跳到主要內容區塊

搜尋
手機板瀏覽
::: 資安新聞 活動訊息 手機資安 法規介紹 English
我是連結

資通安全管理機制導入現況

2018-10-17 fb 行政院為要求各政府機關強化資安管理,建立安全的電子化政府,於民國88年9月訂頒「行政院及所屬各機關資訊安全管理要點」,並要求地方政府準用此管理要點,期能確保資料、系統、設備及網路之安全,保障民眾權益。

(一)、政府機關(構)全面導入資安管理機制

行政院為要求各政府機關強化資安管理,建立安全的電子化政府,於民國88年9月訂頒「行政院及所屬各機關資訊安全管理要點」,並要求地方政府準用此管理要點,期能確保資料、系統、設備及網路之安全,保障民眾權益。行政院研究發展考核委員會隨後於88年11月訂頒「行政院及所屬各機關資訊安全管理規範」,行政院國家資通安全會報於94年7月20日發布「政府機關(構)資訊安全責任等級分級作業施行計畫」,以為各政府機關(構)實施資安管理之參考依據,並明確規劃資安責任等級分級作業流程。

各政府機關(構)依其資安等級所執行之工作事項包括︰防護縱深、資安管理機制推動作業、稽核方式、資安教育訓練、專業證照、檢測機關網站安全弱點等。資安等級列為A級與B級者,已陸續通過第三方驗證機構之驗證。歷經多年努力,迄今政府機關(構)已全面導入資安管理機制。

(二)、電信事業資通安全管理規定

電信事業擁有網路、系統等資源,且因經營業務之需,留存大量的用戶個人資料,故常為不法人士覬覦的目標,但囿於電信事業尚未全面導入資通安全管理機制,致使公司業務機密及用戶資料外洩事件頻傳,造成社會信用危機。為防堵該等事件之發生,本會於98年7月15日首次公告「電信事業資訊安全管理作業要點」,並提供「電信事業資訊安全管理手冊」為業者內部稽核之依據。

為因應政府於99年公告開放電信事業赴大陸地區投資電信業務之資通安全需求,以保障民眾個人資料、企業營運機密、電信網路設施及金融交易資訊等整體資通訊網路與服務之安全,本會參考國際標準化組織(International Organization for Standardization,ISO)於97年針對電信事業公布之資通安全管理實作指引(ISO/IEC 27011),於99年6月2日公告修正「電信事業資訊通訊安全管理作業要點」,並隨後公告「電信事業資通安全管理手冊」,以為業者強化資通安全管理機制之參考。

(三)、完備資通安全管理相關法源

鑒於電信事業擁有通信網路基礎建設重要資源,資通安全管理機制之導入極為重要,雖然部分規模較大之電信事業已取得ISO/IEC 27001驗證證書,然多數業者之實施範圍尚不夠完整。為建構政府及民間完整資安防護網,須配合增訂相關法規條文,賦予導入資通安全管理機制之法源,以要求電信事業全面落實資通安全管理機制。爰本會已分別於103年8月22日、104年11月13日及106年5月22日修正第二類電信事業管理規則、固定通信業務管理規則、行動寬頻業務管理規則及第三代行動通信業務管理規則,增訂資通安全管理專章,俾利業者遵循及落實。

另一方面,本會已研擬電信管理法草案,明定電信事業應訂定資通安全維護計畫,並要求使用符合資通安全標準之電信設備等義務。換言之,本會以保障使用者權益為前提,落實電信事業強化資通安全管理機制之責任,並以規劃管理與驗證稽核雙管齊下之方式,持續強化監督能量,降低電信事業資安風險。

(四)、擴大資安管理實施範圍

本會為落實電信事業執行資通安全管理,降低業者資安事件發生可能性,以保障消費者通訊權益,自104年起規劃、執行電信事業機房安全行政檢查實施計畫,104年查核7家第二類電信事業33座機房、105年查核9家第二類電信事業9座機房、106年查核固定通信事業16座機房,107年則規劃將查核行動通信事業20座機房。

另審酌「電信事業資訊通訊安全管理作業要點」及「電信事業資通安全管理手冊」未及參考99年4月27日立法院三讀通過之「個人資料保護法」,加以該要點及手冊規範對象限於電信事業,傳播事業部分尚付之闕如,資通安全防護尚未臻於完備,為避免個人資料之安全維護出現漏洞,亦須針對廣電事業之資通安全管理相關規範加以補強,爰本會已規劃將於107年起,針對傳播事業配合研擬資通安全管理規範,俾提升傳播事業資安防護。

此外,該要點及手冊對於風險管理程序及風險評估亦著墨甚少,尚須納入如ISO/IEC 27005標準,以確保通訊傳播事業資通訊資產遭受攻擊時,具備足夠即時維護系統正常運作及資料合法存取回復之能力。因此,本會將持續研修「通訊傳播事業資通安全管理作業要點」及「通訊傳播事業資通安全管理手冊」,以完備國內通訊傳播事業之資通安全管理機制規範。