行政院國家資通安全會報,為明確規範政府機關(構)資通安全責任等級,期配合資訊安全長(CISO)責任制度及資通安全管理機制,妥適防範各機關(構)潛在資安威脅,特於93年訂定「政府機關(構)資訊安全責任等級分級作業施行計畫」。為因應當前資通安全威脅情勢,進而提升國家資安防護水準,乃參考資通訊科技發展與網路攻防演練、政府機關(構)資安健診、稽核等結果,進行計畫研修,並將名稱調整為「政府機關(構)資通安全責任等級分級作業規定」。詳細內容請參閱「政府機關(構)資通安全責任等級分級作業規定」。
資料來源: 資通安全辦公室
分級原則
- 政府機關層級。
- 涉及外交、國防、國土安全、財政、經濟、警政等重要業務。
- 涉及能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、高科技園區等關鍵資訊基礎設施業務或營運。
- 涉及全國、區域性或地區性個人資料檔案。
一、政府機關(構)資安責任等級
A 級
- 總統府、國安會、立法院、司法院、考試院、監察院、行政院及直轄市政府。
- 立法院、司法院、考試院、監察院及行政院等所屬二級機關、相當二級機關之獨立機關(以下合稱二級機關)。但其業務或組織單純者,得報經其上級機關核准,調整為 B 級或 C 級。
- 凡涉及外交、國防、國土安全,及掌理全國財政、經濟、警政等重要業務之機關,如外交部領事事務局、內政部警政署刑事警察局等。
- 負責能源、水資源、通訊傳播、交通、金融、緊急救援、高科技園區等關鍵資訊基礎設施之營運機關,如交通部民用航空局飛航服務總臺等。
- 保有全國性個人資料檔案之機關,如勞動部勞工保險局、衛生福利部中央健康保險署等。
B 級
- 縣(市)政府。
- 凡涉及社會秩序及人民財產業務之機關,如地方政府警察局、地方政府地政事務所等。
- 保有區域性或地區性個人資料檔案之機關,如財政部各地區國稅局、地方政府戶政事務所等。
二、學術機構
A 級
- 凡涉及各相關機關委託研究具國家安全機密性或敏感性之學校。
B 級
- 各大學。
- 臺灣學術網路各區域網路中心暨各直轄市、縣(市)教育網路中心。
C 級
- 各學院、專科學校及高級中等以下學校。
- 教育部所屬研究機構。
三、國(公)營事業、醫療機構及其他
A 級
- 國(公)營事業與特許機構,處理涉及能源、水資源、通訊傳播、交通、金融等關鍵資訊基礎設施業務者,如台灣電力公司、臺灣港務股份有限公司、臺灣證券交易所等。
- 由政府委託民間興建營運後轉移之關鍵資訊基礎設施之營運單位,如遠通電收股份有限公司、台灣高速鐵路股份有限公司、高雄捷運股份有限公司等。
- 醫學中心,如國立臺灣大學醫學院附設醫院、臺北榮民總醫院等。
- 保有全國性個人資料檔案之機構,如中華郵政股份有限公司等。
B 級
- 國(公)營事業涉及全國或地方民生資源等業務,如台灣糖業股份有限公司等。
- 區域醫院,如臺北市立聯合醫院、衛生福利部桃園醫院、國立臺灣大學醫學院附設醫院雲林分院等。
- 保有區域性或地區性個人資料檔案之機構。
C 級
- 其他國(公)營事業機構,如金門酒廠實業股份有限公司、福建省連江縣馬祖日報社等。
- 地區醫院,如臺北市立關渡醫院、國立成功大學醫學院附設醫院斗六分院、臺北榮民總醫院新竹分院等。
依其資安等級,應辦理事項分為三級: A級、B級、C級
| 作業名稱 |
A 級 |
| 資訊系統分類分級 |
1.完成資訊系統分級(104 年底前) 2.完成資訊系統資安防護基準要求(105年底前) |
| ISMS 推動作業 |
1.全部核心資訊系統完成ISMS 導入(105 年底前) 2.全部核心資訊系統通過第三方驗證(106 年底前) |
| 資安專責人力 |
指派資安專責人力 2人 |
| 稽核方式 |
每年至少 2 次內稽 |
| 業務持續運作演練 |
每年至少辦理 1次核心資訊系統持續運作演練 |
| 防護縱深 |
1. 防毒、防火牆、郵件過濾裝置 2.IDS/IPS、Web 應用程式防火牆 3.APT攻擊防禦 |
| 監控管理 |
SOC 監控(104 年底前) |
| 安全性檢測 |
1.每年至少辦理2次網站安全弱點檢測 2.每年至少辦理1次系統滲透測試 3.每年至少辦理1次資安健診 |
| 資安教育訓練(一般主管、資訊人員/資安人員、一般使用者戶 |
1.每年資安人員(資訊人員)至少 2 人次須接受12小時以上資安專業課程訓練或資安職能訓練 2.每年一般使用者與主管至少須接受 3 小時資安宣導課程並通過課程評量 |
| 專業證照 |
每年維持至少2張國際資安專業證照與 2張資安職能訓練證書之有效性 |
| 作業名稱 |
B 級 |
| 資訊系統分類分級 |
1.完成資訊系統分級(104 年底前) 2.完成資訊系統資安防護基準要求(105年底前) |
| ISMS 推動作業 |
1.至少2項核心資訊系統完成ISMS 導入(106 年底前) 2.至少 2 項核心資訊系統通過第三方驗證(107年底前) |
| 資安專責人力 |
指派資安專責人力 1人 |
| 稽核方式 |
每年至少 1 次內稽 |
| 業務持續運作演練 |
每 2 年至少辦理 1次核心資訊系統持續運作演練 |
| 防護縱深 |
1.防毒、防火牆、郵件過濾裝置 2. IDS/IPS 3. Web 應用程式防火牆(機關具有對外服務之核心資訊系統) |
| 監控管理 |
SOC 監控(105 年底前) |
| 安全性檢測 |
1.每年至少辦理 1 次網站安全弱點檢測 2.每 2 年至少辦理 1 次系統滲透測試 3.每 2 年至少辦理 1 次資安健診 |
| 資安教育訓練(一般主管、資訊人員/資安人員、一般使用者戶 |
1.每年資安人員(資訊人員)至少 1 人次須接受12小時以上資安專業課程訓練或資安職能訓練 2.每年一般使用者與主管至少須接受 3 小時資安宣導課程並通過課程評量 |
| 專業證照 |
每年維持至少1張國際資安專業證照與 1張資安職能訓練證書之有效性 |
| 作業名稱 |
C 級 |
| 資訊系統分類分級 |
依各主管機 關規定 |
| ISMS 推動作業 |
自行成立推動小組規劃作業) |
| 資安專責人力 |
依各主管機關規定 |
| 稽核方式 |
依各主管機關規定 |
| 業務持續運作演練 |
依各主管機關規定 |
| 防護縱深 |
1.防毒 2.防火牆 3.郵件過濾裝置(機關具有郵件伺服器) |
| 監控管理 |
依各主管機關規定 |
| 安全性檢測 |
依各主管機關規定 |
| 資安教育訓練(一般主管、資訊人員/資安人員、一般使用者戶 |
1.依各主管機關規定資安人員(資訊人員)資安專業課程訓練或資安職能訓練要求 2.每年一般使用者與主管至少須接受 3 小時資安宣導課程並通過課程評量 |
| 專業證照 |
依各主管機關規定 |
相關文件下載
1. 政府機關_構_資通安全責任等級分級作業規定.pdf
相關連結
- 如貴單位有依循告資法規需求服務,更進一步詳細客製需求,請聯繫 Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它
