經濟部資通安全事件通報及應變處理作業程序 - 植根法律網

前項各程序如下： （一）通報資通安全事件： 1.本部應依本法及資通安全事件通報及應變辦法規定，由情資及計畫組依行政院指定方式完成事件通報，並於本部即時通訊群組 ... 目前線上：426人，瀏覽人次：655476208 會員登入| 加入會員 法規檢索 令函判解 英譯法規 裁判書 書狀例稿 契約範本 植根服務 相關網站 行政令函│司法判解 研討會訊息│植根雜誌 法規資訊 法規名稱： 經濟部資通安全事件通報及應變處理作業程序 時間： 中華民國110年1月7日 所有條文 一、經濟部（以下簡稱本部）為確保於發生資通安全事件時，依資通安全 管理法（以下簡稱本法）及資通安全事件通報及應變辦法相關規定即 時通報及應變，迅速完成損害控制或復原作業，降低資通安全事件對 本部業務之衝擊影響，並確保資通安全事件發生時之跡證保存，特訂 定本作業程序。

二、本部資通安全事件通報及應變小組（以下簡稱通報應變小組）組成如 附件一，於平時進行演練，並於發生資通安全事件時，依事件等級進 行通報及應變作業。

通報應變小組各分組代表如附件二，其任務如下： （一）事件指揮官：為通報應變小組總召集人，綜理全般業務，直接 督導各單位聯絡人員及新聞發言人。

（二）新聞發言人：為資通安全事件對外發布新聞或說明之單一窗口 ，負責綜整與定期更新訊息。

（三）執行秘書：為事件指揮官幕僚，負責督辦通報及應變小組各項 業務。

（四）情資及計畫組： 1.本分組負責辦理下列事宜： (1)資通安全事件通報及情資分享：透過資通安全監控中心（ SOC）、防毒軟體及系統釐清事件影響，並清查各單位受 影響情形，據以完成資通安全事件各階段通報，分享惡意 程式IoC（IndicatorsofCompromise）等。

(2)應變策略及計畫研擬：於發生重大資通安全事件時，依據 事件情況研擬損害控制、復原作業及跡證保存計畫。

2.本分組由本部資通安全專職人員、資訊人員、業務單位及委 外廠商或外部專家組成，並視需要申請行政院派員參與，以 提供必要之協助。

（五）應變執行組： 1.本分組負責辦理下列事宜： (1)執行損害控制：依據情資及計畫組研擬之應變策略及計畫 ，調度人員執行災害搶救及損害管制，防止次波攻擊及損 害擴散。

(2)復原作業：依據情資及計畫組研擬之復原作業，完成系統 重建、弱點掃描或漏洞修補等事宜。

(3)跡證保全及留存：確保受害系統與相關系統及網路設備事 件日誌之保存及管理。

(4)事件根因查找：依據系統保存跡證，完成鑑識分析，並追 查防堵惡意中繼站。

(5)提出改善建議：依據事件調查根因，提出短、中、長期改 善建議。

2.本分組由本部資通安全專職人員、資訊人員、業務單位及委 外廠商或外部專家組成，並視需要申請行政院派員參與，以 提供必要之協助。

三、資通安全事件通報及應變程序應包含通報資通安全事件、召開事件應 變會議、損害控制或復原作業、事件根因分析及改善追蹤等項目（如 附件三），並依本法施行細則第六條第一項第九款規定納入資通安全 維護計畫中。

前項各程序如下： （一）通報資通安全事件： 1.本部應依本法及資通安全事件通報及應變辦法規定，由情資 及計畫組依行政院指定方式完成事件通報，並於本部即時通 訊群組通知相關事件處理人員。

2.第三級或第四級資通安全事件除依前目規定辦理外；另須填 寫「經濟部及轄管機關（構）資通安全事件速報單」陳報相 關主管，並以電話通知行政院。

（二）召開事件應變會議：第三級或第四級資通安全事件應於完成初 步損害控制後，召開事件應變會議，會議形式不拘，由事件指 揮官主持討論下列事項，並視情況邀請行政院派員出席： 1.資通安全事件概況。

2.評估受影響範圍。

3.其他必要之討論事項。

（三）損害控制或復原作業： 1.由應變執行組執行損害控制或復原作業，並辦理下列事項： (1)確認具體受害範圍，並優先恢復對外服務及核心資通系統 運作，防止次波攻擊及擴散情形。

(2)評估各系統是否於可容忍中斷時間內恢復服務及對利害關 係人之影響，決定是否對外公告事件之相關內容。

(3)於完成損害控制或復原作業後，依行政院指定之方式完成 通知作業。

2.第三級或第四級資通安全事件，除依前目規定辦理外，並應 辦理下列事項： (1)定時向事件指揮官、通報及應變小組成員及行政院回報控 制措施成效。

(2)倘涉及個人資料外洩，應依個人資料保護法第十二條規定 及相關規定辦理。

（四）事件根因分析：由應變執行組執行事件根因分析，辦理事項如 下： 1.除設備故障外，應依第四點規定辦理跡證保存，並由組長督 導委外廠商或外部專家進行根因調查，提出紀錄分析；如有 發現惡意程式，應提出惡意程式分析。

2.依第四點規定辦理跡證保存時，如發現惡意程式，應上傳至 VirusCheck網站（https://viruscheck.tw/）進行檢測； 因故無法上傳時，應送交防毒軟體或資安服務公司檢測。

3.依據事件調查報告，應評估短、中、長期資安管理改善策略 ，其內容如下： (1)短期：完成可立即性修補項目之調整，例如更換密碼或修 補程式弱點等。

(2)中期：依據事件根因提出三個月至六個月內完成之強化作 為，例如盤點老舊設備，並訂定汰換期程。

(3)長期：依據事件受害情形，視需要提出二年內完成之管理 改善建議，例如培養本部資安人員能力等。

4.第三級或第四級資通安全事件，由執行秘書將事件調查根因 及改善策略提報事件指揮官核定，並由資通安全專職人員彙 整送交行政院。

（五）改善追蹤：由應變執行組進行事件改善追蹤時，應辦理下列事 項： 1.評估改善作為期程。

2.評估執行成效，並據以調整改善策略。

3.配合行政院辦理相關改善作為。

4.由執行秘書將各階段改善措施執行成效定期回報事件指揮官 至完成各項改善措施為止，並由資通安全專職人員彙整送交 行政院。

5.依行政院指定之方式，送交調查、處理及改善報告；第三級 或第四級資通安全事件，應另以密件公文將該報告送交行政 院。

6.本部送交調查、處理及改善報告後，相關改善事項應納入定 期追蹤管考機制。

四、為確保資通安全事件發生時，所保有跡證足以進行事件根因分析，應 辦理下列事項，並應視事件情形辦理其他必要之跡證保存事項： （一）於日常維運資通系統時，應依附件四保存日誌（log），並定 期備份於外部設備或媒體。

（二）發生資通安全事件時，應依下列原則進行跡證保存： 1.進行跡證保存時，應優先採取隔離機制，包含設備關機、網 路連線中斷或隔離、關閉服務、限制連線、限制權限、有限 度修補漏洞等方式，以降低攻擊擴散。

2.若系統無備援機制，應備份受害系統儲存媒介（例如硬碟、 虛擬機映像檔）後，以乾淨儲存媒介重建系統，於完成系統 測試後提供服務。

3.若系統有備援機制，應將服務切換至備援系統提供服務，並 保留受害系統及設備，於完成事件根因分析或完整備份後重 建系統，經系統測試後切換至原系統提供服務。

4.若備援設備亦為受害範圍，於重建受害系統時應以維持最低 限度對外運作為原則，保存受害跡證。

（三）於簽訂資通系統或服務之委外契約時，應依前二款規定於契約 中定明紀錄保存及備份規定。

RSS服務訂閱說明|合作提案|隱私權聲明|著作權聲明|常見問題 106臺北市信義路三段162-12號玫瑰大樓3樓電話：02-2707-2848傳真：02-2708-4428 COPYRIGHT(C)2000-2003ROOTLAWALLRIGHTSRESERVED.MAILTOWEBMASTER.