資安事件通報及應變

壹、目的

維聖資訊科技股份有限公司(以下簡稱本公司) 為遵照資通安全管理法第14條及本公司資安全維護計畫之規定，建立本公司資通安全事件之通報及應變機制，以迅速有效獲知並處理事件，特制定本資通安全事件通報及應變管理程序(以下稱本管理程序)。

貳、適用範圍

發生於本公司之事件，系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生，影響資通系統機能運作，構成資通安全政策之威脅者。

參、責任

一、本公司所屬人員於發現資通安全事件時，應依本程序或權責人員之指示，執行通報及應變事務。

二、本公司應於資通安全事件發生前，確保所屬或監督之公務機關及所管之特定非公務機關是否制定及落實資通安全事件通報及應變管理程序，並依規定指定其知悉資通安全事件之通報以及完成應變作業後之結案登錄方式。

三、本公司應視必要性，與受託機關約定，使其制定其資通安全事件通報及應變管理程序，並於知悉資通安全事件後向本公司進行通報，於完成事件之通報及應變程序後，依本公司指示提供相關之紀錄或資料。

四、本公司應於知悉資通安全事件後，應依本程序之規定，儘速完成損害控制、復原與事件之調查及處理作業。完成後，應依上級或監督機關及行政院指定之方式進行結案登錄作業，並送交調查、處理及改善報告。

肆、事件通報窗口及緊急處理小組

一、本公司之資通安全事件通報窗口及聯繫專線為：04-22410788#1999。

二、本公司應以適當方式使相關人員明確知悉本公司之通報窗口及聯絡方式。

三、本公司所屬人員發現資通安全事件後，應立即向所屬單位主管及本公司之通報窗口通報。

四、本公司應確保通報窗口之聯絡管道全天維持暢通，若因設備故障或其他情形導致窗口聯絡管道中斷，該中斷情況若持續達一小時以上者，應即將該情況告知相關人員，並即提供其他有效之臨時聯絡管道。

五、負責事件處理之單位(該事件發生之單位)權責人員應與相關單位密切合作以進行事件之處理，並使通報窗口適時掌握事件處理之進度及其他相關資訊。

六、事件經初步判斷認為可能屬重大資安事件或事態嚴重時，應即向資安長報告，由資安長成立緊急處理小組，立即協助進行處理；接獲本公司所屬機關或受託廠商所通報之資通安全事件時，亦同。

七、緊急處理小組成員由資安長指派機關之資通安全相關技術人員擔任，或亦得由其他機關資通安全相關技術人員或外部專家擔任之。

八、各相關權責人員應紀錄事件處理過程，並檢討事件發生原因，著手進行改善，並留存必要之證據。

伍、通報程序

一、通報作業程序

(一)判定事件等級之流程及權責

本公司之權責人員或緊急處理小組應依據以下事項，於知悉資通安全事件後，依規定完成｢資通安全事件通報及應變辦法｣之資通安全事件等級判斷：

1. 事件涉及核心業務或關鍵基礎設施業務之資訊與否。

2. 事件導致業務之資訊或資通系統遭竄改之影響程度，屬嚴重或輕微。

3. 事件所涉資訊是否屬於國家機密、敏感資訊或一般公務機密。

4. 機關業務運作若遭影響或資通系統停頓，是否可容忍中斷時間內能回復正常運作。

5. 事件其他足以影響資通安全事件等級之因素。

(二)除事件之等級外，權責人員或緊急處理小組亦應對資通安全事件之影響範圍、損害程度及本公司因應之能力進行評估。

(三)本公司權責人員或緊急處理小組於完成資通安全事件等級之判斷及相關評估後，應盡速報資通安全長核准。

(四)除因網路或電力中斷等事由，致無法依上級或監督機關及行政院所指定或認可之方式通報外，應於知悉資通安全事件後一小時內上級或監督機關及行政院所指定或認可之方式，進行事件通報。

(五)本公司因網路或電力中斷等事由，致無法依前項規定方式為通報者，應於知悉資通安全事件後一小時內以電話或其他適當方式，將該次資安事件應通報之內容及無法通報依規定方式通報之事由，分別告知所屬之上級或監督機關及行政院，並於事由解除後，依原方式補行通報。

(六)資通安全事件等級如有變更，權責人員或緊急應變小組應告知通報窗口，使其續行通報作業。

(七)本公司於委外辦理資通系統之建置、維運或提供資通服務之情形時，應於合約中訂定委外廠商於知悉資通安全事件時，應即向本公司之權責人員或窗口，以指定之方式進行通報。

(八)本公司於知悉資通安全事件後，如認該事件之影響涉及其他機關或應由其他機關依其法定職權處理時，權責人員或緊急處理小組應於知悉資通安全事件後一小時內，將該事件依上級機關或行政院所指訂或認可之方式，通知該機關。

(九)本公司執行通報應變作業時，得視情形向直屬上級機關或直轄市、縣（市）政府(機關自行視其位階自行修改請求對象)提出技術支援或其他協助之需求。

二、接獲自身、所屬單位或所管特定非公務機關(子公司、外點單位)通報之評估作業程序

(一)本公司之權責人員或緊急處理小組，於接獲所屬單位或所管特定非公務機關之資通安全事件通報後，應於以下時限內，完成資通安全事件通報等級及相關事項之審核：

1.通報為第一級或第二級之資通安全事件，於接獲通報後八小時內。

2.通報為第三級或第四級之資通安全事件，於接獲通報後二小時內。

(二)本公司之權責人員或緊急處理小組進行本條第一項之審核過程中，得請求通報之公務或特定非公務機關提供級別判斷所需之資料或紀錄。

(三)本公司於必要時得依據審核之結果，逕行變更資通安全事件之等級，並應於決定變更後一小時內，將審核結果及級別變更之決定通知行政院，並提供做成決定所依據之相關資訊。

三、對所屬或所管特定非公務機關之協助

本公司之所屬單位或特定非公務機關知悉資通安全事件，向本公司通報時，本公司資安長應視必要性於以下時限內，決定是否組成緊急處理小組，以協助隸屬本公司之所屬單位或特定非公務機執行通報及應變程序，並視情形提供必要之支援或協助：

(一)通報為第一級或第二級之資通安全事件，於完成複核後二小時內。

(二)通報為第三級或第四級之資通安全事件，於接獲通報後一小時內。

陸、應變程序

一、事件發生前之防護措施規劃

本公司應於平時妥善實施資通安全維護計畫，並以組織營運目標與策略為基準，透過整體之營運衝擊分析，規劃業務持續運作計畫並實施演練，以預防資安事件之發生。

二、損害控制機制

(一)負責應變之權責人員或緊急處理小組，應完成以下應變事務之辦理，並留存應變之紀錄

1.資安事件之衝擊及損害控制作業。

2.資安事件所造成損害之復原作業。

3.資安事件相關鑑識及其他調查作業。

4.資安事件之調查與處理及改善報告之方式。

5.資安事件後續發展及與其他事件關聯性之監控。

6.資訊系統、網路、機房等安全區域發生重大事故或災難，致使業務中斷時，應依據本公司事前擬定之緊急計畫，進行應變措施以恢復業務持續運作之狀態。

7.其他資通安全事件應變之相關事項。

(二)對於第一級、第二級資通安全事件，本公司應於知悉事件後七十二小時內完成前項事務之辦理，並應留存紀錄；於第三級、第四級資通安全事件，本公司應於知悉事件後三十六小時內完成損害控制或復原作業，並執行上述事項，及留存相關紀錄。

(三)本公司完成通報及應變程序之辦理後，應依所隸屬之上級機關或行政院所指定或認可之方式進行結案登錄。

(四)本公司於知悉受託廠商發生與受託業務相關之資通安全事件時，應於知悉委外廠商發生第一、二級資通安全事件後七十二小時內，確認委外廠商已完成損害控制或復原事項之辦理；於知悉委外廠商發生第三、四級資通安全事件後三十六小時內，確認委外廠商完成損害控制或復原事項之辦理

柒、資安事件後支復原、鑑識、調查及改善機制

一、本公司完成資通安全事件之通報及應變程序後，應針對事件所造成之衝擊、損害及影響進行調查及改善。

二、資通安全事件調查、處理及改善報告應包括以下項目：

(一)事件發生、完成損害控制或復原作業之時間。

(二)事件影響之範圍及損害評估。

(三)損害控制及復原作業之歷程。

(四)事件調查及處理作業之歷程。

(五)為防範類似事件再次發生所採取之管理、技術、人力或資源等層面之措施。

(六)前款措施之預定完成時程。

三、本公司應向所隸屬之主管機關提出前項之報告，以供監督與檢討。

四、指訂隸屬於本公司之所屬單位或特定非公務機關所需提出第二項報告之期限，若其逾期未提出，本公司除應使其盡速提出外，並應為其他必要之監督及指示。

捌、紀錄留存及管理程序之調整

一、本公司應將資通安全事件之通報與應變作業之執行、事件影響範圍與損害程度以及其他通報應變之執行情形，於「資安事件通報紀錄單」上留存完整之紀錄，該文件並應經承辦之權責人員、資通安全長簽核。

二、本公司於完成資通安全事件之通報及應變程序後，應依據「資安事件通報紀錄單」之內容及實際處理之情形，於必要時對本管理程序、人力配置或其他相關事項進行修正或調整。

玖、演練作業

一、本公司應配合直屬機關(構)依資通安全事件通報應變辦法之規定所辦理之社交工程演練、資通安全事件通報及應變演練。

二、本公司應配合行政院依資通安全事件通報應變辦法之規定所辦理之下列資通安全演練作業：

(一)社交工程。

(二)資安事件通報及應變。

(三)網路攻防。

(四)情境演練。

(五)其他資安演練。