公務與特定非公務機關
2019年1月1日正式實施的《資通安全管理法》,加速建立國家資通安全環境,不論公務或特定非公務機關都需達到資安防護基準要求。
|
公務機關 |
(不含軍事、情報機關) |
|---|---|
|
非公務機關 |
|
資通安全責任等級分級作業
分級原則
- 政府機關層級。
- 涉及外交、國防、國土安全、財政、經濟、警政等重要業務。
- 涉及能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、高科技園區等關鍵資訊基礎設施業務或營運。
- 涉及全國、區域性或地區性個人資料檔案。
資通安全責任等級之公務(非)機關應辦事項
機關應辦事項.png)
|
A級機關 |
管理面 技術面 |
管理面:資安治理成熟度評估 技術面:APT防護措施 |
|---|---|---|
|
B級機關 |
管理面 技術面 |
管理面:導入並通過ISMS第三方驗證 技術面:導入政府組態基準(GCB)/資通安全威脅偵測管理機制(SOC) |
|
C級機關 |
管理面 技術面 |
管理面:配置資通安全專責人員/內部資通安全稽核/核心系統業務持續演練/資通系統分級及防護基準/核心系統導入ISMS 技術面:資通安全防護(3小項)/安全性檢測(2小項)/資通安全健診(5小項) |
|
D 級機關 |
管理面 技術面 |
技術面:防毒、防火牆、郵件防護 |
|
E級機關 |
管理面 |
管理面:限制使用危害國家資通安全產品 |
如何降低資安威脅與弱點風險,提升企業資訊安全
依資安法規定,全機構之核心資訊系統皆須納入ISMS管轄範圍 。ISMS服務除了主管機關、法令法規要求以外,仍有企業為了管控自身內部資安議題以及提升同業競爭力,主動積極尋找解決方案,因此資訊安全管理制度透過流程方法進行導入作業,可透過有效管理制度及風險管理,識別出組織內外部相關威脅與弱點並有效降低及管控,發生資安事件時也能快速還原及處置。
企業合作方案
1.資通安全管理法納管對象
ISO27001:2013資訊安全管理制度維護
- 維護資訊安全管理制度(ISMS)四階文件
- 資訊資產盤點教育訓練與鑑別作業
- ISMS資訊資產風險評鑑作業
- 業務衝擊分析與營運持續計畫演練
- 資通安全政策制訂、資通安全目標設定
- 資訊安全執行記錄查檢作業(至少3次)
- 利害關係者稽核&內部稽核(非第三方稽核)暨缺失改善
- 資通安全教育訓練(6H通識課程)
- 協助召開資訊安全管理審查會議
- 資通安全管理法適法性查檢
- 協助彙整資通安全維護計畫
- 協助資通系統分級作業
- 協助核心資通系統防護基準措施符合性檢核作業
2.非資通安全管理法納管對象
ISO27001:2013資訊安全管理制度建置
- 建置資訊安全管理制度(ISMS)四階文件
- 資訊資產盤點教育訓練與鑑別作業
- ISMS資訊資產風險評鑑作業
- 業務衝擊分析與營運持續計畫演練
- 資通安全政策制訂、資通安全目標設定
- 資訊安全執行記錄查檢作業(至少3次)
- 利害關係者稽核&內部稽核(非第三方稽核)暨缺失改善
- 資通安全教育訓練(6H通識課程)
- 協助召開資訊安全管理審查會議
ISO27001:2013資訊安全管理制度維護
- 維護資訊安全管理制度(ISMS)四階文件
- 資訊資產盤點教育訓練與鑑別作業
- ISMS資訊資產風險評鑑作業
- 業務衝擊分析與營運持續計畫演練
- 資通安全政策制訂、資通安全目標設定
- 資訊安全執行記錄查檢作業(至少3次)
- 利害關係者稽核&內部稽核(非第三方稽核)暨缺失改善
- 資通安全教育訓練(6H通識課程)
- 協助召開資訊安全管理審查會議
3.資安檢測、教育訓練、包班服務
資安檢測服務
- 主機弱點掃描(現場/遠端)(初、複測各一)
- 網站弱點掃描
- 滲透測試(內、外網) (現場/遠端)(初、複測各一)
- 使用者電腦惡意程式或檔案檢視/使用者電腦更新檢視
- 伺服主機惡意程式或檔案檢視/伺服主機更新檢視
- 電子郵件社交工程演練
- 程式源碼檢測
- 系統壓力測試