跳到主要內容區塊

ACW

特定非公務機關資通安全維護計畫準備


本專欄共分成三部分,第一篇介紹在資通安全管理法當中,什麼是「特定非公務機關」。本篇為第二篇,介紹特定非公務機關要如何準備資通安全維護計畫第三篇為實施稽核方針,歡迎多加參考。

作者:高雄大同醫院 / 蔡仲城資訊室主任
本計畫整理, edited by Su Yu Tsai

======

一、資通安全責任等級分級
準備計畫前必須先了解組織資安責任分級,以『資通安全管理法』第七條說明,主管機關會依據特定非公務機關業務的重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級。
而特定非公務機關組織可依據『資通安全責任等級分級辦法』第二條說明,由高至低可分為 A 級、B 級、C 級、D 級及 E 級,其中直屬機關將每二年會提交所管之特定非公務機關之資通安全責任等級,報主管機關核定,另也可依據第四條資通安全責任分級規定,以識別各組織之資通安全責任等級,其中組織被核定關鍵基礎設施提供者分級下表1:



私立財團法人醫學中心來說,因其業務重要性與機敏性,失效之影響產生災難性或非常嚴重之影響,且資訊種類、數量及性質屬區域性或地區性民眾個人資料檔案之持有,故認定為A級
在組織清楚自身分級後,可依據『資通安全責任等級分級辦法』第十一條辦理辦理各式應辦事項,以特定非公務機關來看,共有附表二(A級)、附表四(B級)、附表三(C級),而附表七及附表八則是共通公務及特定非公務機關之事項。除了上述各附表規定外,特定非公務機關之中央目的事業主管機關也可視實際需求,於符合上述辦法規定之範圍內,另行訂定其所管特定非公務機關之資通安全應辦事項,換言之也較公務機關更為彈性。

二、資通安全維護計畫
依據『資通安全管理法』第十六條說明,中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。而當組織成為關鍵基礎設施提供者時,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。而依據『資通安全管理法施行細則』施行細則所定之資通安全維護計畫規定,內容應包括下列事項(已先扣除公務機關相關規範):
  1. 核心業務及其重要性:重點在揭示組織之核心業務,並說明核心業務失效時對國人日常生活、社會經濟、政府功能之影響,以醫院來說,核心業務便是醫療資訊系統(HIS)醫療影像系統(PACS)電子病歷系統(EMR)等核心業務流程。
  2. 資通安全政策及目標:包含政策內容、目標、核定程序、宣導程序、定期檢討程序等內容,如組織若已有導入資訊安全管理系統(ISMS)或已訂定了相關資安政策,都可將其對應到本項目中使其合併。
  3. 資通安全推動組織:內容至少包含資通安全長(特定非公務機關可為資通安全管理代表)、資通安全推動小組之組成及分工職掌等內容,若已訂定如ISMS資安組織管理程序書可直接引述,附件需有「資通安全推動小組成員及分工表」
  4. 專責人力及經費之配置:包含資安人員配置、訓練及證照,以及資通安全經費或資源之規劃及配置等內容,相關附件有「資通安全專職人員分工表」、「資通安全保密同意書」、「資通安全需求申請單」等。
  5. 資訊及資通系統之盤點:至少包含資訊及資通系統之分類及盤點之程序,並應包含標示核心資通系統及相關資產之要求,因此組織若已有導入ISO27001認證,需特別留意原先驗證範圍是否有包含「核心資通系統及相關資產」,有則可直接引述如ISMS資產管理程序書等,反之則需加入驗證考量評估,附件有「資訊及資通系統資產清冊」。
  6. 資通安全風險評估:至少包含風險評估、風險因應等內容,可參考行政院國家資通安全會報頒布之最新「資訊系統風險評鑑參考指引」,若已訂定如ISMS資安風險評鑑程序書及其相關表單等文件也可直接引述,使用附件有「風險評估表」等。
  7. 資通安全防護及控制措施:為機關因應資通安全風險,採取之安全防護及控制措施,若組織有導入ISMS資訊安全管理系統,可針對責任分級辦法中應辦事項列出防護及控制措施,若沒有導入者,可參考資安治理成熟度評審作業面向之作業規範,依機關視實際情形增修準則(Standards)規範,並針對各項準則定出相關程序(Procedures)文件。
  8. 資通安全事件通報、應變及演練相關機制:指即時掌控資通安全事件,並有效降低其所造成之損害,應訂定資通安全事件通報、應變及演練相關機制。若已訂定如ISMS資通安全事件通報應變等程序書,可直接引述使用,也建議內容可加入相關主管機關所建置情資通報平台,如CERT通報應變網站或是ISAC情資分享平臺等之應用,加強組織預先防範、應變處理等事宜。
  9. 資通安全情資之評估及因應機制:內容為機關接受情資後應採取之評估及因應措施,其內容包括情資分類及情資因應。
  10. 資通系統或服務委外辦理之管理措施:為機關辦理資通系統或服務委外時應注意之事項,其內容包括委外前之選任及委外後之監督,若已訂定如委外資安管理相關程序書內容,可直接引述使用。
  11. 資通安全維護計畫與實施情形之持續精進及績效管理機制:內容需包括維護計畫之實施、稽核及管理審查會議,若已訂定如ISMS業務永續、稽核管理等相關程序書,可直接引述使用。