© Copyright Fortinet Inc. All rights reserved.

TAIWAN, 15 NOVEMBER 2018

資通安全管理法之挑戰與因應

資通安全管理法之挑戰與因應

行政院國家資通安全會報技術服務中心

吳啟文主任

107年11月15日

2

大綱

●資安威脅趨勢

●資通安全管理法簡介

●法遵事項與因應建議

3

資安威脅趨勢

4

世界經濟論壇2018全球風險調查報告

科技(Technological)

社會(Societal)

地緣政治(Geopolitical)

環境(Environmental)

經濟(Economic)

關鍵資訊基礎設施崩潰

資料欺詐或盜竊

網路攻擊

10大可能風險 1.極端氣侯

2.自然災害

3.網路攻擊(同時為第6大影響風險、2017年排名第6)

4.資料欺詐或盜竊(2017年排名第5)

5.氣候變化調節與適應機制失效

6.大規模非自願移民

7.人為環境災害

8.恐怖攻擊

9.非法貿易

10.主要經濟體的資產泡沫化

科技發展造成負面影響

5

全球資安威脅趨勢

分散式阻斷服務攻擊癱瘓網路運作

進階持續威脅攻擊竊取機密資料

關鍵資訊基礎設施資安風險倍增

物聯網設備資安弱點威脅升高

資安(訊)供應商持續遭駭破壞供應鏈安全

網路與經濟罪犯影響電子商務與金融運作

6

當前/未來 資安威脅

模式翻新 應變不易 設備微型

管理不易 社交工程 防不勝防

駐外機構 管理不易

認知不足 警覺不夠

我國面臨之資安挑戰

技術更迭快速 資安威脅不易掌握

物聯網資安 風險與日遽增

資安人才 供不應求

資安自主能力 待提升

政府資安威脅趨勢

7

大數據與智慧聯網時代來臨

7

思科估計實體世界中仍有99%物件未連上網， 至2020年全球將有500億個連網裝置與物件。

圖片來源：libelium.com

大數據

智慧聯網

移動裝置

雲端運算

資通安全管理法簡介

8

9

我國資安法制現況

資安管理法： • 除規範公務機關外，亦包括關鍵基礎設施提供者等特定非公務機關

• 公務機關及特定非公務機關均應以風險管理為核心，訂定資通安全維護計畫及通報應變辦法，並接受相關查核

現況： • 現有資安

相關法規目的各異

• 適用對象有限(僅限於特定部門或事項)

• 資安日受重視，但仍無以風險管理為核心之資通安全專法

資通安全管理法及相關子法

10

國外資安立法趨勢

●重要國家、國際組織訂定資安專法之趨勢

– 美 國 ：聯邦資訊安全現代化法

– 德 國 ：資訊科技安全法

– 日 本 ：網路安全基本法

– 中國大陸：網路安全法

– 韓 國：資訊與通訊基礎設施保護法

– 歐 盟：網路暨資訊安全指令

11

資通安全管理法立法歷程

院會報告資通安全管理法草案

11-12月 4月 5月

交付立法院司法及法制委員會審查

召開第十二次全體委員會議併案審查

立法院司法及法制委員會

5/11

研擬完成子法草案

召開第一、二階段子法分區座談會

3-5月

立法院三讀通過

總統公告

6/6 7月

子法預告

子法發布

11月

正式施行

1/1 8月

召開子法第三階段分區座談會

9月

子法預告結束、完成子法調修

視需要進行第二次預告

並函送立法院審議

106年 107年 108年

12

立法目的及規範對象

公務機關 特定非公務機關

• 中央與地方機關(構)

• 公法人

•關鍵基礎設施提供者 •公營事業 •政府捐助之財團法人

• 關鍵基礎設施所涉領域包括能源、水資源、通訊傳播、交通、金融、高科技園區、緊急醫療等

• 規範對象

• 立法目的

為積極推動國家資通安全政策，加速建構國家資通安全環境，以保障國家安全，維護社會公共利益

以對人民生活、經濟活動及公眾或國家安全有重大影響者

13

國家安全 社會公共利益

主管機關 (行政院) 應辦事項

罰則 特定非公務機關資通安全管

理

公務機關

資通安全管理 立法目的與 名詞定義

資通安全管理法架構

− 資安責任等級分級 − 資安維護計畫之制定與 實施

− 資安長設置 − 年度資安維護計畫實施 情形提出

− 資安稽核 − 改善報告 − 資安事件通報應變 − 公務機關人員獎懲標準

− 資安責任等級分級 − 資安維護計畫之制定與 實施

− 年度資安維護計畫實施 情形提出

− 資安稽核 − 資安事件通報應變 − 改善報告 − 公告 − 罰則

− 行政院、委託或委任單位、各公務機關

− 中央目的事業主管機關權責 − 權限委託

− 資安責任等級分級 − 資安維護計畫之制定與 實施

− 年度資安維護計畫 實施情形提出

− 資安稽核 − 資安事件通報應變 − 改善報告 − 公告 − 定期公布國家資通安全情勢報告及資通安全發展方案

− 建立情資分享機制

− 公務機關人員獎懲標準 − 通報義務 − 資安維護計畫實施 − 改善報告 − 應變機制

14

資通安全管理法

公務機關資通安全管理 特定非公務機關資通安全管理

訂定資安維護計畫

接受稽核

提出改善報告

提出實施情形

訂定通報應變機制

通報資安事件

提出調查、處理及改善報告

資通安全責任等級分級辦法

特定非公務機關資通安全維護計畫實施情形稽核辦法

資通安全事件通報及應變辦法

資通安全情資分享辦法

資通安全管理法 施行細則

公務機關所屬人員辦理資通安全業務獎懲

辦法

事前

事中

事後

對象

資通安全管理法相關規定

15

公務機關之資通安全管理

設置資通安全長§11

主管機關 (行政院)

•擘劃並推動國家資通安全政策 •資通安全科技發展 •國際交流合作及資通安全整體防護 •定期公布國家資安情勢報告、對公務機關資安稽核概況報告、資通安全發展方案

資安管理法施行細則§22

資安責任等級分級辦法§7

資安事件通報及應變辦法§ 14、18

訂定

總統府、立法院、司法院、考試院、監察院、直轄市政府、直轄市議會、縣（市）政府及縣（市）議會等公務機關

• 應稽核資通安全維護計畫實施情形§13Ⅰ

下級或受監督機關

應訂定資通安全維護計畫§10 應訂定通報及應變機制§14Ⅰ

• 應提出改善報告§13 II 上級或 監督機關

• 應提出年度資通安全維護計畫之實施情形§12

• 應通報資通安全事件§14Ⅱ

• 應提出資通安全事件之調查、處理及改善報告§14Ⅲ

維護計畫實施情形稽核辦法§ 7

資安情資分享辦法§8

公務機關人員獎懲辦法§15、§19

§5

16

罰則 §20~§21

公營事業、政府捐助 之財團法人

應訂定、修正及實施資通

安全維護計畫§16 III

應提出資通安全維護計畫

之實施情形§16 IV

應提出資通安全維護計畫

之改善報告§16 VI

應訂定、修正及實施資通安全

維護計畫§17Ⅰ

得提出資通安全維護計畫之實

施情形§17II

應提出資通安全維護計畫之改

善報告§17 III

應訂定通報及應變機制§18Ⅰ 應通報資安事件，並提出調查、處理及改善報告§18Ⅱ、Ⅲ

資通安全維護計畫

通報應變

特定非公務機關之資通安全管理

關鍵基礎設施提供者

公務機關所屬人員資通安全事項獎懲辦法

資通安全管理法施行細則

特定非公務機關 資通安全維護計畫 實施情形稽核辦法

先期

規劃

持續

運作

通報

應變

協處

改善

風險管理

• 機關資安責任等級分級提報

• 訂定資安維護計畫

• 提出資安維護計畫實施情形

• 進行稽核

• 訂定資安事件通報應變機制

• 通報資安事件 • 提出事件調查改善報告

• 提出稽核改善報告 • 情資分享

• 人員獎懲

資通安全事件通報及應變辦法

資通安全情資分享 辦法

資通安全管理法子法架構

資通安全責任等級 分級辦法

17

特定非公務機關資通安全維護計畫實施情形稽核辦法

資通安全事件通報應變辦法

資通安全管理法施行細則

資通安全責任等級分級辦法

資安管理事項

資產盤點

風險評鑑

責任等級

分級

訂定資通安

全維護計畫

維護計畫實

施情行提報

稽核

稽核

改善報告

平時

訂定事件通

報應變機制

通報

資安事件

損害控制及

復原 情資分享

調查處理及

改善報告 事件

公務機關所屬人員資通安全事項獎懲辦法

資通安全情資分享辦法

18

資通安全責任等級分級原則

A B C D E 資訊

業 務

系統

層級 醫院

C級：有自行或委外發資訊系統，並設置伺服器者

D級：未自行或委外開發資訊系統，未設置伺服器

E級：全部資訊業務由其他機關兼辦或代辦

§10：各機關得考慮其對國家

安全、社會公益或人民

之影響，彈性調整其等

級

B級：區域或地區性

A級：全國性

19

資通安全維護計畫內容

●基於風險管理之基礎，包含以下項目

核心業務及其

重要性

資通安全政策

及目標

資通安全推動

組織

專責人力及經

費之配費

資安長配置

(公務機關)

資產盤點(識別

核心資通系統) 風險評估

防護及控制

措施

事件通報應變

及演練機制

情資評估及

因應機制 委外管理措施

人員考核

(公務機關)

持續精進及

績效管理機制

• 維護計畫實施情形，應包括各款之執行成果與相關說明

20

資通安全事件分級

事件輕微或嚴重依C,I,A三面向

機密性

業務資訊遭洩漏

完整性

業務資訊遭竄改

資通系統遭竄改

可用性

資訊系統受影響或停頓，

是否於可接受時間內回復

同一資安事件影響二個以上機關，等級向上提升一級

非核心 核心

CI 設施

機敏資訊 洩漏

輕微

輕微

輕微

輕微

嚴重

嚴重

嚴重

嚴重

1 2 3 4

事件等級

21

資安情資分享

主管機關 (行政院)

中央目的事業

主管機關

得分享 應分享

原則應分享、例外得不分享

公務機關

特定 非公務機關

(已被公開或已被分享之情資)

國際合作

應就情資分享

事宜進行

國際合作

上級、監督機關

22

資安情資內容

其他技術性資訊

偵測、預防或 降低損害措施

惡意偵察/ 情蒐活動

系統安全漏洞

使安控失效或利用漏洞方法

惡意程式 相關資訊

資安事件之損害或影響

攻擊應變措施

漏洞資訊

資安事件單 關聯事件單

攻擊手法

受害者資訊 中繼站資訊

資安趨勢報告

惡意活動趨勢分析

惡意活動偵測紀錄

中繼站黑名單阻擋統計

領域監控分析報告

惡意程式

惡意程式分析報告

疑似攻擊探測紀錄

一、

二、

三、

四、

五、

六、

七、

關聯分析結果

惡意IP/DN 惡意郵件來源

23

24

法遵事項與因應建議

25

法遵事項

25

中央目的事業主管機關

上級或監督機關

•稽核其所屬或受監督機關之資安維護計畫實施情形，如有缺失或待改善事項應要求提出改善報告

•針對資安事件，要求提出調查、處理及改善報告

•向主管機關提報自身、所屬/被監督機關之資安責任等級

一般公務機關

•設置資安長 •訂定及實施資安維護計畫 •訂定通報及應變機制 •向上級或監督機關提出資安維護計畫實施情形

•向上級或監督機關通報資安事件，並通報主管機關

•指定關鍵基礎設施提供者並報請主管機關核定 •向主管機關提報所管特定非公務機關之資安責任等級 •針對特定非公務機關，就資安維護計畫必要事項、改善報告等事項訂定辦法，並報主管機關核定

•向主管機關提出所管特定非公務機關之重大資安事件調查、處理及改善報告 •知悉重大資安事件時，於適當時機得公告相關內容並提供相關協助 •應稽核關鍵基礎設施提供者之資安維護計畫實施情形 •得稽核關鍵基礎設施提供者以外特定非公務機關之資安維護計畫實施情形

主管機關

•定期公布國家資安情勢報告、對公務機關資安維護計畫實施情形稽核概況報告及資安發展方案，並送立法院備查 •應將關鍵基礎設施提供者名單函送立法院備查 •知悉重大資安事件時，於適當時機得公告與事件相關之必要內容及因應措施，並得提供相關協助 •訂定相關子法 •得稽核特定非公務機關之資安維護計畫實施情形，如有缺失或待改善事項應要求提出改善報告

特定非公務機關

•訂定及實施資安維護計畫 •訂定通報及應變機制 •針對資安維護計畫實施情形有缺失或待改善事項，向中央目的事業主管機關提出改善報告

•向中央目的事業主管機關通報資安事件，並提出事件之調查、處理及改善報告

納管機關

資產盤點

風險評鑑

機關資安責任等級

資安維護計畫、通報應變機制文件擬具

資安防護基準遵循

上級、監督機關或 中央目的事業主管機關

行政規則註1或法規命令訂定註2

自身及所屬機關構 資安責任等級核定

資安維護計畫、通報應變機制文件範本提供註3

所轄管機關協助

註1：指上級、監督機關須針對所轄公務機關，就稽核作業訂定相關行政規則(依據母法第13條說明) 註2：指中央目的事業主管機關須針對所轄特定非公務機關，就資通安全維護計畫等應遵循事項訂

定辦法(法規命令)(依據母法第16條第6項及第17條第4項) 註3：行政院會提供風險評鑑、資安維護計畫、通報應變機制等文件範本供參。

整備重點

26

因應建議

3

1 5

4 2

提升資安人員質與量

檢視資安推動組織之組成

落實資安宣導

內部資安規範與本法之接軌

檢視資安預算之適足性

-重新檢視資安人力適足性 -指定資安專職、專責人力 -提升資安人員之職能

-組成跨機關內部單位及

所屬機關

-形成與特定非公務機關之公私治理與參與模式

-機關內資安意識宣導 -資安相關獎懲規定

-機關內資安作業流程與規定 之銜接 -人員獎懲規定之銜接

因應 建議

27

報告完畢 敬請指教