主辦單位主辦單位主辦單位主辦單位：：：：

國家通訊傳播委員會國家通訊傳播委員會國家通訊傳播委員會國家通訊傳播委員會

國家通訊傳播委員會國家通訊傳播委員會國家通訊傳播委員會國家通訊傳播委員會

如何實作如何實作如何實作如何實作「「「「電信電信電信電信、、、、傳播事業資傳播事業資傳播事業資傳播事業資通安全管理手冊通安全管理手冊通安全管理手冊通安全管理手冊」？」？」？」？

主講人主講人主講人主講人：：：：睿明資通執行長兼首席顧問睿明資通執行長兼首席顧問睿明資通執行長兼首席顧問睿明資通執行長兼首席顧問 鍾榮翰鍾榮翰鍾榮翰鍾榮翰

中華民國中華民國中華民國中華民國101年年年年10月月月月24日日日日

計畫緣起計畫緣起計畫緣起計畫緣起

參考引進國際最新資訊安全管理標準參考引進國際最新資訊安全管理標準參考引進國際最新資訊安全管理標準參考引進國際最新資訊安全管理標準

協助通訊傳播事業導入資通安全機制協助通訊傳播事業導入資通安全機制協助通訊傳播事業導入資通安全機制協助通訊傳播事業導入資通安全機制

推廣通訊傳播事業保護個人資料安全推廣通訊傳播事業保護個人資料安全推廣通訊傳播事業保護個人資料安全推廣通訊傳播事業保護個人資料安全

整合通訊傳播事業資通安全管理規範整合通訊傳播事業資通安全管理規範整合通訊傳播事業資通安全管理規範整合通訊傳播事業資通安全管理規範

2

• 通訊傳播基本法通訊傳播基本法通訊傳播基本法通訊傳播基本法：：：：

– 通訊傳播通訊傳播通訊傳播通訊傳播：：：：指以有線指以有線指以有線指以有線、、、、無線無線無線無線、、、、衛星或其他電子傳輸設衛星或其他電子傳輸設衛星或其他電子傳輸設衛星或其他電子傳輸設施傳送聲音施傳送聲音施傳送聲音施傳送聲音、、、、影像影像影像影像、、、、文字或數據者文字或數據者文字或數據者文字或數據者

– 通訊傳播事業通訊傳播事業通訊傳播事業通訊傳播事業：：：：指經營通訊傳播業務者指經營通訊傳播業務者指經營通訊傳播業務者指經營通訊傳播業務者

• 電信事業電信事業電信事業電信事業：：：：指經營電信服務供公眾使用之事業指經營電信服務供公眾使用之事業指經營電信服務供公眾使用之事業指經營電信服務供公眾使用之事業。。。。

• 傳播事業傳播事業傳播事業傳播事業：：：：指經營傳播業務者指經營傳播業務者指經營傳播業務者指經營傳播業務者

• 法令依據法令依據法令依據法令依據

– 通訊通訊通訊通訊(電信電信電信電信)業業業業：：：：電信法電信法電信法電信法

– 傳播業傳播業傳播業傳播業：：：：廣播電視法廣播電視法廣播電視法廣播電視法、、、、有線廣播電視法有線廣播電視法有線廣播電視法有線廣播電視法、、、、衛星廣播電衛星廣播電衛星廣播電衛星廣播電

視法視法視法視法

通訊通訊通訊通訊、、、、傳播事業特性之分析傳播事業特性之分析傳播事業特性之分析傳播事業特性之分析

3

通訊傳播事業之異同通訊傳播事業之異同通訊傳播事業之異同通訊傳播事業之異同(1/2)(1/2)(1/2)(1/2)

4

區分區分區分區分 業務項目業務項目業務項目業務項目機機機機線線線線設備設備設備設備

數量數量數量數量管理重點管理重點管理重點管理重點 處罰規定處罰規定處罰規定處罰規定

一類電信一類電信一類電信一類電信

固定通信網路業務固定通信網路業務固定通信網路業務固定通信網路業務

行動通信網路業務行動通信網路業務行動通信網路業務行動通信網路業務

衛星固定通信業務衛星固定通信業務衛星固定通信業務衛星固定通信業務

擁有極大量擁有極大量擁有極大量擁有極大量

機線設備機線設備機線設備機線設備

電信建設與管理電信建設與管理電信建設與管理電信建設與管理

電信設備之維護電信設備之維護電信設備之維護電信設備之維護

與管理與管理與管理與管理

電信監理電信監理電信監理電信監理

專業人員管理專業人員管理專業人員管理專業人員管理

客戶管理客戶管理客戶管理客戶管理

盜用他人電盜用他人電盜用他人電盜用他人電

信設備通信信設備通信信設備通信信設備通信

者之刑責者之刑責者之刑責者之刑責

侵犯通信秘侵犯通信秘侵犯通信秘侵犯通信秘

密之刑責密之刑責密之刑責密之刑責

行政行政行政行政罰則罰則罰則罰則

二類電信二類電信二類電信二類電信

數據交換通信服務數據交換通信服務數據交換通信服務數據交換通信服務

網際網路接取服務網際網路接取服務網際網路接取服務網際網路接取服務

非非非非E．．．．1 6 4網路電話服務網路電話服務網路電話服務網路電話服務E．．．．1 6 4網路電話服務網路電話服務網路電話服務網路電話服務公司內部網路通信服務公司內部網路通信服務公司內部網路通信服務公司內部網路通信服務

語音會議服務語音會議服務語音會議服務語音會議服務

存取網路服務存取網路服務存取網路服務存取網路服務

視訊會議服務視訊會議服務視訊會議服務視訊會議服務

擁有機線設擁有機線設擁有機線設擁有機線設

備備備備

電信設備之維護電信設備之維護電信設備之維護電信設備之維護

與管理與管理與管理與管理

專業人員管理專業人員管理專業人員管理專業人員管理

客戶管理客戶管理客戶管理客戶管理

盜用他人電盜用他人電盜用他人電盜用他人電

信設備通信信設備通信信設備通信信設備通信

者之刑責者之刑責者之刑責者之刑責

侵犯通信秘侵犯通信秘侵犯通信秘侵犯通信秘

密之刑責密之刑責密之刑責密之刑責

行政罰則行政罰則行政罰則行政罰則

通訊傳播事業之異同通訊傳播事業之異同通訊傳播事業之異同通訊傳播事業之異同(2/2)(2/2)(2/2)(2/2)

5

區分區分區分區分 業務項目業務項目業務項目業務項目 機機機機線線線線設備設備設備設備數量數量數量數量 管理重點管理重點管理重點管理重點 處罰規定處罰規定處罰規定處罰規定

二類電信二類電信二類電信二類電信

語音單純轉售服務語音單純轉售服務語音單純轉售服務語音單純轉售服務

批發轉售服務批發轉售服務批發轉售服務批發轉售服務

頻寬轉售服務頻寬轉售服務頻寬轉售服務頻寬轉售服務

存轉網路服務存轉網路服務存轉網路服務存轉網路服務

付費語音資訊服務付費語音資訊服務付費語音資訊服務付費語音資訊服務

行動轉售服務行動轉售服務行動轉售服務行動轉售服務

行動轉售及加值服務行動轉售及加值服務行動轉售及加值服務行動轉售及加值服務

無無無無 客戶管理客戶管理客戶管理客戶管理

侵犯通信秘侵犯通信秘侵犯通信秘侵犯通信秘

密之密之密之密之刑責刑責刑責刑責

行政行政行政行政罰則罰則罰則罰則

傳播事業傳播事業傳播事業傳播事業

有線廣播電視有線廣播電視有線廣播電視有線廣播電視

廣播電視廣播電視廣播電視廣播電視

衛星廣播電視衛星廣播電視衛星廣播電視衛星廣播電視

擁有極大量機擁有極大量機擁有極大量機擁有極大量機

線設備線設備線設備線設備

營運管理營運管理營運管理營運管理

節目管理節目管理節目管理節目管理

廣告管理廣告管理廣告管理廣告管理

專業人員管理專業人員管理專業人員管理專業人員管理

行政罰則行政罰則行政罰則行政罰則

廣播電視節目供應事業廣播電視節目供應事業廣播電視節目供應事業廣播電視節目供應事業 無無無無節目管理節目管理節目管理節目管理

廣告管理廣告管理廣告管理廣告管理行政罰則行政罰則行政罰則行政罰則

通訊傳播事業之資安需求通訊傳播事業之資安需求通訊傳播事業之資安需求通訊傳播事業之資安需求

6

電信事業電信事業電信事業電信事業 傳播事業傳播事業傳播事業傳播事業

一類電信一類電信一類電信一類電信

固定通信網路固定通信網路固定通信網路固定通信網路業務業務業務業務

行動通信網路行動通信網路行動通信網路行動通信網路業務業務業務業務

衛星固定通信衛星固定通信衛星固定通信衛星固定通信業務業務業務業務

二二二二類電信類電信類電信類電信數據交換通信服務數據交換通信服務數據交換通信服務數據交換通信服務

網際網路接取服務網際網路接取服務網際網路接取服務網際網路接取服務

非非非非EEEE．．．．1 6 4 網路電話服務網路電話服務網路電話服務網路電話服務

E．．．．1 6 4 網路電話服務網路電話服務網路電話服務網路電話服務

公司內部網路通信服務公司內部網路通信服務公司內部網路通信服務公司內部網路通信服務

語音會議服務語音會議服務語音會議服務語音會議服務

存取網路服務存取網路服務存取網路服務存取網路服務

視訊會議服務視訊會議服務視訊會議服務視訊會議服務

二二二二類電信類電信類電信類電信語音單純轉售服務語音單純轉售服務語音單純轉售服務語音單純轉售服務

批發轉售服務批發轉售服務批發轉售服務批發轉售服務

頻寬轉售服務頻寬轉售服務頻寬轉售服務頻寬轉售服務

存轉網路服務存轉網路服務存轉網路服務存轉網路服務

付費語音資訊服務付費語音資訊服務付費語音資訊服務付費語音資訊服務

行動轉售服務行動轉售服務行動轉售服務行動轉售服務

行動轉售及加值服務行動轉售及加值服務行動轉售及加值服務行動轉售及加值服務

傳播事業傳播事業傳播事業傳播事業

有線廣播電視有線廣播電視有線廣播電視有線廣播電視

廣播電視廣播電視廣播電視廣播電視

衛星廣播電視衛星廣播電視衛星廣播電視衛星廣播電視

傳播事業傳播事業傳播事業傳播事業

廣播電視節目廣播電視節目廣播電視節目廣播電視節目

供應事業供應事業供應事業供應事業

擁有大量機線設備

擁有大量機線設備

擁有大量機線設備

擁有大量機線設備

無機線設備

無機線設備

無機線設備

無機線設備

機密性機密性機密性機密性可用性可用性可用性可用性

完整性完整性完整性完整性

關鍵業務

關鍵業務

關鍵業務

關鍵業務

支援業務

支援業務

支援業務

支援業務

人事人事人事人事、、、、行政行政行政行政、、、、總務總務總務總務行政行政行政行政業務業務業務業務

設備設備設備設備 保護保護保護保護重點重點重點重點

IPAIPAIPAIPA重要度績效分析法重要度績效分析法重要度績效分析法重要度績效分析法

重要度重要度重要度重要度--------滿意度矩陣滿意度矩陣滿意度矩陣滿意度矩陣

7

象限二象限二象限二象限二

優先改善優先改善優先改善優先改善

(Concentrate Here)

象限一象限一象限一象限一繼續維持繼續維持繼續維持繼續維持

(Keep Up the Good Work)

象限三象限三象限三象限三

次要改善次要改善次要改善次要改善

(Low Priority)

現象四現象四現象四現象四過度重視過度重視過度重視過度重視

(Possible Overkill)

IPA分析分析分析分析

bj ≥ 4與與與與cj≥ 4bj ≥ 4與與與與cj < 4

bj < 4與與與與cj < 4 bj < 4與與與與cj≥ 4

實際實施程度cj

認知重要程度

bj

電信電信電信電信、、、、傳播事業傳播事業傳播事業傳播事業IPAIPAIPAIPA分析分析分析分析結果結果結果結果

8

優先改善優先改善優先改善優先改善 繼續維持繼續維持繼續維持繼續維持

3.5

3.7

3.9

4.1

4.3

4.5

4.7

4.9

3.53.53.53.5 3.63.63.63.6 3.73.73.73.7 3.83.83.83.8 3.93.93.93.9 4444 4.14.14.14.1 4.24.24.24.2 4.34.34.34.3 4.44.44.44.4 4.54.54.54.5 4.64.64.64.6

安安安安

全全全全

控控控控

制制制制

措措措措

施施施施

認認認認

知知知知

重重重重

要要要要

程程程程

度度度度

安全控制措施實際實施程度安全控制措施實際實施程度安全控制措施實際實施程度安全控制措施實際實施程度

優先改善優先改善優先改善優先改善 繼續維持繼續維持繼續維持繼續維持

3.5

3.7

3.9

4.1

4.3

4.5

4.7

4.9

3.5 3.6 3.7 3.8 3.9 4 4.1 4.2 4.3 4.4 4.5 4.6

安安安安

全全全全

控控控控

制制制制

措措措措

施施施施

認認認認

知知知知

重重重重

要要要要

程程程程

度度度度

安全安全安全安全控制控制控制控制措施實際實施程度措施實際實施程度措施實際實施程度措施實際實施程度

C1

C2

C4

C5

C11.1

C11.2

C16.1

C16.2

C17.1

C17.2

C18.1

C18.2

C19.1

C19.2

C20.1

C21.2

C24.2

C25.1

C26

C30.1

C32.1

C32.2

C33.1

C33.2

IPA分析分析分析分析結果結果結果結果(刪除不顯著問項刪除不顯著問項刪除不顯著問項刪除不顯著問項)

9

優先改善優先改善優先改善優先改善 繼續維持繼續維持繼續維持繼續維持

3.5

3.7

3.9

4.1

4.3

4.5

4.7

4.9

3.53.53.53.5 3.63.63.63.6 3.73.73.73.7 3.83.83.83.8 3.93.93.93.9 4444 4.14.14.14.1 4.24.24.24.2 4.34.34.34.3 4.44.44.44.4 4.54.54.54.5 4.64.64.64.6

安安安安

全全全全

控控控控

制制制制

措措措措

施施施施

認認認認

知知知知

重重重重

要要要要

程程程程

度度度度

安全控制措施實際實施程度安全控制措施實際實施程度安全控制措施實際實施程度安全控制措施實際實施程度

C1

C2

C4

C5

C11.1

C11.2

C16.1

C16.2

C17.1

C17.2

C18.1

C18.2

C19.1

C19.2

C20.1

C21.2

C24.2

C25.1

C26

C30.1

C32.1

C32.2

C33.1

C33.2

第一類電信第一類電信第一類電信第一類電信IPA分析分析分析分析結果結果結果結果

優先改善優先改善優先改善優先改善 繼續維持繼續維持繼續維持繼續維持

10

3.5

3.7

3.9

4.1

4.3

4.5

4.7

4.9

3.53.53.53.5 3.63.63.63.6 3.73.73.73.7 3.83.83.83.8 3.93.93.93.9 4444 4.14.14.14.1 4.24.24.24.2 4.34.34.34.3 4.44.44.44.4 4.54.54.54.5 4.64.64.64.6

安安安安

全全全全

控控控控

制制制制

措措措措

施施施施

認認認認

知知知知

重重重重

要要要要

程程程程

度度度度

安全控制措施實際實施程度安全控制措施實際實施程度安全控制措施實際實施程度安全控制措施實際實施程度

C1

C2

C4

C5

C11.1

C11.2

C16.1

C16.2

C17.1

C17.2

C18.1

C18.2

C19.1

C19.2

C20.1

C21.2

C24.2

C25.1

C26

C30.1

C32.1

C32.2

C33.1

C33.2

第二類電信第二類電信第二類電信第二類電信IPA分析分析分析分析結果結果結果結果

11

優先改善優先改善優先改善優先改善 繼續維持繼續維持繼續維持繼續維持

3.5

3.7

3.9

4.1

4.3

4.5

4.7

4.9

3.53.53.53.5 3.63.63.63.6 3.73.73.73.7 3.83.83.83.8 3.93.93.93.9 4444 4.14.14.14.1 4.24.24.24.2 4.34.34.34.3 4.44.44.44.4 4.54.54.54.5 4.64.64.64.6

安安安安

全全全全

控控控控

制制制制

措措措措

施施施施

認認認認

知知知知

重重重重

要要要要

程程程程

度度度度

安全控制措施實際實施程度安全控制措施實際實施程度安全控制措施實際實施程度安全控制措施實際實施程度

C1

C2

C4

C5

C11.1

C11.2

C16.1

C16.2

C17.1

C17.2

C18.1

C18.2

C19.1

C19.2

C20.1

C21.2

C24.2

C25.1

C26

C30.1

C32.1

C32.2

C33.1

C33.2

傳播事業傳播事業傳播事業傳播事業IPA分析分析分析分析結果結果結果結果

12

優先改善優先改善優先改善優先改善 繼續維持繼續維持繼續維持繼續維持

新木桶理論新木桶理論新木桶理論新木桶理論____資訊安全資訊安全資訊安全資訊安全

13資訊安全管理系統資訊安全管理系統資訊安全管理系統資訊安全管理系統

資訊安全領域資訊安全領域資訊安全領域資訊安全領域資安事故通報應變機制資安事故通報應變機制資安事故通報應變機制資安事故通報應變機制

資安管理認資安管理認資安管理認資安管理認、、、、驗證機制驗證機制驗證機制驗證機制

• 本手冊依電信事業資通安全管理作業要點第二點規本手冊依電信事業資通安全管理作業要點第二點規本手冊依電信事業資通安全管理作業要點第二點規本手冊依電信事業資通安全管理作業要點第二點規

定訂定之定訂定之定訂定之定訂定之，，，，主要為提供產業規範主要為提供產業規範主要為提供產業規範主要為提供產業規範，，，，輔導目的事業逐輔導目的事業逐輔導目的事業逐輔導目的事業逐漸落實資通安全管理機制漸落實資通安全管理機制漸落實資通安全管理機制漸落實資通安全管理機制。。。。

• 基於保障資通安全及維護使用者權益原則基於保障資通安全及維護使用者權益原則基於保障資通安全及維護使用者權益原則基於保障資通安全及維護使用者權益原則，，，，確保通確保通確保通確保通

訊訊訊訊、、、、傳播傳播傳播傳播系統設備系統設備系統設備系統設備、、、、資料及網路安全資料及網路安全資料及網路安全資料及網路安全，，，，本手冊包含本手冊包含本手冊包含本手冊包含下列要項下列要項下列要項下列要項：：：：

– （（（（一一一一））））資通安全管理標準資通安全管理標準資通安全管理標準資通安全管理標準。。。。

– （（（（二二二二））））資通安全等級評估資通安全等級評估資通安全等級評估資通安全等級評估。。。。

– （（（（三三三三））））資通安全管理機制及教育訓練資通安全管理機制及教育訓練資通安全管理機制及教育訓練資通安全管理機制及教育訓練。。。。

– （（（（四四四四））））資通安全應變通報資通安全應變通報資通安全應變通報資通安全應變通報。。。。

– （（（（五五五五））））資通安全實施評鑑資通安全實施評鑑資通安全實施評鑑資通安全實施評鑑。。。。

– （（（（六六六六））））年度提報資料要求年度提報資料要求年度提報資料要求年度提報資料要求。。。。

資通安全手冊編撰資通安全手冊編撰資通安全手冊編撰資通安全手冊編撰依據依據依據依據與目的與目的與目的與目的

14

• 通訊傳播事業實施資通安全管理通訊傳播事業實施資通安全管理通訊傳播事業實施資通安全管理通訊傳播事業實施資通安全管理，，，，建議參照下列建議參照下列建議參照下列建議參照下列CNS國家標準或是國家標準或是國家標準或是國家標準或是ISO/IEC 27000系列國際標準系列國際標準系列國際標準系列國際標準，，，，建立目的事業之資通安全管理機制建立目的事業之資通安全管理機制建立目的事業之資通安全管理機制建立目的事業之資通安全管理機制：：：：

– 1、、、、資訊安全管理系統要求事項資訊安全管理系統要求事項資訊安全管理系統要求事項資訊安全管理系統要求事項：：：：CNS/ISO/IEC 27001– 2、、、、資訊安全管理作業規範資訊安全管理作業規範資訊安全管理作業規範資訊安全管理作業規範：：：：CNS/ISO/IEC 27002– 3、、、、資訊安全管理系統實施指引資訊安全管理系統實施指引資訊安全管理系統實施指引資訊安全管理系統實施指引：：：：ISO/IEC 27003– 4、、、、資訊安全管理測量方法資訊安全管理測量方法資訊安全管理測量方法資訊安全管理測量方法：：：： ISO/IEC 27004– 5、、、、資訊安全管理風險管理資訊安全管理風險管理資訊安全管理風險管理資訊安全管理風險管理：：：：CNS/ISO/IEC 27005– 6、、、、電信事業資訊安全管理實作指引電信事業資訊安全管理實作指引電信事業資訊安全管理實作指引電信事業資訊安全管理實作指引：：：：ISO/IEC 27011

資通安全管理標準資通安全管理標準資通安全管理標準資通安全管理標準

15

ISO/IEC 27000系列標準之關聯系列標準之關聯系列標準之關聯系列標準之關聯

ISO/IEC 27002/27011(電信業電信業電信業電信業））））控制措施說明控制措施說明控制措施說明控制措施說明

11安全領域安全領域安全領域安全領域39控制目標控制目標控制目標控制目標133控制措施控制措施控制措施控制措施

規劃規劃規劃規劃

建立建立建立建立ISMS

執行執行執行執行

實施與操實施與操實施與操實施與操

作作作作ISMS

檢查檢查檢查檢查

監控與審監控與審監控與審監控與審

查查查查ISMS

行動行動行動行動

維持與改維持與改維持與改維持與改

進進進進ISMS

16

ISO/IEC 27003實作指引實作指引實作指引實作指引

ISO/IEC 27005風險評鑑風險評鑑風險評鑑風險評鑑

ISO/IEC 27004安全測量安全測量安全測量安全測量

ISO/IEC 27001

ISO/IEC 27001要求事項要求事項要求事項要求事項 PDCA循環循環循環循環附錄附錄附錄附錄A

11安全領域安全領域安全領域安全領域39控制目標控制目標控制目標控制目標133控制控制控制控制措施措施措施措施

規劃4.2.1

建立ISMS

執行4.2.2

實施與操

作ISMS

檢查4.2.3

監控與審

查ISMS

行動4.2.4

維持與改

進ISMS

Plan

Do5管理階層責任管理階層責任管理階層責任管理階層責任

5.1管理階層承諾管理階層承諾管理階層承諾管理階層承諾5.2資源管理資源管理資源管理資源管理

Check6 ISMS內部稽核內部稽核內部稽核內部稽核

7 ISMS之管理階層審查之管理階層審查之管理階層審查之管理階層審查

Act8 ISMS改進改進改進改進8.1 續改進續改進續改進續改進

8.2預防措施預防措施預防措施預防措施

17

ISO/IEC 27002 作業規範安全領域作業規範安全領域作業規範安全領域作業規範安全領域11個安全控制領域個安全控制領域個安全控制領域個安全控制領域、、、、39個控制目標及個控制目標及個控制目標及個控制目標及133個控制措施個控制措施個控制措施個控制措施

18

ISO/IEC 27003 實作指引階段劃分實作指引階段劃分實作指引階段劃分實作指引階段劃分

設計設計設計設計ISMSISMS專案實施計畫專案實施計畫專案實施計畫專案實施計畫

進行風險評鑑與風險處理規劃進行風險評鑑與風險處理規劃進行風險評鑑與風險處理規劃進行風險評鑑與風險處理規劃

管理者承諾備忘錄管理者承諾備忘錄管理者承諾備忘錄管理者承諾備忘錄 風險處理計畫風險處理計畫風險處理計畫風險處理計畫 選擇安全控制措施選擇安全控制措施選擇安全控制措施選擇安全控制措施

進行組織分析進行組織分析進行組織分析進行組織分析

資訊安全需求資訊安全需求資訊安全需求資訊安全需求 資產評鑑資產評鑑資產評鑑資產評鑑 資訊安全評鑑結果資訊安全評鑑結果資訊安全評鑑結果資訊安全評鑑結果

定義定義定義定義ISMS的範圍與政策的範圍與政策的範圍與政策的範圍與政策ISMS範圍與邊界範圍與邊界範圍與邊界範圍與邊界 ISMS 政策政策政策政策

獲得管理階層的承諾獲得管理階層的承諾獲得管理階層的承諾獲得管理階層的承諾，，，，啟動啟動啟動啟動ISMS專案專案專案專案建立建立建立建立ISMS

實施與實施與實施與實施與

操作操作操作操作ISMS

監控與監控與監控與監控與

審查審查審查審查ISMS

維持與維持與維持與維持與

改進改進改進改進ISMS

ISO/IEC 27003支援支援支援支援ISO/IEC 27001之之之之Plan:如何建立如何建立如何建立如何建立ISMS

19

風險評鑑風險評鑑風險評鑑風險評鑑風險分析風險分析風險分析風險分析

風險溝通

風險溝通

風險溝通

風險溝通

風險監控與審查

風險監控與審查

風險監控與審查

風險監控與審查決策點決策點決策點決策點1

評鑑是否合意評鑑是否合意評鑑是否合意評鑑是否合意

決策點決策點決策點決策點2處理是否合意處理是否合意處理是否合意處理是否合意

否否否否

否否否否

是是是是

是是是是

風險接受風險接受風險接受風險接受

風險處理風險處理風險處理風險處理

風險評估風險評估風險評估風險評估

風險預估風險預估風險預估風險預估

風險識別風險識別風險識別風險識別

建立全景建立全景建立全景建立全景

資料來源資料來源資料來源資料來源：：：：CNS 27005

ISO/IEC 27005資訊安全風險管理過程資訊安全風險管理過程資訊安全風險管理過程資訊安全風險管理過程

20.

風險安全元件關係圖風險安全元件關係圖風險安全元件關係圖風險安全元件關係圖

資產

風險風險風險風險(risk)(risk)(risk)(risk)：：：：已知威脅已知威脅已知威脅已知威脅利用資產的利用資產的利用資產的利用資產的脆弱性脆弱性脆弱性脆弱性，，，，造成造成造成造成損害的程度損害的程度損害的程度損害的程度及及及及可能性可能性可能性可能性

21.

資料來源資料來源資料來源資料來源：：：：CNS 14929-1

風險管理要素關聯圖風險管理要素關聯圖風險管理要素關聯圖風險管理要素關聯圖

風險風險風險風險

脆弱性脆弱性脆弱性脆弱性威脅威脅威脅威脅

防護措施防護措施防護措施防護措施

((((控制措施控制措施控制措施控制措施)))) 資產資產資產資產

價值價值價值價值防護需求防護需求防護需求防護需求

利用利用利用利用

暴露暴露暴露暴露

有有有有

降低降低降低降低

防止防止防止防止

被滿足被滿足被滿足被滿足指示指示指示指示

增加增加增加增加增加增加增加增加

增加增加增加增加

22.

資料來源資料來源資料來源資料來源：：：：CNS 14929-1

企業風險分析策略選項企業風險分析策略選項企業風險分析策略選項企業風險分析策略選項

23資料來源資料來源資料來源資料來源：：：：CNS14929-3

企業企業企業企業風險分析策略選項風險分析策略選項風險分析策略選項風險分析策略選項摘要說明摘要說明摘要說明摘要說明

24

• 對全部資訊系統均使用相同的基準作法對全部資訊系統均使用相同的基準作法對全部資訊系統均使用相同的基準作法對全部資訊系統均使用相同的基準作法，，，，不問系統的風險如何不問系統的風險如何不問系統的風險如何不問系統的風險如何，，，，且同意安全之等級且同意安全之等級且同意安全之等級且同意安全之等級為永遠適當的為永遠適當的為永遠適當的為永遠適當的

基準作法基準作法基準作法基準作法

• 使用一非正式的作法以履行風險分析使用一非正式的作法以履行風險分析使用一非正式的作法以履行風險分析使用一非正式的作法以履行風險分析，，，，且且且且專注於被察覺到已顯露出高風險的資訊系專注於被察覺到已顯露出高風險的資訊系專注於被察覺到已顯露出高風險的資訊系專注於被察覺到已顯露出高風險的資訊系統之上統之上統之上統之上

非正式作法非正式作法非正式作法非正式作法

• 對全部資訊系統對全部資訊系統對全部資訊系統對全部資訊系統，，，，均使用正式作法均使用正式作法均使用正式作法均使用正式作法，，，，進行進行進行進行詳細風險分析詳細風險分析詳細風險分析詳細風險分析

詳細的風險詳細的風險詳細的風險詳細的風險

分析分析分析分析

• 實施實施實施實施「「「「高階高階高階高階」」」」風險分析以識別出各種已顯風險分析以識別出各種已顯風險分析以識別出各種已顯風險分析以識別出各種已顯露出高風險且對營運具關鍵性的資訊系露出高風險且對營運具關鍵性的資訊系露出高風險且對營運具關鍵性的資訊系露出高風險且對營運具關鍵性的資訊系統統統統，，，，針對這些高風險系統進行詳細的風險針對這些高風險系統進行詳細的風險針對這些高風險系統進行詳細的風險針對這些高風險系統進行詳細的風險分析分析分析分析，，，，而將基準安全作法應用至其他的資而將基準安全作法應用至其他的資而將基準安全作法應用至其他的資而將基準安全作法應用至其他的資訊系統訊系統訊系統訊系統

組合式作法組合式作法組合式作法組合式作法

ISMS ISMS ISMS ISMS 與資訊安全風險管理過程之校準與資訊安全風險管理過程之校準與資訊安全風險管理過程之校準與資訊安全風險管理過程之校準(Alignment)(Alignment)(Alignment)(Alignment)

25

ISMS過程過程過程過程 資訊安全風險管理過程資訊安全風險管理過程資訊安全風險管理過程資訊安全風險管理過程

規劃規劃規劃規劃

建立全景建立全景建立全景建立全景

風險評鑑風險評鑑風險評鑑風險評鑑

發展風險處理計畫發展風險處理計畫發展風險處理計畫發展風險處理計畫

訂定訂定訂定訂定風險接受風險接受風險接受風險接受準則準則準則準則

執行執行執行執行 風險處理計畫之實作風險處理計畫之實作風險處理計畫之實作風險處理計畫之實作

檢查檢查檢查檢查 持續監視與審查風險持續監視與審查風險持續監視與審查風險持續監視與審查風險

行動行動行動行動維持與改善資訊安全維持與改善資訊安全維持與改善資訊安全維持與改善資訊安全風險風險風險風險

管理管理管理管理過程過程過程過程

CNS/ISO/IEC 27005附錄附錄附錄附錄E資訊安全風險評鑑作法資訊安全風險評鑑作法資訊安全風險評鑑作法資訊安全風險評鑑作法

26

• 乃是組織基於各種人力乃是組織基於各種人力乃是組織基於各種人力乃是組織基於各種人力、、、、預算預算預算預算、、、、時間或資源等理由或限制時間或資源等理由或限制時間或資源等理由或限制時間或資源等理由或限制，，，，首先針對其內部所有資訊系統與資訊資產首先針對其內部所有資訊系統與資訊資產首先針對其內部所有資訊系統與資訊資產首先針對其內部所有資訊系統與資訊資產，，，，進行初步的進行初步的進行初步的進行初步的「「「「高階風險評鑑高階風險評鑑高階風險評鑑高階風險評鑑」，」，」，」，找出每個資訊系統在該組織的營運業找出每個資訊系統在該組織的營運業找出每個資訊系統在該組織的營運業找出每個資訊系統在該組織的營運業務價值以及務價值以及務價值以及務價值以及「「「「高階衝擊影響高階衝擊影響高階衝擊影響高階衝擊影響」」」」開始開始開始開始，，，，而不用從資產價值而不用從資產價值而不用從資產價值而不用從資產價值、、、、威脅威脅威脅威脅、、、、脆弱性與後果等系統化的詳細風險評鑑開始脆弱性與後果等系統化的詳細風險評鑑開始脆弱性與後果等系統化的詳細風險評鑑開始脆弱性與後果等系統化的詳細風險評鑑開始

高階風險評鑑作法高階風險評鑑作法高階風險評鑑作法高階風險評鑑作法(High-Level Risk Assessment)

• 組織針對其內部所有資訊系統與資訊資產組織針對其內部所有資訊系統與資訊資產組織針對其內部所有資訊系統與資訊資產組織針對其內部所有資訊系統與資訊資產，，，，逐一詳查風險逐一詳查風險逐一詳查風險逐一詳查風險，，，，包含深入的識別資產與價值包含深入的識別資產與價值包含深入的識別資產與價值包含深入的識別資產與價值、、、、對資產威脅與脆弱性的評鑑對資產威脅與脆弱性的評鑑對資產威脅與脆弱性的評鑑對資產威脅與脆弱性的評鑑，，，，據以分析風險所造成的機密性據以分析風險所造成的機密性據以分析風險所造成的機密性據以分析風險所造成的機密性、、、、完整性完整性完整性完整性、、、、可用性衝擊及其可用性衝擊及其可用性衝擊及其可用性衝擊及其可能性可能性可能性可能性，，，，然後針對這些分析結果然後針對這些分析結果然後針對這些分析結果然後針對這些分析結果，，，，評估與識別符合該組織評估與識別符合該組織評估與識別符合該組織評估與識別符合該組織安全等級的防護控制措施安全等級的防護控制措施安全等級的防護控制措施安全等級的防護控制措施

詳細風險評鑑作法詳細風險評鑑作法詳細風險評鑑作法詳細風險評鑑作法(Detailed Risk Assessment Approach)

資訊系統分類分級與鑑別機制處理程序資訊系統分類分級與鑑別機制處理程序資訊系統分類分級與鑑別機制處理程序資訊系統分類分級與鑑別機制處理程序

27

�：：：：資訊類別即為施政分類資訊類別即為施政分類資訊類別即為施政分類資訊類別即為施政分類，，，，定義詳定義詳定義詳定義詳見行政院秘書處彙編見行政院秘書處彙編見行政院秘書處彙編見行政院秘書處彙編「「「「行政院施政分行政院施政分行政院施政分行政院施政分類架構類架構類架構類架構」，」，」，」，資訊系統依其處理資料之資訊系統依其處理資料之資訊系統依其處理資料之資訊系統依其處理資料之性質性質性質性質，，，，可包含多項資訊類別可包含多項資訊類別可包含多項資訊類別可包含多項資訊類別

�：：：：由業務承辦人依資料保護由業務承辦人依資料保護由業務承辦人依資料保護由業務承辦人依資料保護、、、、業務業務業務業務運作運作運作運作、、、、法律規章遵循法律規章遵循法律規章遵循法律規章遵循、、、、人員傷亡人員傷亡人員傷亡人員傷亡、、、、組組組組織信譽及其他等六大構面織信譽及其他等六大構面織信譽及其他等六大構面織信譽及其他等六大構面，，，，分別評估分別評估分別評估分別評估對各資訊類別之影響衝擊對各資訊類別之影響衝擊對各資訊類別之影響衝擊對各資訊類別之影響衝擊，，，，並據以設並據以設並據以設並據以設定影響構面等級定影響構面等級定影響構面等級定影響構面等級

�：：：：由承辦單位主管依據資訊系統由承辦單位主管依據資訊系統由承辦單位主管依據資訊系統由承辦單位主管依據資訊系統之業務屬性之業務屬性之業務屬性之業務屬性，，，，檢視業務承辦人所檢視業務承辦人所檢視業務承辦人所檢視業務承辦人所設定安全等級之合理性設定安全等級之合理性設定安全等級之合理性設定安全等級之合理性

�：：：：資訊系統安全等級經承辦單位資訊系統安全等級經承辦單位資訊系統安全等級經承辦單位資訊系統安全等級經承辦單位主管主管主管主管、、、、資訊主管確認後資訊主管確認後資訊主管確認後資訊主管確認後，，，，最後由最後由最後由最後由資訊安全長核定資訊安全長核定資訊安全長核定資訊安全長核定

98年1月9日行政院核定「國家資通訊安全發展方案（98年至101年）」

行動方案行動方案行動方案行動方案7－－－－推動資訊與資訊系統分類分級推動資訊與資訊系統分類分級推動資訊與資訊系統分類分級推動資訊與資訊系統分類分級

ISO/IEC 27005 風險評鑑風險評鑑風險評鑑風險評鑑方法方法方法方法

28

風險評鑑所需之元素風險評鑑所需之元素風險評鑑所需之元素風險評鑑所需之元素

已知資產已知資產已知資產已知資產

已知威脅已知威脅已知威脅已知威脅

已知脆弱性已知脆弱性已知脆弱性已知脆弱性

已知已知已知已知衝擊衝擊衝擊衝擊之結果之結果之結果之結果

控制措施之有效性控制措施之有效性控制措施之有效性控制措施之有效性

發生的實際可能性發生的實際可能性發生的實際可能性發生的實際可能性

以下元素如何可以精確、客觀的度量？

29.

資訊資產資訊資產資訊資產資訊資產 VS VS VS VS 個人資料檔案個人資料檔案個人資料檔案個人資料檔案

• 資訊資產資訊資產資訊資產資訊資產：：：：

–C機密性機密性機密性機密性、、、、I完整性完整性完整性完整性、、、、 A可用性可用性可用性可用性

• 個資檔案個資檔案個資檔案個資檔案：：：：

–可識別性可識別性可識別性可識別性、、、、個資數量個資數量個資數量個資數量

–C機密性機密性機密性機密性、、、、I完整性完整性完整性完整性、、、、 A可用性可用性可用性可用性

30.

個人資料生命週期與個人資料生命週期與個人資料生命週期與個人資料生命週期與ISMS之關係之關係之關係之關係

蒐集

處理利用

以任何方式取得以任何方式取得以任何方式取得以任何方式取得現存自然人現存自然人現存自然人現存自然人之資料之資料之資料之資料

指為建立或利用個人資料檔案所指為建立或利用個人資料檔案所指為建立或利用個人資料檔案所指為建立或利用個人資料檔案所為資料之記錄為資料之記錄為資料之記錄為資料之記錄、、、、輸入輸入輸入輸入、、、、儲存儲存儲存儲存、、、、編編編編輯輯輯輯、、、、更正更正更正更正、、、、複製複製複製複製、、、、檢索檢索檢索檢索、、、、刪除刪除刪除刪除、、、、

輸出輸出輸出輸出、、、、連結或內部連結或內部連結或內部連結或內部傳送傳送傳送傳送

將蒐集之個人將蒐集之個人將蒐集之個人將蒐集之個人資料為處理以資料為處理以資料為處理以資料為處理以外之外之外之外之使用使用使用使用

常見之常見之常見之常見之ISMS驗證範圍驗證範圍驗證範圍驗證範圍資訊資訊資訊資訊中心中心中心中心、、、、資訊系統資訊系統資訊系統資訊系統、、、、資訊機房資訊機房資訊機房資訊機房

機關內應該納編哪些人共同參與機關內應該納編哪些人共同參與機關內應該納編哪些人共同參與機關內應該納編哪些人共同參與？？？？向外尋求協助向外尋求協助向外尋求協助向外尋求協助，，，，又該找哪些人幫忙又該找哪些人幫忙又該找哪些人幫忙又該找哪些人幫忙？？？？

31.

個資保護範圍如何及於全機關個資保護範圍如何及於全機關個資保護範圍如何及於全機關個資保護範圍如何及於全機關？？？？

32.

個資盤查不仔細個資盤查不仔細個資盤查不仔細個資盤查不仔細 保護作為白費力保護作為白費力保護作為白費力保護作為白費力

資訊流通資訊流通資訊流通資訊流通

A機關機關機關機關

B機關機關機關機關

機關內個資活動範圍機關內個資活動範圍機關內個資活動範圍機關內個資活動範圍

資訊系統觀點資訊系統觀點資訊系統觀點資訊系統觀點

部門觀點部門觀點部門觀點部門觀點

外部利用外部利用外部利用外部利用

常見之ISMS

驗證範圍

33.

流程盤查只看到正常流程盤查只看到正常流程盤查只看到正常流程盤查只看到正常，，，，但找不到例外但找不到例外但找不到例外但找不到例外？？？？

遺憾的是遺憾的是遺憾的是遺憾的是，，，，會惹禍的卻常常都是例外會惹禍的卻常常都是例外會惹禍的卻常常都是例外會惹禍的卻常常都是例外！！！！

難以想像的個資數量難以想像的個資數量難以想像的個資數量難以想像的個資數量！！！！

檢查

人數

檢查檔

案總數

檢出個資

檔案總數

資產等級（依據個人識別資料類別及數量區分）

極高 高 中 低

152 1,956,612 569,727 37,870 95,890 91,899 344,068

以下數據是國內某大學自動化檢測之實際案例以下數據是國內某大學自動化檢測之實際案例以下數據是國內某大學自動化檢測之實際案例以下數據是國內某大學自動化檢測之實際案例

34.

個資自動化盤查工具個資自動化盤查工具個資自動化盤查工具個資自動化盤查工具

識別識別識別識別 中文姓名中文姓名中文姓名中文姓名 身分證號身分證號身分證號身分證號 電話電話電話電話 行動電話行動電話行動電話行動電話 電子郵件電子郵件電子郵件電子郵件 信用卡號信用卡號信用卡號信用卡號 中文地址中文地址中文地址中文地址

Word

Excel

Power Point

TXT

CSV

PDF

RAR

ZIP

HTML

XML

Open office

35.

ISO/IEC 27011

36

通訊傳播 通訊傳播 電信事業 傳播事業 電信事業 傳播事業 通訊傳播ISO

27002

C級 B級 A級(增項) A級(合計) 個資保護ISMS標準

安全領域 8 11 9 8 11 11 4 11

安全目標 19 39 17 13 40 40 14 39

控制措施 29 131 33 23 142 139 37 133

實作指引 49 277 55 41 307 299 90 803

補充說明 25 19

新增指引 30 22

0100200300400500600700800900

ISO/IEC 27004安全測量之過安全測量之過安全測量之過安全測量之過程程程程

持續改善資訊安全測量計畫持續改善資訊安全測量計畫持續改善資訊安全測量計畫持續改善資訊安全測量計畫

使用測量成果去識別需要改進的使用測量成果去識別需要改進的使用測量成果去識別需要改進的使用測量成果去識別需要改進的ISMS施行施行施行施行包括範圍包括範圍包括範圍包括範圍、、、、政策政策政策政策、、、、目標目標目標目標、、、、控制措施控制措施控制措施控制措施、、、、流程及程序等流程及程序等流程及程序等流程及程序等

利用測量成果作為利用測量成果作為利用測量成果作為利用測量成果作為ISMS相關決策之參考相關決策之參考相關決策之參考相關決策之參考

通報測量結果予相關人員通報測量結果予相關人員通報測量結果予相關人員通報測量結果予相關人員

發展測量方法發展測量方法發展測量方法發展測量方法(measurement)

收集與分析資料收集與分析資料收集與分析資料收集與分析資料

實施與操作資訊安全測量計畫實施與操作資訊安全測量計畫實施與操作資訊安全測量計畫實施與操作資訊安全測量計畫

發展安全控制措施發展安全控制措施發展安全控制措施發展安全控制措施(measure)

建立建立建立建立ISMS

實施與實施與實施與實施與

操作操作操作操作ISMS

監控與監控與監控與監控與

審查審查審查審查ISMS

維持與維持與維持與維持與

改進改進改進改進ISMS

ISO/IEC 27004支援支援支援支援ISO/IEC 27001之之之之D、、、、C、、、、A確保控制措施之有效性確保控制措施之有效性確保控制措施之有效性確保控制措施之有效性

37

資訊安全管理程序資訊安全管理程序資訊安全管理程序資訊安全管理程序

控制目標控制目標控制目標控制目標

控制措施控制措施控制措施控制措施

實施實施實施實施過程與程序過程與程序過程與程序過程與程序

測量結果測量結果測量結果測量結果

資訊需求資訊需求資訊需求資訊需求

有效性有效性有效性有效性

屬性屬性屬性屬性

屬性屬性屬性屬性

屬性屬性屬性屬性

測量目標測量目標測量目標測量目標

指標指標指標指標

基礎測量基礎測量基礎測量基礎測量

延伸測量延伸測量延伸測量延伸測量

測量測量測量測量

測量功能測量功能測量功能測量功能

分析模式分析模式分析模式分析模式

測量方法測量方法測量方法測量方法

判斷判斷判斷判斷 準則準則準則準則

ISO/IEC 27004資訊安全測量模型資訊安全測量模型資訊安全測量模型資訊安全測量模型

38

Can not measure, Can not measure, Can not measure, Can not measure,

will not control.will not control.will not control.will not control.

39.

主辦單位主辦單位主辦單位主辦單位：：：：

國家通訊傳播委員會國家通訊傳播委員會國家通訊傳播委員會國家通訊傳播委員會

電信事業資通安全管理手冊電信事業資通安全管理手冊電信事業資通安全管理手冊電信事業資通安全管理手冊

傳播事業資通安全管理手冊傳播事業資通安全管理手冊傳播事業資通安全管理手冊傳播事業資通安全管理手冊

40

• 實施高階風險評鑑作法（High-Level Risk Assessment），評估資通安全等級，以定義資通安全範圍與邊界，確定資通安全需求水準，作為後續訂定風險處理優先順序之參考：

定義資通安全範圍與邊界

• 依據執照核發之營業項目範圍內，調查電信事業營運所需之資產群組，區分為以下三大類，分別進行資產群組之調查(若組織規模龐大者，得區分為不同之事業體或部門)。

進行資產調查

• 依據每一資產群組失效後之「衝擊影響程度」，評估資通安全等級，決定資通安全管理機制改善之優先順序

評估資通安全等級

資通安全等級評估資通安全等級評估資通安全等級評估資通安全等級評估

41

• 指電信事業之核心網路設備（交換、傳輸、網管等）、接取網

路設備、管線基礎設施等。

關鍵業務類資產：

• 指第二類電信轉售服務業務及支援電信事業營運所需之資訊處理設施，但非屬關鍵業務者，例如：客服管理系統、帳務管理

系統，或是涉及客戶個人資料蒐集、處理及利用者。

支援業務類資產：

• 指電信事業內部輔助單位，例如：人事、行政、總務等之業務

資產。

行政業務類資產：

業務類別區分業務類別區分業務類別區分業務類別區分

42

電信事業電信事業電信事業電信事業----業務類別區分業務類別區分業務類別區分業務類別區分

43

業務類別 說明

關鍵業務電信事業之核心網路設備（交換、傳輸、網管等）、

接取網路設備、管線基礎設施等。

支援業務

指第二類電信轉售服務業務及支援電信事業營運所

需之資訊處理設施，但非屬關鍵業務者，例如：客

服管理系統、帳務管理系統，或是涉及客戶個人資

料蒐集、處理及利用者。

行政業務指電信事業內部輔助單位之業務項目，例如：人事、

行政、總務等。

傳播事業傳播事業傳播事業傳播事業----業務類別區分業務類別區分業務類別區分業務類別區分

44

業務類別 說明

關鍵業務

a.無線廣播或無線電視事業之發射設備、傳輸鏈路、主控臺等。

b.有線廣播電視事業之信號源接收設備、頭端機房、分

配線網路等。

c.衛星廣播電視事業之信號源（主控臺）、鎖碼系統、

傳送系統等。

支援義務

指廣播電視節目供應業務及支援傳播事業營運所需之資

訊處理設施，但非屬關鍵業務者，例如：客服管理系統、

帳務管理系統，或是涉及客戶個人資料蒐集、處理及利

用者。

行政業務指傳播事業內部輔助單位之業務項目，例如：人事、行

政、總務等

資通安全等級自我評估彙整表資通安全等級自我評估彙整表資通安全等級自我評估彙整表資通安全等級自我評估彙整表

45

評定評定評定評定影響構面影響構面影響構面影響構面之之之之資通安全等級資通安全等級資通安全等級資通安全等級

46

A B C

1.1.1.1.影響影響影響影響

業務業務業務業務

運作運作運作運作

� 系統故障對社

會秩序、民生

體系運作將造

成非常嚴重影

響，甚至危及

國家安全

� 系統故障將造

成關鍵業務執

行效能非常嚴

重降低，甚至

業務停頓

� 系統故障對社

會秩序、民生

體系運作將造

成嚴重影響

� 系統故障將造

成關鍵業務執

行效能嚴重降

低

� 系統故障對

社會秩序、

民生體系運

作不致造成

影響或僅有

輕微影響

安全等級安全等級安全等級安全等級

影響構面影響構面影響構面影響構面

評定評定評定評定影響構面影響構面影響構面影響構面之之之之資通安全等級資通安全等級資通安全等級資通安全等級

47

A B C

2.2.2.2.資料資料資料資料

保護受保護受保護受保護受

到損害到損害到損害到損害

� 機密性資料

� 資料若外洩或

遭竄改，將導

致個人權益非

常嚴重受損、

或造成極大規

模之個人權益

嚴重受損

� 敏感性資料

� 資料若外洩或

遭竄改，將導

致個人權益嚴

重受損之資料

� 一般性資料

� 資料若外洩或

遭竄改，不致

影響個人權益

或僅導致個人

權益輕微受損

安全等級安全等級安全等級安全等級

影響構面影響構面影響構面影響構面

評定評定評定評定影響構面影響構面影響構面影響構面之之之之資通安全等級資通安全等級資通安全等級資通安全等級

48

A B C

3.3.3.3.法律法律法律法律

規章之規章之規章之規章之

遵循遵循遵循遵循

系統運作、資

料保護、資訊

資產使用等，

若未依循相關

規範辦理，將

導致機關從根

本上違反法律，

並導致嚴重不

良後果，如：

損害賠償、罰

金或是刑責

系統運作、資

料保護、資訊

資產使用等，

若未遵循相關

規範辦理，將

導致機關違反

法規命令，並

伴隨輕微後果，

如：行政處分

或罰鍰等

系統運作、

資料保護、

資訊資產使

用等，若未

遵循相關規

範辦理，不

會導致機關

違反法規命

安全等級安全等級安全等級安全等級

影響構面影響構面影響構面影響構面

AAAA級者級者級者級者，，，，視需要進行詳細風險評鑑視需要進行詳細風險評鑑視需要進行詳細風險評鑑視需要進行詳細風險評鑑

49

訂定資通安全管理實施計畫訂定資通安全管理實施計畫訂定資通安全管理實施計畫訂定資通安全管理實施計畫

50

設計設計設計設計ISMSISMS專案實施計畫專案實施計畫專案實施計畫專案實施計畫

進進進進行風險評鑑與風險處理規劃行風險評鑑與風險處理規劃行風險評鑑與風險處理規劃行風險評鑑與風險處理規劃管理者承諾備忘錄管理者承諾備忘錄管理者承諾備忘錄管理者承諾備忘錄 風險處理計畫風險處理計畫風險處理計畫風險處理計畫 選擇安全控制措施選擇安全控制措施選擇安全控制措施選擇安全控制措施

進行組織分析進行組織分析進行組織分析進行組織分析資訊安全需求資訊安全需求資訊安全需求資訊安全需求 資產評鑑資產評鑑資產評鑑資產評鑑 資訊安全評鑑結果資訊安全評鑑結果資訊安全評鑑結果資訊安全評鑑結果

定義定義定義定義ISMS的範圍與政策的範圍與政策的範圍與政策的範圍與政策ISMS範圍與邊界範圍與邊界範圍與邊界範圍與邊界 ISMS 政策政策政策政策

獲得管理階層的承諾獲得管理階層的承諾獲得管理階層的承諾獲得管理階層的承諾，，，，啟動啟動啟動啟動ISMS專案專案專案專案

電信事業資通安全管理電信事業資通安全管理電信事業資通安全管理電信事業資通安全管理實施計畫執行工作事項表實施計畫執行工作事項表實施計畫執行工作事項表實施計畫執行工作事項表

51

作業名稱

內容

等級

資訊處理設施

防護縱深推動方式 稽核方式

資安教育訓

練時數

A

宜建置至少包括防毒閘道

設備、網路型防火牆、入

侵偵測防禦系統、網路型

垃圾郵件過濾設備、網頁

過濾管控設備、乙太網路

交換器、應用軟體控管設

備、網頁應用防火牆等取

得本會資通設備安全審驗

證明之進階型設備。

以通過資訊

安全管理系

統第三方驗

證為目標

每年至少

執行一次

內部稽核

主管、資通

訊人員、業

務人員、一

般人員，每

年至少達到3、12、6、3小時

52

作業名稱

內容

等級

資訊處理設施

防護縱深推動方式 稽核方式

資安教育訓

練時數

B

宜建置至少包括防毒閘道

設備、網路型防火牆、入

侵偵測防禦系統、網路型

垃圾郵件過濾設備等取得

本會資通設備安全審驗證

明之基礎型設備。

自行規劃並

成立資通安

全管理推動

小組

每年至少

執行一次

內部稽核

主管、資通

訊人員、業

務人員、一

般人員，每

年至少達到3、12、6、3小時

電信事業資通安全管理電信事業資通安全管理電信事業資通安全管理電信事業資通安全管理實施計畫執行工作事項表實施計畫執行工作事項表實施計畫執行工作事項表實施計畫執行工作事項表

53

作業名稱

內容

等級

資訊處理設施

防護縱深推動方式 稽核方式

資安教育訓

練時數

C

宜建置至少包括防火牆、

入侵偵測防禦系統、防毒

軟體、垃圾郵件過濾設備

等設備。

加強資通安

全宣導

每年至少

執行一次

內部稽核

主管、資通

訊人員、業

務人員、一

般人員，每

年至少達到3、12、6、3小時

電信事業資通安全管理電信事業資通安全管理電信事業資通安全管理電信事業資通安全管理實施計畫執行工作事項表實施計畫執行工作事項表實施計畫執行工作事項表實施計畫執行工作事項表

電信事業資通安全管理防護縱深檢查表電信事業資通安全管理防護縱深檢查表電信事業資通安全管理防護縱深檢查表電信事業資通安全管理防護縱深檢查表

54

資安設備資通安全等級 檢查結果

A B C 符合 不符合不適用

防毒閘道設備 ◎ ◎

網路型防火牆 ◎ ◎

網路型垃圾郵件過濾設備 ◎ ◎

入侵偵測防禦系統 ◎ ◎ ◎

網頁過濾管控設備 ◎

乙太網路交換器 ◎

應用軟體控管設備 ◎

網頁應用防火牆 ◎

防火牆 ◎

防毒軟體 ◎

垃圾郵件過濾設備 ◎

傳播事業資通安全管理傳播事業資通安全管理傳播事業資通安全管理傳播事業資通安全管理實施計畫執行工作事項表實施計畫執行工作事項表實施計畫執行工作事項表實施計畫執行工作事項表

55

作業名稱

內容

等級

資訊處理設施

防護縱深推動方式 稽核方式

資安教育訓

練時數

A

宜建置至少包括防毒閘道

設備、網路型防火牆、入

侵偵測防禦系統、網路型

垃圾郵件過濾設備等取得

本會資通設備安全審驗證

明之基礎型設備。

以通過資訊

安全管理系

統第三方驗

證為目標

每年至少

執行一次

內部稽核

主管、資通

訊人員、業

務人員、一

般人員，每

年至少達到3、12、6、3小時

56

作業名稱

內容

等級

資訊處理設施

防護縱深推動方式 稽核方式

資安教育訓

練時數

B

宜建置至少包括防火牆、

入侵偵測防禦系統、防毒

軟體、垃圾郵件過濾設備

等設備。

自行規劃並

成立資通安

全管理推動

小組

每年至少

執行一次

內部稽核

主管、資通

訊人員、業

務人員、一

般人員，每

年至少達到3、12、6、3小時

傳播傳播傳播傳播事業資通安全管理事業資通安全管理事業資通安全管理事業資通安全管理實施計畫執行工作事項表實施計畫執行工作事項表實施計畫執行工作事項表實施計畫執行工作事項表

57

作業名稱

內容

等級

資訊處理設施

防護縱深推動方式 稽核方式

資安教育訓

練時數

C

宜建置至少包括防火牆、

入侵偵測防禦系統、防毒

軟體、垃圾郵件過濾設備

等設備。

加強資通安

全宣導

每年至少

執行一次

內部稽核

主管、資通

訊人員、業

務人員、一

般人員，每

年至少達到3、12、6、3小時

事業資通安全管理事業資通安全管理事業資通安全管理事業資通安全管理實施計畫執行工作事項表實施計畫執行工作事項表實施計畫執行工作事項表實施計畫執行工作事項表

傳播事業資通安全管理防護縱深檢查表傳播事業資通安全管理防護縱深檢查表傳播事業資通安全管理防護縱深檢查表傳播事業資通安全管理防護縱深檢查表

58

傳播事業資通安全管理防護縱傳播事業資通安全管理防護縱傳播事業資通安全管理防護縱傳播事業資通安全管理防護縱深深深深檢檢檢檢查表查表查表查表

資安設備資通安全等級 檢查結果

A B C 符合 不符合 不適用

防毒閘道設備 ◎

網路型防火牆 ◎

網路型垃圾郵件過濾設備 ◎

入侵偵測防禦系統 ◎ ◎ ◎

防火牆 ◎ ◎

防毒軟體 ◎ ◎

垃圾郵件過濾設備 ◎ ◎

電信電信電信電信、、、、傳播事業傳播事業傳播事業傳播事業資通安全管理內部稽核資通安全管理內部稽核資通安全管理內部稽核資通安全管理內部稽核

59

51

265 265 265

56

通訊通訊通訊通訊、、、、傳播傳播傳播傳播 通訊通訊通訊通訊、、、、傳播傳播傳播傳播 傳播事業傳播事業傳播事業傳播事業 電信事業電信事業電信事業電信事業

C C C C 級級級級 B B B B 級級級級 A A A A 級級級級 A A A A 級級級級

內部稽核表內部稽核表內部稽核表內部稽核表 CNS/ISO/IEC 27002CNS/ISO/IEC 27002CNS/ISO/IEC 27002CNS/ISO/IEC 27002 增項稽核表增項稽核表增項稽核表增項稽核表 ISO/IEC 27011ISO/IEC 27011ISO/IEC 27011ISO/IEC 27011

電信電信電信電信、、、、傳播傳播傳播傳播事業資通安全管理內部稽核表事業資通安全管理內部稽核表事業資通安全管理內部稽核表事業資通安全管理內部稽核表

60

電信、傳播事業資通安全管理內部稽核表

檢查項目

資通安全等

級檢查結果

A B C 符合不符

合

不適

用

1.資訊安全政策

1.1 是否依據相關法律、法規及營運要求，訂定資安政策？

◎ ◎ ◎

1.2 是否考量組織整體業務活動及其相關風險，訂定資安政策？

◎ ◎ ◎

1.3 是否識別違反資安政策之後果及訂定處理程序？ ◎ ◎ ◎

1.4 是否由管理階層核准資安政策文件，正式發布且轉知所有員工與各相關外部團體？

◎ ◎ ◎

1.5 資安政策文件是否包括資安之定義、整體目標、範圍、實施內容、執行組織、權責分工、員工責任、

事故通報處理流程？

◎ ◎

電信事業電信事業電信事業電信事業ISO/IEC 27011ISO/IEC 27011ISO/IEC 27011ISO/IEC 27011增項稽核表增項稽核表增項稽核表增項稽核表

61

電信事業ISO/IEC 27011增項稽核表

檢查項目

檢查結果

符合不符

合

不適

用

1.資訊安全之組織

1.1 電信事業對保密協議之內容，是否包含：對於通訊之有無、對象、日期時間及內容等，且定期審視該協議內容以確保不得有

不當揭露之情事發生？

1.2 組織是否訂定司法、檢調或研究機關（構）請求提供資訊時之控管程序，確認此申請係符合法規命令之合法程序？

1.3是否於提供用戶服務前訂定清楚之協議內容，要求用戶不得毀損電信設施或減低該設施之通訊服務能力？

1.4是否於提供第三方服務廠商存取權限前訂定清楚之協議內容，包含提供服務所需之相關安全政策與應注意事項？

2.資產管理

2.1 是否明確定義組織的電信設備，與其他組織相連結或相關之部份的管理責任，並加以文件化？

資通安全事故通報資通安全事故通報資通安全事故通報資通安全事故通報

62

電信事業電信事業電信事業電信事業年度提報資料統計年度提報資料統計年度提報資料統計年度提報資料統計

63

區 分 內部稽核外部驗證

CNS/ISO/IEC 27001

外部驗證

ISO/IEC 27011增項

附件一電信事業資通安全等級自我評估彙整表 V V V

附件二電信事業資通安全等級自我評估說明表 V V V

附件五資通安全管理內部稽核表 V

附件六ISO/IEC 27011增項稽核表 �(A級) �(A級)

附件八資通安全管理矯正／預防措施一覽表 ��

（附件五、六不符合者）

附件九資通安全管理矯正／預防措施單 ��

（附件五、六不符合者）

附件十內部稽核表檢查項目勾選不適用之說明 �

附件十一 增項稽核表檢查項目勾選不適用之說

明�

�

（附件六不適用者）

�

（附件六不適用者）

備註：V必須提報項目 �視需要提報項目

傳播事業傳播事業傳播事業傳播事業年度提報資料統計年度提報資料統計年度提報資料統計年度提報資料統計

64

區 分 內部稽核外部驗證

CNS/ISO/IEC 27001

附件一電信事業資通安全等級自我評估彙整表 V V

附件二電信事業資通安全等級自我評估說明表 V V

附件五資通安全管理內部稽核表 V

附件七資通安全管理矯正／預防措施一覽表�

（附件五不符合者）

附件八資通安全管理矯正／預防措施單�

（附件五不符合者）

附件九內部稽核表檢查項目勾選不適用之說明�

（附件五不適用者）

備註：V必須提報項目 �視需要提報項目

問題與討論問題與討論問題與討論問題與討論

65