國立後壁高中資安通報與應變程序
111 年 10 月 03 日 管理審查會議修訂
壹、目的
國立後壁高中(以下簡稱本校)為遵照資通安全管理法第14條及本校資通安全維護計畫之規定,建立資通安全事件之通報及應變機制,以迅速有效獲知並處理事件,特制定本資通安全事件通報及應變管理程序(以下稱本管理程序)。
貳、 適用範圍
發生於本校之事件,系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅者。
參、 責任
一、本校於發現資通安全事件時,應依本程序或權責人員之指示,執行通報及應變事務。
二、本校應視必要性,與受託機關約定,使其制定其資通安全事件通報及應變管理程序,並於知悉資通安全事件後向本部進行通報,於完成事件之通報及應變程序後,依本校指示提供相關之紀錄或資料。
三、本校應於知悉資通安全事件後,應依本程序之規定,儘速組成通報應變小組與召開事件應變會議並完成損害控制、復原與事件之調查及處理作業。完成後,應依教育部指定之方式進行結案登錄作業,並送交調查、處理及改善報告。
肆、 事件通報窗口及通報應變小組
一、臺灣學術網路資通安全事件委託由臺灣學術網路危機處理中心之教育機構資安通報應變小組(簡稱通報應變小組)負責,聯繫資訊如下:
(一) 聯絡電話:(07)525-0211
(二) 網路電話:98400000
(三) 電子郵件:service@cert.tanet.edu.tw
二、本校應至少指派二位以上資安聯絡人員,並於「教育機構資安通報應變平台」(https://info.cert.tanet.edu.tw)登錄相關聯絡資料,如有異動亦應立即上網更新。
三、本校之資通安全事件通報窗口及聯繫專線為:
(一) 資通安全長(秘書):姚純真 (06)6871031#203
(二) 執行秘書(圖書館主任):沈長榮 (06)6871031#251
(三) 資安專職人員(編制外行政人力):賴意婷 (06)6871031#253
四、本校應以適當方式使相關人員明確知悉本機關之通報窗口及聯絡方式。
五、本校所屬人員知悉資通安全事件後,應立即至教育機構資安通報平台(https://info.cert.tanet.edu.tw)通報登錄資安事件細節、影響等級及支援申請等資訊。
六、本校應確保通報窗口之聯絡管道全天維持暢通,若因設備故障或其他情形導致窗口聯絡管道中斷,該中斷情況若持續達 1 小時以上者,應即將該情況告知相關人員,並即提供其他有效之臨時聯絡管道。
七、負責事件處理之單位(該事件發生之單位)權責人員應與相關單位密切合作以進行事件之處理,並使通報窗口適時掌握事件處理之進度及其他相關資訊。
八、應於通報資安事件後成立「通報及應變小組」與召開事件應變會議,協助進行處理;接獲受託廠商所通報之資通安全事件時,亦同。
九、本校之資通安全事件通報及應變小組組成建議如下圖,各分組代表與任務如下表:
應變小組 | 擔任 | 任務 |
事件指揮官 | 資通安全長 | 為通報應變小組總召集人,總理全般業務,直接督導各單位聯絡人員及機關新聞官/組。 |
新聞官/組 | 資通安全長 | 視事件需要由事件指揮官或其授權人員擔任新聞官或分組代表,資通安全事件對外發布新聞或說明之單一窗口,綜整與定期更新訊息及擬定溝通計畫。 |
執行秘書 | 圖書館主任 | 為事件指揮官幕僚,負責督辦通報應變小組各項業務。 |
情資及計畫組 | 本分組由圖書館、資訊人員及委外廠商或外部專家組成。 上級機關、中央目的事業主管機關或相關機關,亦應視情況或納入政風單位派員參與,以提供必要之支援協助。 | 1. 資通安全事件通報及情資分享:透過資通安全監控中心(SOC)、防毒軟體及系統釐清事件影響,並清查各單位受影響情形,據以完成資通安全事件各階段通報,分享惡意程式 IoC 等。 2. 應變策略及計畫研擬:於發生重大資通安全事件 時,依據事件情況研擬損害控制、復原作業及跡證保存計畫。 |
應變執行組 | 本分組由圖書館、資訊人員、業務單位及委外廠商組成。 上級機關、中央目的事業主管機關或相關機關得於機關申請支援時派員參與。 | 1. 執行損害控制:依據情資及計畫組研擬之應變策略及計畫,調度資訊及資通安全人員執行災害搶救及損害管制,防止次波攻擊及損害擴散。 2. 復原作業:依據情資及計畫組研擬之復原作業,完成系統重建、弱點掃描或漏洞修補等事宜。 3. 跡證保全及留存:確保受害系統與相關系統及網路設備事件日誌之保存及管理。 |
後勤調度組 | 教務處 學務處 實習處 輔導室 人事室 教官室 圖書館彙整 | 1. 事件根因查找:依據系統保存跡證,完成鑑識分析,並追查防堵惡意中繼站。 2. 提出改善建議:依據事件調查根因,提出短、中、長期改善建議。 3. 彙整改善報告。 4. 撰寫調查、處理及改善報告。 5. 追蹤管考:針對機關單位已結案或未結案事項,如有未盡改善事宜,將另案追蹤管考。 |
財務行政組 | 主計室 總務處 | 本分組視事件需要由機關財務或秘書單位組成,負責辦理預算調撥及提供行政支援事宜。 |
各機關得以現有分組為基礎,依各機關編制及業務分工,經機關資通安全長同意後調整通報應變小組組成及各分組代表,另得視資通安全事件或機關資通環境需要調整各分組任務。
十、各相關權責人員應紀錄事件處理過程,並檢討事件發生原因,著手進行改善,並留存必要之證據。
伍、 通報程序
一、通報作業程序
(一) 判定事件等級之流程及權責
本校之權責人員或通報應變小組應依據以下事項,於知悉資通安全事件後,依規定完成「資通安全事件通報及應變辦法」之資通安全事件等級判斷:
1. 事件涉及核心業務或關鍵基礎設施業務之資訊與否。
2. 事件導致業務之資訊或資通系統遭竄改之影響程度,屬嚴重或輕微。
3. 事件所涉資訊是否屬於國家機密、敏感資訊或一般公務機密。
4. 機關業務運作若遭影響或資通系統停頓,是否可容忍中斷時間內能回復正常運作。
5. 事件其他足以影響資通安全事件等級之因素。
(二) 除事件之等級外,權責人員或通報應變小組亦應對資通安全事件之影響範圍、損害程度及本校因應之能力進行評估。
(三) 召開事件應變會議:
完成重大(第「3」級、第「4」級)資安事件之初步損害控制後應召開事件便應會議,會議形式不拘,由事件指揮官主持討論下列事項,並得視情況邀請上級機關、中央目的事業主管或主管機關出席:
1. 資通安全事件概況
2. 評估受影響範圍
3. 其他必要之討論事項
(四) 除因網路或電力中斷等事由,致無法依上級或監督機關及行政院所指定或認可之方式通報外,應於知悉資通安全事件後 1 小時內向上級或監督機關及行政院所指定或認可之方式,進行事件通報。
(五) 本校因網路或電力中斷等事由,致無法依前項規定方式為通報者,應於確認資安事件條件成立後 1 小時內,與所隸屬區縣市網路中心及通報應變小組聯繫,先行提供該次資安事件應通報之內容及無法通報依規定方式通報之事由,並於事由解除後,依原方式補行通報。
(六) 資通安全事件等級如有變更,本校權責人員或通報應變小組應告知通報單位,使其續行通報作業。
(七) 本校於委外辦理資通系統之建置、維運或提供資通服務之情形時,應於合約中訂定委外廠商於知悉資通安全事件時,應即向委託單位所屬之權責人員通知,以指定之方式進行通報。
(八) 本校於知悉資通安全事件後,如認該事件之影響涉及其他機關或應由其他機關依其法定職權處理時,權責人員或通報應變小組應於知悉資通安全事件後 1 小時內,將該事件依教育部或行政院所指訂或認可之方式,通知該機關。
(九) 本校執行通報應變作業時,得視情形向所隸屬區縣市網路中心人員提出技術支援或其他協助之需求。
二、接獲自身、所屬單位或所管特定非公務機關通報(BOT餐廳)之評估作業程序
(一) 本校之權責人員或通報應變小組,於接獲所屬單位或所管特定非公務機關之資通安全事件後,應於以下時限內,完成資通安全事件通報等級及相關事項之審核:
1. 通報為第 1、2 級之資通安全事件,於接獲通報後 8 小時內。
2. 通報為第 3、4 級之資通安全事件,於接獲通報後 2 小時內。
(二) 本校之權責人員或通報應變小組,進行本條第一項之審核過程中,得請求通報之公務或特定非公務機關提供級別判斷所需之資料或紀錄。
(三) 本校於必要時得依據審核之結果,逕行變更資通安全事件之等級,並應於決定變更後 1 小時內,將審核結果及級別變更之決定通知行政院,並提供作成決定所依據之相關資訊。
三、對所屬或所管特定非公務機關(BOT餐廳)之協助
本校之所屬單位或特定非公務機關知悉資通安全事件,向本校通報時,本校資通安全長應事必要性於以下時限內,決定是否組成通報應變小組,以協助隸屬本校之所屬單位或特定非公務機關執行通報及應變程序,並視情況提供必要之支援或協助。
(一) 通報為第 1、2 級之資通安全事件,於完成復核後 2 小時內。
(二) 通報為第 3、4 級之資通安全事件,於接獲通報後 1 小時內。
陸、 應變程序
一、事件發生前之防護措施規劃
本校應於平時妥善實施資通安全維護計畫,並以組織營運目標與策略為基準,透過整體之營運衝擊分析,規劃業務持續運作計畫並實施演練,以預防資安事件之發生。
二、損害控制機制
(一) 負責應變之權責人員或通報應變小組,應完成以下應變事務之辦理,並留存應變之紀錄
1. 資安事件之衝擊及損害控制作業。
2. 資安事件所造成損害之復原作業。
3. 資安事件相關鑑識及其他調查作業。
4. 資安事件之調查與處理及改善報告之方式。
5. 資安事件後續發展及與其他事件關聯性之監控。
6. 資訊系統、網路、機房等安全區域發生重大事故或災難,致使業務中斷時,應依據本機關事前擬定之緊急計畫,進行應變措施以恢復業務持續運作之狀態。
7. 其他資通安全事件應變之相關事項。
(二) 重大(第「3」級、第「4」級)資安事件,除依目前規定辦理外,並應辦理以下事項:
1. 定時向事件指揮官、通報應變小組、上級機關或中央目的事業主管機關回報控制措施成效;無上級機關者,應回報主管機關。
2. 倘涉及個人資料外洩,應評估通知當事人之適當方式,依個人保護法第十二條規定辦理。
(三) 對於第 1、2級 資通安全事件,本校應於知悉事件後 72 小時內完成前項事務之辦理,並應留存紀錄;於重大(第「3」級、第「4」級)資通安全事件,本校應於知悉事件後 36 小時內完成損害控制或復原作業,並執行上述事項,及留存相關紀錄。
(四) 本校完成資安事件處理後,須至教育機構資安通報平台填報資安事件處理辦法及完成時間。
(五) 本校於知悉受託廠商發生與受託業務相關之資通安全事件時,應於知悉委外廠商發生第 1、2 級資通安全事件後 72 小時內,確認委外廠商已完成損害控制或復原事項之辦理;於知悉委外廠商發生重大(第「3」級、第「4」級)資通安全事件後 36 小時內,確認委外廠商完成損害控制或復原事項之辦理。
三、事件跟因分析
由後勤調度組執行,依資通安全事件等級,建議辦理事項如下:
(一) 依第四點跡證保存之規定保存相關跡證,惡意程式建議得請防毒軟體或事資安服務公司檢測,並上傳至Virus Check網站(https://viruscheck.tw/) 分析,以更新或強化相關偵測及聯防機制,不宜上傳至其他平臺。
(二) 除設備故障外,後勤調度組應依據目前保存跡證,由組長督導委外廠商或外部專家進行根因調查,並提出紀錄分析;如發現惡意程式,應提出惡意程式分析。
(三) 依據事件調查根因分析結果,機關應評估短、中、長期資安管理改善策略,其內容如下:
1. 短期:完成可立即性修補項目之調整,例如:更換密碼或修補程式弱點等。
2. 中期:依據事件根因提出三至六個月內完成之強化作為,例如:盤點機關老舊設備,並訂定汰換期程。
3. 長期:依據事件受害情形,視需要提出二年內完成之管理改善建議,例如:培養機關資安人員能力。
(四) 由執行秘書將事件調查根因及改善策略提報事件指揮官裁處,並由機關資通安全專責人員彙整送交上級機關或中央目的事業機關;無上級機關者,應送交主管機關。
柒、 資安事件後之復原、鑑識、調查及改善機制
一、本校於完成資通安全事件之通報及應變程序後,應針對事件所造成之衝擊、損害及影響進行調查及改善,並應於事件發生後一個月內完成資通安全事件調查、處理及改善報告。
二、改善追蹤機制:
本校進行事件改善追蹤時,應視需要召開會議,並辦理下列事項:
(一) 評估改善作為期程
(二) 評估執行成效,並據以調整改善策略
(三) 配合上級機關、中央目的事業主管機關或主管機關辦理相關改善作為。
(四) 重大(第「3」或第「4」級)資安事件,應由執行秘書將各階段改善措施執行成效定期回報事件指揮官置完成各項改善措施為止,並由機關或中央目的事業主管機關;無上級機關者,應送交主管機關。
(五) 依主管機關或中央目的事業主管機關指定之方式,送交調查、處理及改善報告;重大(第「3」級、第「4」級)資通安全事件,應由執行秘書將各階段改善措施為止,並由機關資通安全專責人員彙整送交上級機關或中央目的事業主管機關;無上級機關者,應送交主管機關。
(六) 送交調查、處理及改善報告後,相關改善事項應納入現行定期追蹤管考機制。
三、資通安全事件調查、處理及改善報告應包括以下項目:
(一)事件發生、完成損害控制或復原作業之時間。
(二)事件影響之範圍及損害評估。
(三)損害控制及復原作業之歷程。
(四)事件調查及處理作業之歷程。
(五)為防範類似事件再次發生所採取之管理、技術、人力或資源等層面之措施。
(六)前款措施之預定完成時程及成效追蹤機制。
四、本校應向所隸屬之上級機關及教育部提出前項之報告,以供監督與檢討。
五、 指定隸屬本校之所屬單位或特定非公務機關所需提出第二項報告之期限,若其逾期未提出,本校除應使其盡速提出外,並應為其他必要之監督及指示。
捌、 紀錄留存及管理程序之調整
一、為確保資通安全事件發生時,本校所保有跡證足以進行事件根因分析,根據資通安全事件等級以及跡證保存,辦理以下事項,並應事件情形辦理其他必要之跡證保存事項:
(一) 關於日常維運資通系統時,需依自身資通安全等級保存日誌(log),並建議定期備份至與原稽核系統不同之實體系統。因本校資通安全責任等級為C級,其保存範圍及項目請參照下表C級進行:
資通安全責任等級 | 保存範圍 | 保存項目 |
A | 機關應保存全部資通系統與各項資通及防護設備最近六個月之日誌紀錄。 | 1. 作業系統日誌(OS event log) 2. 網站日誌(web log) 3. 應用程式日誌(AP log) 4. 登入日誌(logon log) |
B | 機關應保存全部核心資通系統與相連之資通及防護設備最近六個月之日誌紀錄。 | |
C | 機關應保存全部核心資通系統最近六個月之日誌紀錄。 |
註:若資訊系統已向上集中者,則可由上級機關保存。
(二) 發生資通安全事件時,機關應依下列原則進行跡證保存:
1.機關進行跡證保存時,應優先採取隔離機制,包含設備關機、網路連線中斷或隔離、關閉服務、限制連線、限制權限、有限度修補漏洞等方式,以降低攻擊擴散。
2.若系統無備援機制,應備份受害系統儲存媒介(例如:硬碟;虛擬機映像檔)後,以乾淨儲存媒介重建系統,於完成系統測試後提供服務。
3.若系統有備援機制,應將服務切換至備援系統提供服務,並保留受害系統及設備,於完成事件根因分析或完整備份後重建系統,經系統測試後切換至原系統提供服務。
(三) 關於簽訂資通系統或服務之委外契約時,應依前二款規定於契約中明定紀錄保存及備份規定。
二、本校應將資通安全事件之通報與應變作業之執行、事件影響範圍與損害程度以及其他通報應變之執行情形,於「教育機構資安通報平台」上填報完整之紀錄,該平台事件通報應變紀錄由通報應變小組於年度彙整後,提交至本部資訊及科技教育司覆核備查。
三、本校於完成資通安全事件之通報及應變程序後,應依據實際處理之情形,於必要時對本管理程序、人力配置或其他相關事項進行修正或調整。
玖、 演練作業
一、本校應配合教育部依資通安全事件通報應變辦法之規定所辦理之社交工程演練、資通安全事件通報及應變演練。
二、本校應配合行政院依資通安全事件通報應變辦法之規定所辦理之下列資通安全演練作業:
(一)社交工程。
(二)資安事件通報及應變
(三)網路攻防
(四)情境演練
(五)其他資安演練