等項目(如圖二),並依本法施行細 則第六條第一項第九款規定納入資通安全維護計畫中,各項程序 如下:
