跳到主要內容區塊

ntuccepaper2019

校務服務

依資安法要求臺灣大學以全機關導入ISMS執行策略(上)
  • 卷期:v0060
  • 出版日期:2022-03-20

作者:吳恭漢 / 臺灣大學計算機及資訊網路中心程式設計組行政專員


 

在台灣,一個對資訊安全重大影響的日子出現在民國107年6月6日,資通安全管理法正式發布,由政府法規帶領,推動國家資通安全政策發展,以保障國家安全。而資通安全法的範圍分為公務機關與特定非公務機關,針對公務機關分級辦法又分級為ABCD四級,臺灣大學的資通安全責任等級為B級,本文分成上下兩篇,對於B級分級應辦事項,與導入ISMS的執行策略來進行說明。

 

B級公務機關應辦事項(管理面)

如下表格所示分成三大面向,管理面,技術面,認知與訓練。

制度面向

辦理項目

辦理項目細項

辦理內容

重點說明

管理面

資通系統分級及防護基準

初次受核定或等級變更後之一年內,針對自行或委外開發之資通系統,依附表九完成資通系統分級,並完成附表十之控制措施;其後應每年至少檢視一次資通系統分級妥適性。

盤點單位內資通系統,並且經過分級辦法就資通系統進行分級(分為高、中、普三級)並就系統之等級採取相應之防護基準措施。在ISMS的執行策略對於臺灣大學執行面向這篇有詳細的說明。

資訊安全管理系統之導入及通過公正第三方之驗證

初次受核定或等級變更後之二年內,全部核心資通系統導入CNS 27001 或ISO27001 等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準,於三年內完成公正第三方驗證,並持續維持其驗證有效性。

一、資通系統經過分級辦法就資通系統進行分級(分為高、中、普三級)並就系統之等級採取相應之防護基準措施。

二、核心資通系需導入ISO27001資訊管理系統並持續維持其驗證有效性。

資通安全專責人員

初次受核定或等級變更後之一年內,配置二人;須以專職人員配置之。

單位配置二人;並須以專職人員配置,執行資通安全業務。

內部資通安全稽核

每年辦理一次。

ISO27001管理制度導入單位,每年安排內部稽核驗證有效性。

業務持續運作演練

全部核心資通系統每二年辦理一次。

兩年內所有核心資通系統進行BCP演練。

資安治理成熟度評估

每年辦理一次。

行政院每年提供資安治理成熟度調查表,依照單位實際狀況填報。

 

B級公務機關應辦事項(技術面)

制度面向

辦理項目

辦理項目細項

辦理內容

重點說明

技術面

安全性檢測

網站安全弱點檢測

全部核心資通系統每年辦理一次

依據政府『資安服務共同供應契約』採購單位技術面資安健診服務。

系統滲透測試

全部核心資通系統每二年辦理一次

資通安全健診

網路架構檢視

每兩年辦理一次

網路惡意活動檢視

使用者端電腦惡意活動檢視

伺服器主機惡意活動檢視

目錄伺服器設定及防火牆連線設定檢視

資通安全威脅偵測管理機制

初次受核定或等級變更後之一年內,完成威脅偵測機制建置,並持續維運及依主管機關指定之方式提交監控管理資料。其監控範圍應包括本表所定 「端點偵測及應變機制」與「資通安全防護」之辦理內容、目錄服務系統與機關核心資通系統之資通設備紀錄及資訊服務或應用程式紀錄。

因應學術網路屬於特別的網路環境,臺灣大學配合教育部建置北區ASOC團隊。

政府組態基準

初次受核定或等級變更後之一年內,依主管機關公告之項目,完成政府組態基準導入作業,並持續維運。

政府組態基準簡稱(GCB)目的在於規範資通設備(如:密碼長度、更新期限、螢幕保護時程等)降低成為駭客入侵管道,進而引發資安事件的風險。

資通安全弱點通報機制

一、初次受核定或等級變更後之一年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。

二、本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後一年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。

資安弱點通報機制(VANS),主要是結合資訊資產管理與弱點管理,協助學校落實資通安全法規應辦事項。

端點偵測及應變機制

一、初次受核定或等級變更後之二年內,完成端點偵測及應變機制導入作業,並持續維運及依主管機關指定之方式提交偵測資料。

二、本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後二年內,完成端點偵測及應變機制導入作業,並持續維運及依主管機關指定之方式提交偵測資料。

端點偵測及應

變機制(EDR)

,主要目的為了偵測端點系統上的異常活動,並且提早發現駭客活動,降低資安風險。

資通安全防護

防毒軟體

初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新 或升級。

一、各單位安裝學校大量授權防毒軟體。

二、網路架構中需要有IDS、IPS、WAF、SPAM、防火牆等資安設備,建構資安的安全防護網。

網路防火牆

具有郵件伺服器者,應備電子郵件過濾機制

入侵偵測及防禦機制

具有對外服務之核心資通系統者,應備應用程式防火牆

B級公務機關應辦事項(認知與訓練)

制度面向

辦理項目

辦理項目細項

辦理內容

重點說明

認知與訓練

資通安全教育訓練

資通安全專職人員

每人每年至少接受十二小時以上之資通安全專業課程訓練或資通安全職能訓練。

一、資安專職人員請報名參加行政院國家資通安全會報技術服務中心的專業課程,並取得資通安全職能評量證書。

二、單位的資訊人員(定義)管理核心資通系統或資訊人員也要符合資安法要求。臺大計資中心網路組每年暑假開設的暑期課程符合資通安全職能訓練,歡迎各校資訊人員參加。

三、本校職員與主管皆需接受每年三小時資通安全通識訓練。

四、行政院資安法專區有資通安全專業證照清單,資通安全專職人員需符合規定取得。

資通安全專職 人員以外之資 訊人員

每人每二年至少接受三小時以上之資通安全專業課程訓練或資通安全職能訓練,且每年接受三小時以上之資通安全通識教育訓練。

一般使用者及主管

每人每年接受三小時以上之資通安全通識教育訓練。

資通安全專業證照及職能訓練證書

一、初次受核定或等級變更後之一年內,至少二名資通安全專職人員,分別各自持有證照及證書各 一張以上,並持續維持證照及證書之有效性。

二、本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後一年內符合規定。

結語

2022年的現在是個資訊發展爆發的年代,也是「元宇宙Metaverse」的世紀開端,手機、電腦、網路已經是我們每個人生活的一部分,資訊安全就是個非常重要的議題,透過政府的資安法通過,保障與規範國人資訊正確使用,本文把本校B級公務機關的應辦事項詳列出來,讓各位有個基本的認知與遵從,導入ISMS的執行策略會在(下)篇來做說明。

 

參考文獻

[1]附表三資通安全責任等級B級之公務機關應辦事項:

https://www.bhes.ntpc.edu.tw/var/file/0/1000/attach/31/pta_91_6946520_25078.pdf