資安通報流程
資安事件發生時,容易讓人一時慌了手腳,不知道該如何下手處理整起資安事件,導致無法迅速控制事件損害情形。因此當發生資安事件時,除了組織內部進行管控外,就是透過國家資通安全通報應變網站(https://www.ncert.nat.gov.tw/)進行事件情資的通報與分享。通報應變網站提供各政府機關一個記錄資安事件的平台,各機關的資安聯絡人可透過這個平台,依循國家資通安全會報通報與應變作業流程,將資安事件呈報相關單位,並視情況申請技術協助,掌握資安事件處理時效。而通報機關的主管機關,也可經由網站通報資料的處理狀態,有效協助通報機關快速復原事件所造成的影響。
在國家資通安全通報應變作業綱要中,為了能對事件影響等級有適當的量化指標,將資安事件分為三個面向進行衡量,分別評估該起資安事件對「機密性」、「完整性」、「可用性」三個面向所造成的衝擊,將事件影響等級由輕至重區分為1級、2級、3級與4 級。另外在國家資通安全會報通報與應變作業流程中規定,若判別事件影響等級後,應依不同資安事件影響等級投入資源進行事件處理。對於影響等級評定為1、2級的資安事件,應於事件發現後72小時內復原或完成損害管制;影響等級評定為3、4級的資安事件,應於事件發現後36小時內復原或完成損害管制。在完成事件處理後,則應至國家資通安全通報應變網站完成通報事件結案作業,說明事件解決辦法以及解決時間,以確切掌握該次事件處理情形。
由於資安事件往往來的突然,若平時未能發展出一套完整的因應方案,事件發生時就會手足無措,因此各級政府機關應建立一套資安事件之事前安全防護、事中緊急應變及事後復原作業機制,在資安事件發生時才可快速進行應變處置。
1.事前安全防護:包含訂定各項預防、應變與復原計畫、以及對軟硬體系統設施、環境、人員培訓等相關防護措施。
2.事中緊急應變:若不幸遭受入侵或攻擊時,應啟動緊急應變計畫,盡速降低事件造成損害。
3.事後復原作業:檢討現有防護措施,執行復原重建工作,並適時修正現有安全機制漏洞與相關應變計畫。
資安防護並非一蹴可及,唯有透過完善的安全防護計畫,搭配熟練的緊急應變程序,才可快速掌握突發的資安事件,並完善處理。對於所遭遇的資安事件,除了應快速的進行事件通報外,仍須回頭仔細檢討事件發生成因,修補自身防護弱點,同時再次檢視訂定的安全防護計畫與緊急應變程序是否需進行相對應修正,以避免再次遭受類似入侵或攻擊情形,並經由持續進行「規劃」、「執行」、「查核」、「行動」循環,才可有效加強資安防護能量。
資訊安全事件通報與處理流程
一、資訊安全事件包括:系統被入侵、對外攻擊、針對性攻擊、散播惡意程式、中繼站、電子郵件社交工程攻擊、垃圾郵件、命令或控制伺服器、殭屍電腦、惡意網頁、惡意留言、網頁置換、釣魚網頁、個資外洩以及通訊中斷等。
二、本公司資訊安全事件等級,由輕微至嚴重區分等級如下:
(一) 符合下列任一情形者,屬0級事件:
未確定事件或待確認工單:來自不同計畫所使用新型技術(A-SOC, miniSOC,…)所產生之工單,但其正確性有待確認。
其他單位所告知教育部所屬單位所發生未確定之資安事件。
教育部及區、縣網路中心檢舉信箱通告之資安事件。
(二) 符合下列任一情形者,屬1級事件:
非核心業務資料遭洩漏。
非核心業務系統或資料遭竄改。
非核心業務運作遭影響或短暫停頓。
(三) 符合下列任一情形者,屬2級事件:
非屬密級或敏感之核心業務資料遭洩漏。
核心業務系統或資料遭輕微竄改。
核心業務運作遭影響或系統效率降低,於可容忍中斷時間內回復正常運作。
(四) 符合下列任一情形者,屬3級事件:
密級或敏感公務資料遭洩漏。
核心業務系統或資料遭嚴重竄改。
核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。
(五) 符合下列任一情形者,屬4級事件:
國家機密資料遭洩漏。
國家重要資訊基礎建設系統或資料遭竄改。
國家重要資訊基礎建設運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。
三、本公司任何人於公司內發現異常情況或疑似資安事件,應立即向資安業務承辦人通報,資安業務承辦人儘速處理並研判事件等級。
四、資安業務承辦人當發生研判事件等級3(含)以上之事件,應立即通報資訊業務主管及資安長,並以電話聯絡區網中心及資訊安全管理單位,由資安長儘快召集會議研商處理的方式。
五、本公司發生內部無法處理之資通安全事件,應通報台中市教育局資訊安全管理單位協助處理。
六、資安通報依情報來源分為「告知通報」與「自行通報」,若收到「告知通報」事件通知,由資安業務承辦人登入教育機構資安通報平台,完成通報及應變作業。
七、資安事件須於發生後1小時內進行通報,0、1、2級事件於事件發生後72小時內處理完成並結案(包括通報與應變),3、4級事件於事件發生後36小時內完成並結案。
資安事件通報程序圖:
