跨域資安強化產業推動計畫網站 ACW

「資通安全責任等級分級辦法」針對各公務機關與非特定公務機關之分級所需應對的防護措施作出指引，如為全國性機關、處理國家機密業務、國防外交全國性跨機關系統之擁有者、全國性關鍵基礎設施機關與公立醫學中心，均為A級機關。故核定機關自身資通安全責任等級並經主管機關核准後，其資通安全監管力道及強度有了可茲遵循之依據，亦能以此作為基準，進行資通安全事件之監控、通報與事件處理之管理。

資通安全事件應變，分為事前、事中與事後三個主要階段，尤其以事前監控為重中之重，其關乎於資通安全事件之初發狀況判斷、接獲人員或自動化告警偵測之有效性，如:維護資訊環境組態管理、網路行為辨識、稽核軌跡之收容等等…。
◆ 組態管理：為日常營運之必要項目，包含安全的密碼管理、存取控制等等…。
◆ 網路行為辨識：對於網路異常行為之監控：除了網段區隔外，亦可以特徵辨識異常之行為，為資訊系統第一道主要的防線。透過資安設備的監控，定期檢討監控機制與監控態樣，異常行為的判斷成為實際營運上的痛點，過多的誤判（False Positive）讓營運人員疲於奔命，也容易成為狼來了的鬆懈，故異常告警的調整需透由營運面、服務持續面進行考量。
◆ 稽核軌跡：基於追蹤、管理資訊系統是否異常之主要依據，軌跡收容成為組織相當重視的一環，包含軌跡留存區間、是否可遭他人竄改等等…，以上皆為考量稽核軌跡之重點。

資訊安全防護之縱深，多以資訊安全設備佈建其深度，以監控範圍作為廣度，然以資通安全事件管理層面來看，如監控人員/管理人員收到來自資安設備之告警，如：觸發資料庫監控系統告警之行為、入侵防禦偵測系統之監控、網頁行為監控、網路安全行為監控等，是否可於收到告警後，於有效時限內通報至須通報人員，此一通報流程需要明確的機制，亦須確實的演練，落實有效通報之流程。

至於資安設備告警的維護層面，於外層的設備存取控制開始，到設備的軟硬體更新、惡意行為特徵更新、設備漏洞修補等，均須為考量有效通報機制的環節之一，如僅依賴資通安全設備告警而未有考量其他安全監控機制，於實際營運上略顯不足，亦可能容易掛一漏萬，不可不慎。資通安全防禦網的縱深，除須考量營運需求外，對於可用性的評估、機密性的保護與完整性的確認等，各一面向所需涵蓋的維護與確認，在於不停確認、調校與改善，方能臻至完善。

以業務流程盤點資訊系統之機密性、完整性與可用性，區分為「核心系統」與「非核心系統」兩大類別，訂定該業務流程可容忍之中斷時間，作為資通安全事件災害等級判斷之依據。一旦判定為資通安全事件，事件等級判斷必須易於量化且廣為內部知悉，須以妥善掌握資通安全事件之影響範圍，並可以提供處理人員妥適處置之基準。核定資通安全事件等級，必須妥善考量其影響層面，以及可恢復正常運作之時效，並依照等級迅速通報至各權責人員。

權責人員判斷資通安全事件的基準線，除以資通安全事件態樣進行分析外，亦應立即考量對於日常營運之衝擊，為了確保快速且有效控制資通安全事件影響層級，除了通報須迅速且確實外，對於復原機制選擇，實為考量重點之一。尤其以法規要求的通報時限要求，是否可確實符合，包含通報的時間、通報的內容與預計處理的方式，如何在要求的通報時限內迅速且妥適地完成評估確認，並向上與平行通報，才是資通安全事件通報的第一道考驗。

表1-資通安全事件等級判斷[1]

公務機關與特定非公務機關接獲資通安全事件後，必須於1個小時內通報負責之主管機關。因此內部資通安全事件之通報層級須清楚流暢，通報方式可多元併行，避免單一通報窗口失效，尤其於事件發生時，常有資訊混亂的情況，如何快速統整事件發生情形，並確認實際發生資通安全事件的主因，再整合事件態樣所需要的資源、人力與協助，避免造成資訊傳遞延遲或錯誤。

機關於規劃資通安全事件應變與通報作業規範時，除規劃資通安全事件四個等級判定之流程、影響之範圍、損害控制與災害復原能力之外，其應變小組之設置、通報機制標準流程，亦應為定期規劃資通安全事件情境模擬與事件通報演練所涵蓋。尤其於接獲人員或資訊設備告警時，如何快速且有效地呈報，使機關能於事件發生時，有效率的通報並且快速應變。故辦法中制定資通安全事件演練規範，並列示近年來常見之攻擊行為，包含社交工程、網路攻防等相關情境，均能有效的提升機關人員災害應變能力及通報流程之意識，建議機關落實並落實執行。