- 表二、保存範圍及項目
- 註:若資訊系統已向上集中者,則可由上級機關保存。
(二)發生資通安全事件時,機關應依下列原則進行跡證保存:
1. 機關進行跡證保存時,應優先採取隔離機制,包含設備 關機、網路連線中斷或隔離、關閉服務、限制連線、限 制權限、有限度修補漏洞等方式,以降低攻擊擴散。
2. 若系統無備援機制,應備份受害系統儲存媒介(例如硬 碟、虛擬機映像檔)後,以乾淨儲存媒介重建系統,於完 成系統測試後提供服務。
3. 若系統有備援機制,應將服務切換至備援系統提供服 務,並保留受害系統及設備,於完成事件根因分析或完 整備份後重建系統,經系統測試後切換至原系統提供服 務。
4. 若備援設備亦為受害範圍,於重建受害系統時應以維持 最低限度對外運作為原則,保存受害跡證。
(三) 各機關於簽訂資通系統或服務之委外契約時,應依前二款 規定於契約中明定紀錄保存及備份規定。通報流程
