《資通安全管理法》
政府資安要求《資通安全管理法》網站建置同樣須符合標準|天矽科技網頁設計
不管哪一個級別,皆比較注重「技術面」,本篇文章也會介紹:不同等級所需執行的內容有哪些,讓客戶對《資通安全管理法》的網站建置標準,有更深入的瞭解。
如何判定網站建置的安全責任等級為哪一級?
隨著資訊安全意識提高,許多公家單位、上市櫃公司或銀行機關(構),對網站建置要求日益嚴格,無論是軟體(程式碼撰寫),或硬體(主機規格、防火牆設置、資安檢測..等),都會以《資通安全管理法》標準加以審視,確保網站對外營運過程,能保障使用者資料與隱私安全。
那麼,該如何判定網站建置的安全責任等級呢?可參考下圖《資通安全管理法》訂定的評估方式:
▲資料來源:數位發展部數位產業署|資通安全法懶人包
網站的資安 資通安全管理法
大多的公家機關在尋求網頁設計廠商協助建置網站時,因架設網站與主機、網路傳輸…等資訊通訊有關,因此通常都會要求網頁設計公司建置出的網站以及放置的主機等級與規格須符合資安法規,特別是要求必須符合《資通安全管理法》之特定等級。
該法案是我國重要的法律改革,是總統府於 107/6/6 公告之辦法,相關子法亦於 110/8/23 修正發布實施,調整部分機關等級之應辦事項內容,導入資通安全弱點通報機制、端點偵測及應變機制等,始知符合實務運作之需要。
此管理法之安全責任等級,由高至低分為 A級、B級、C級、D級 與 E級,且主管機關應每兩年核定自身資通安全責任等級,並匯報主管機關核定或備查,分級方式如下。
安全責任等級為A級:
- 業務涉及國家機密。
- 業務涉及外交、國防或國土安全事項。
- 業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運。
- 業務涉及全國性民眾或公務員個人資料檔案之持有。
- 屬公務機關,且業務涉及全國性之關鍵基礎設施事項。
- 屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生災難性或非常嚴重之影響。
- 產業範例:國防單位、國土安全單位、涉及國家機密單位、公立醫學中心。
安全責任等級為B級:
- 業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理。
- 業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維運。
- 業務涉及區域性或地區性民眾個人資料檔案之持有。
- 業務涉及中央二級機關及所屬各級機關(構)共用性資通系統之維運。
- 屬公務機關,且業務涉及區域性或地區性之關鍵基礎設施事項。
- 屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生嚴重影響。
- 產業範例:金融機關(構)、網站含大量第三方金流(個人財產安全)、公務機關、中央二級機關、地方政府機構、公立區域醫院、地區醫院。
- 地方政府機構,例如:市政府、縣政府或區公所。
資料來源與詳細可參考:
行政院所屬中央二級機關
安全責任等級為C級:
- 各機關維運自行或委外設置、開發之資通系統者。
- 前項所定自行或委外設置之資通系統,指具權限區分及管理功能之資通系統。
- 產業範例:企業形象網站、個人網站、非營利組織、小型教育機構。
安全責任等級為D級:
- 各機關自行辦理資通業務,未維運自行或委外設置、開發之資通系統者。
安全責任等級為E級:
- 無資通系統且未提供資通服務。
- 屬公務機關,且其全部資通業務由其上級機關、監督機關或上開機關指定之公務機關兼辦或代管。
- 屬特定非公務機關,且其全部資通業務由其中央目的事業主管機關、中央目的事業主管機關所屬公務機關、中央目的事業主管機關所管特定非公務機關或出資之公務機關兼辦或代管。
資料來源與詳細可參考:
「全國法規資料庫」「資通安全責任等級分級辦法」
《資通安全管理法》內容
《資通安全管理法》依照機關業務內容進行分級,等級分為 A~E 五個等級,其機關業務愈是涉及機密、國家或重要資訊,資通安全就必須更加全面且嚴謹,而其等級也就會愈高。
資通安全責任等級分為三個面向,分別是管理面、技術面 及 認知與訓練面,其面向也會依照等級的不同而有不同的規範,如 A~C級 須顧及所有面向,D級 僅需辦理技術面和認知與訓練面,而 E級 則只需要顧及認知與訓練面即可。
管理面的內容是資安管理系統導入、驗證、安全稽核與持續運作演練;各面向主要仍著重在技術面的部份,內容主要是各種安全檢測、資安防護與防禦和應變機制…等;而認知與訓練面,則是內部人員的資安教育訓練及證書的擁有與取得。
【A級】技術面:
- 資通安全威脅偵測管理機制:1年內完成建置、持續維運,公務機關依指定方式提交監控管理資料。
- 政府組態基準:1年內依公告項目完成導入,並持續維運(公務機關)。
- 資通安全弱點通報機制:1年內完成導入作業,並依指定方式提交盤點資料,並持續維運。
- 安全性檢測:弱點掃描→每年辦理2次;滲透測試→每年辦理1次。
- 端點偵測及應變機制:2年內完成導入作業,依指定方式提交偵測資料,並持續維運。
- 資通安全健診:含網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器及防火牆連線設定。
→上述皆每年辦理1次。 - 資通安全防護:含防毒軟體、網路防火牆、電子郵件過濾機制、入侵偵測及防禦機制、應用程式防火牆、進階持續性威脅攻擊防禦。
→ 上述皆需1年內完成啟用並持續維護。
【B級】技術面:
- 資通安全威脅偵測管理機制:1年內完成建置、持續維運,公務機關依指定方式提交監控管理資料。
- 政府組態基準:1年內依公告項目完成導入,並持續維運(公務機關)。
- 資通安全弱點通報機制:1年內完成導入作業,並依指定方式提交盤點資料,並持續維運。
- 安全性檢測:弱點掃描→每年辦理1次;滲透測試→每2年辦理1次。
- 端點偵測及應變機制:2年內完成導入作業,依指定方式提交偵測資料,並持續維運。
- 資通安全健診:含網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器及防火牆連線設定。
→上述皆每2年辦理1次。 - 資通安全防護:含防毒軟體、網路防火牆、電子郵件過濾機制、入侵偵測及防禦機制、應用程式防火牆、進階持續性威脅攻擊防禦。
→ 上述皆需1年內完成啟用並持續維護。
【C級】技術面:
- 安全性檢測:弱點掃描→每2年辦理1次;滲透測試→每2年辦理1次。
- 資通安全弱點通報機制:2年內完成導入作業,並依指定方式提交資料,並持續維運。
- 資通安全防護:含防毒軟體、網路防火牆、電子郵件過濾機制。
→ 上述皆需1年內完成啟用並持續維護。 - 資通安全健診:含網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器及防火牆連線設定。
→ 上述皆需每2年辦理1次。
▲資料來源:數位發展部數位產業署|資通安全法懶人包
這些《資通安全管理法》之詳細內容,政府提供了可下載的懶人包以供使用者檢視參考,詳細說明可透過以下連結進行下載。
資料來源:
中華民國資訊軟體協會|資通安全管理法採購指引懶人包
若建置網站有需要符合《資通安全管理法》,單位人員可提出討論網站相關可執行的程度與做法,天矽科技團隊可全力協助配合處理;另外,天矽也有專屬的資安方案可參考,有興趣可直接與我們聯繫。
