而特定非公務機關組織可依據『資通安全責任等級分級辦法』
第二條說明,由高至低可分為 A 級、B 級、C 級、D 級及 E 級,其中直屬機關將
每二年會提交所管之特定非公務機關之資通安全責任等級,報主管機關核定,另也可依據第四條資通安全責任分級規定,以識別各組織之資通安全責任等級,其中組織被核定關鍵基礎設施提供者分級下表1:
以私立財團法人醫學中心來說,因其業務重要性與機敏性,失效之影響產生災難性或非常嚴重之影響,且資訊種類、數量及性質屬區域性或地區性民眾個人資料檔案之持有,故認定為A級。
在組織清楚自身分級後,可依據『資通安全責任等級分級辦法』第十一條辦理辦理各式應辦事項,以特定非公務機關來看,共有附表二(A級)、附表四(B級)、附表三(C級),而附表七及附表八則是共通公務及特定非公務機關之事項。除了上述各附表規定外,特定非公務機關之中央目的事業主管機關也可視實際需求,於符合上述辦法規定之範圍內,另行訂定其所管特定非公務機關之資通安全應辦事項,換言之也較公務機關更為彈性。
二、資通安全維護計畫
依據『資通安全管理法』第十六條說明,中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。而當組織成為關鍵基礎設施提供者時,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。而依據『資通安全管理法施行細則』施行細則所定之資通安全維護計畫規定,內容應包括下列事項(已先扣除公務機關相關規範):
- 核心業務及其重要性:重點在揭示組織之核心業務,並說明核心業務失效時對國人日常生活、社會經濟、政府功能之影響,以醫院來說,核心業務便是醫療資訊系統(HIS)、醫療影像系統(PACS)、電子病歷系統(EMR)等核心業務流程。
- 資通安全政策及目標:包含政策內容、目標、核定程序、宣導程序、定期檢討程序等內容,如組織若已有導入資訊安全管理系統(ISMS)或已訂定了相關資安政策,都可將其對應到本項目中使其合併。
- 資通安全推動組織:內容至少包含資通安全長(特定非公務機關可為資通安全管理代表)、資通安全推動小組之組成及分工職掌等內容,若已訂定如ISMS資安組織管理程序書可直接引述,附件需有「資通安全推動小組成員及分工表」。
- 專責人力及經費之配置:包含資安人員配置、訓練及證照,以及資通安全經費或資源之規劃及配置等內容,相關附件有「資通安全專職人員分工表」、「資通安全保密同意書」、「資通安全需求申請單」等。
- 資訊及資通系統之盤點:至少包含資訊及資通系統之分類及盤點之程序,並應包含標示核心資通系統及相關資產之要求,因此組織若已有導入ISO27001認證,需特別留意原先驗證範圍是否有包含「核心資通系統及相關資產」,有則可直接引述如ISMS資產管理程序書等,反之則需加入驗證考量評估,附件有「資訊及資通系統資產清冊」。
- 資通安全風險評估:至少包含風險評估、風險因應等內容,可參考行政院國家資通安全會報頒布之最新「資訊系統風險評鑑參考指引」,若已訂定如ISMS資安風險評鑑程序書及其相關表單等文件也可直接引述,使用附件有「風險評估表」等。
- 資通安全防護及控制措施:為機關因應資通安全風險,採取之安全防護及控制措施,若組織有導入ISMS資訊安全管理系統,可針對責任分級辦法中應辦事項列出防護及控制措施,若沒有導入者,可參考資安治理成熟度評審作業面向之作業規範,依機關視實際情形增修準則(Standards)規範,並針對各項準則定出相關程序(Procedures)文件。
- 資通安全事件通報、應變及演練相關機制:指即時掌控資通安全事件,並有效降低其所造成之損害,應訂定資通安全事件通報、應變及演練相關機制。若已訂定如ISMS資通安全事件通報應變等程序書,可直接引述使用,也建議內容可加入相關主管機關所建置情資通報平台,如CERT通報應變網站或是ISAC情資分享平臺等之應用,加強組織預先防範、應變處理等事宜。
- 資通安全情資之評估及因應機制:內容為機關接受情資後應採取之評估及因應措施,其內容包括情資分類及情資因應。
- 資通系統或服務委外辦理之管理措施:為機關辦理資通系統或服務委外時應注意之事項,其內容包括委外前之選任及委外後之監督,若已訂定如委外資安管理相關程序書內容,可直接引述使用。
- 資通安全維護計畫與實施情形之持續精進及績效管理機制:內容需包括維護計畫之實施、稽核及管理審查會議,若已訂定如ISMS業務永續、稽核管理等相關程序書,可直接引述使用。