本專欄共分成三部分,本篇介紹在資通安全管理法當中,什麼是「
特定非公務機關」,另外將針對
「特定非公務機關」的資通安全維護計畫準備(第二篇)及
實施稽核方針(第三篇)進行說明,讓您循序漸進了解如何準備完善的資安維護計畫。
作者:
高雄大同醫院 /
蔡仲城資訊室主任本計畫整理,
edited by Su Yu Tsai======
在資通安全管理法納管對象中,分為公務機關與特定非公務機關,其中後者依據
『資通安全管理法』第三條定義共分為
三類,包括
關鍵基礎設施提供者(如台電)、
公營事業(如台糖),以及
政府捐助的財團法人(如工研院)。
先前行政院於101年3月19日函頒『國家關鍵基礎設施安全防護計畫指導綱要』,內容為各機關需據以撰擬業管基礎設施部門計畫。而關鍵基礎設施又可分為兩種,一為關鍵基礎設施(Critical Infrastructure, CI),指為國家公有或私有、實體或虛擬的資產、生產系統以及網絡,因人為破壞或自然災害受損,進而影響政府及社會功能運作,造成人民傷亡或財產損失,或其他足使國家安全或利益遭受損害之虞者;另一種是關鍵資訊基礎設施(Critical Information Infrastructure, CII),是架構於CI之八大類別基礎上(能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、政府機關及高科技園區),其涉及核心業務運作,為支持關鍵基礎設施持續營運所需之重要資訊系統或調度、控制系統(Supervisory Control and Data Acquisition, SCADA),亦屬於關鍵基礎設施之重要元件,也應配合對應之關鍵基礎設施統一納管。
主要探討對象為特定非公務機關,若以行政院資通安全處公布之資安法架構(圖1),在一連串風險管理的流程下,在事前得依據『資通安全責任等級分級辦法』訂定相關之資安維護計畫,事中依『特定非公務機關資通安全維護計畫實施情形稽核辦法』接受稽核,最後則依據稽核結果提出改善報告。
圖1-資安法架構