全機關導入ISMS
資安長應掌握重點
教育機構資安驗證中心�陳育毅主任
WHOA!
近期駭客攻擊事件,讓各界更加關注資安議題.....
2
近期駭客攻擊事件
總統府網站
1
臺大教務處網站
2
臺鐵電子看板
3
7-11電子看板
4
遭DDoS攻擊癱瘓
首頁圖片被置換
內容被置換
內容被置換
3
1
2
3
4
4
1
資安長
由機關首長指派副首長或適當人員(主任秘書以上人員)兼任
資通安全長之配置
落實推動及監督校內資通安全相關事務
6
「資通安全實地稽核項目檢核表」策略面
7
實地稽核在策略面是由資安長負責報告
資通安全長必須完全掌握「資通安全實地稽核項目檢核表」的策略面共26項目實施情形,報告全校整體考量進行資安工作的推動及監督。
8
稽核項目
2.4 副首長或適當人員兼任資通安�全長,負責推動及督導機關內資通�安全相關事務?
9
2
營運衝擊分析
Business Impact Analysis (BIA)
近期駭客攻擊事件
總統府網站
1
臺大教務處網站
2
臺鐵電子看板
3
7-11電子看板
4
遭DDoS攻擊癱瘓
首頁圖片被置換
內容被置換
內容被置換
11
總統府網站
1
可用性�(Availability)
遭DDoS攻擊癱瘓
12
臺大教務處網站
2
完整性�(Integrity)
首頁圖片被置換
13
密碼窺探
?
機密性�(Confidentiality)
跳板攻入其他系統
14
資料要備份、系統有備援,才能速復原。
備份頻率長短�決定資料復原時間點RPO
應訂定MTPD最大可容忍中斷時間
透過演練確認系統復原時間目標RTO
15
中/高級系統復原時間目標RTO長短
取決備援機制選擇及經費$
冗餘系統.....
虛擬主機.....
16
資料復原時間點RPO長短
取決備份週期及經費$
異地備份.....
本地備份.....
17
稽核項目
4.5 核心資通系統鑑別可能造成營運中斷事件之機率及衝擊影響,且進行營運衝擊分析(BIA)?是否明確訂定核心資通系統之系統復原時間目標(RTO)及資料復原時間點目標(RPO)?
18
稽核項目
1.5 定期執行重要資料之備份�作業,且備份資料異地存放?�存放處所環境符合實體安全防�護?
1.6資通系統等級中/高等級者,設置備援機制,當系統服務中斷時,於可容忍時間內由備援設備取代提供服務?
19
3
業務持續運作演練
Business Continuity Plan (BCP) & Exercise
業務持續運作演練之重要關注點
RPO
RTO
2
MTPD
BCP
3
4
1
資料復原時間點目標
系統復原時間目標
最大可容忍中斷時間
內容被置換
業務持續運作計畫
21
演練內容不可太侷限
機密性、完整 性、可用性可分次演練
演練包含業務人員參與程序
演練留存紀錄詳實度
22
BCP應將全部核心系統納入
落實演練才能強化緊急應變處理能力
23
訂定應記錄之特定資通系統事件
保留日誌至少6個月
配置日誌所需之儲存容量
日誌存取控管
24
網路服務安全控制措施
定期檢測網路安全漏洞
網路架構設計及安全防護
無線網路服務存取控管
25
稽核項目
1.5 訂定備份資料之復原程序,且定期執行回復測試,以確保備份資料之有效性?復原程序是否定期檢討及修正?
1.7 業務持續運作計畫涵蓋全部核心資通系統,定期辦理全部核心資通系統之業務持續運作演練,含人員職責應變、作業程序、資源調配及檢討改善?
26
稽核項目
9.12 訂定應記錄特定資通系統�事件(如身分驗證失敗、存取資�源失敗、重要行為、重要資料�異動、功能錯誤及管理者行為�等)、日誌內容、記錄時間週期�及留存政策,且保留日誌至少�6個月?是否有啟用DNS相關紀錄日誌(有記錄到DNS行為的日誌)?是否有開啟監測內部網路連線至DMZ的日誌?
27
稽核項目
9.13 依日誌儲存需求,配置所�需之儲存容量,日誌處理失效�時採取適當行動及提出告警?
9.14 針對日誌進行存取控管,�並有適當之保護控制措施?
28
稽核項目
7.11 建立網路服務安全控制措施,定期檢測網路安全漏洞?
7.14 網路架構設計符合業務需要及資安要求?依網路服務需要區隔獨立的邏輯網域,建立適當之防護措施,以管制過濾網域間之資料存取?
7.15 無線網路服務存取及應用訂安全管控程序且落實執行?
29
4
應辦事項(技術面)
依據「資通安全責任等級分級辦法」之應辦事項要求
「資安責任等級分級辦法」技術面應辦事項
安全性檢測
1
資通安全健診
2
資產安全強化
3
資通安全防護
4
弱點掃瞄、滲透測試
共同供應契約
SOC、GCB、VANS、EDR
資安基礎建設
31
安全性檢測
資通安全健診
資產安全強化
資通安全防護
32
33
辦理項目 | 細項 | 範圍 | 週期 | 執行責任及方式 | 稽核項目 |
安全性檢測 | 弱點掃描 | 全部核心資通系統 | A級機關:每年2次�B級機關:每年1次 C級機關:每2年1次 | 核心資通系統通常是資訊中心負責維運,建議導入掃描軟體定期執行,亦可委外執行。並將檢測出的嚴重及高風險弱點進行修補改善,再執行複檢。 | 7.1 7.4 |
滲透測試 | 全部核心資通系統 | A級機關:每年1次�B、C級機關:每2年1次 | 核心資通系統通常是資訊中心負責維運,建議採購共同供應契約服務委外執行。並將檢測出的嚴重及高風險漏洞進行修補改善,再執行複檢。 | 7.2 7.4 | |
資通安全健診 | 網路架構檢視 | 全機關�資通系統�所在範圍 | 每2年1次 | 基於全機關落實資安管理,宜由資安推動委員會做成決議,只要有自行管理維運資通系統的單位均應採購共同供應契約服務委外執行。並將檢測出的嚴重及高風險弱點進行修補改善,再執行複檢。 | 7.3 7.4 |
網路惡意活動檢視 | |||||
使用者端電腦惡意活動檢視 | |||||
伺服器主機惡意活動檢視 | |||||
目錄伺服器設定及防火牆連線設定檢視 |
34
辦理項目 | 細項 | 範圍 | 週期 | 執行責任及方式 | 稽核項目 |
資通安全威脅偵測管理機制(SOC) | 全機關�網路範圍 | A、B級機關初次受核定或等級變更之1年內建置 | 臺灣學術網路(TANET)已具備此項機制,無需自行建置。 | 9.10 9.11 | |
政府組態基準(GCB) | 伺服器主機及使用者電腦 | A、B級機關初次受核定或等級變更之1年內導入 | 建議資訊中心導入GCB管控機制,資安推動委員會做成決議全機關�伺服器主機及使用者電腦配合規劃期程逐步納管。 | 7.5 | |
資通安全弱點通報機制(VANS) | 伺服器主機及使用者電腦 | A、B、C級機關初次受核定或等級變更之1年內導入 | 建議資訊中心導入VANS管控機制,資安推動委員會做成決議全機關伺服器主機及使用者電腦配合規劃期程逐步納管。 | 7.6 | |
端點偵測及應變機制(EDR) | 使用者電腦 | A、B級機關初次受核定或等級變更之2年內導入 | 建議資訊中心導入EDR管控機制,資安推動委員會做成決議全機關�使用者電腦配合規劃期程逐步納管。 | 7.7 | |
35
辦理項目 | 細項 | 範圍 | 週期 | 執行責任及方式 | 稽核項目 |
資通安全防護 | 防毒軟體 | 全機關 | A、B、C、D級機關初次受核定或等級變更之1年內啟用 | 全機關伺服器主機及使用者電腦 | 7.8 |
網路防火牆 | 伺服器主機 | 全機關伺服器主機 | |||
郵件伺服器應備過濾機制 | 公務電子郵件伺服器 | A、B、C級機關初次受核定或等級變更之1年內啟用 | 資訊中心負責 | ||
入侵偵測及防禦機制(IDS/IPS) | 核心資通系統所在機房 | A、B級機關初次受核定或等級變更之1年內啟用 | |||
對外服務核心資通系統應備應用程式防火牆(WAF) | 核心資通系統所在機房 | ||||
進階持續性威脅攻擊防禦(APT) | 核心資通系統所在機房 | A級機關初次受核定或等級變更之1年內啟用 |
稽核項目
7.1 全部核心資通系統定期辦理網站安全弱點掃瞄?
7.2 全部核心資通系統定期辦理系統滲透測試?
7.3 定期辦理資通安全健診?
7.4 針對安全性檢測及資通安全健診結果執行修補作業,修補完成後驗證是否完成改善?
36
稽核項目
9.10 建置資通安全威脅偵測管理(SOC)機制?
9.11 提交SOC監控管理資料?
7.5 政府組態基準(GCB)導入?
7.6 資通安全弱點通報機制(VANS)導入?
7.7 端點偵測及應變機制(EDR)導入?
37
稽核項目
7.8 完成資通安全防護措施?�防毒軟體(Antivirus)、網路防火牆(Firewall)、電子郵件過濾機制(Email Filter)、入侵偵測及防禦機制(IDS/IPS)、具有對外服務之核心資通系統者具應用程式防火牆(WAF)、進階持續性威脅攻擊防禦(APT)
38
5
資通系統防護需求分級
依據「資通安全責任等級分級辦法」附表九
「資通系統防護需求分級」四大構面
機密性
完整性
2
可用性
法規遵循性
3
4
1
Confidentiality
Integrity
Availability
內容被置換
Regulatory compliance
40
依據資通系統風險評鑑參考指引
建議依據資通安全責任等級分級原則當作高階風險評鑑方法
41
42
| 普 | 中 | 高 |
機密性 | 未經授權之資訊揭露,在機關營運、資產或信譽等方面,造成可預期之「有限」負面影響。 | 未經授權的資訊揭露,在機關營運、資產或信譽等方面,造成可預期之「嚴重」負面影響。 | 未經授權的資訊揭露,在機關營運、資產或信譽等方面,造成可預期之「非常嚴重」或「災難性」負面影響。 |
完整性 | 未經授權之資訊修改或破壞,在機關營運、資產或信譽等方面,造成可預期之「有限」負面影響。 | 未經授權之資訊修改或破壞,在機關營運、資產或信譽等方面,造成可預期之「嚴重」負面影響。 | 未經授權之資訊修改或破壞,在機關、資產或信譽等方面,造成可預期之「非常嚴重」或「災難性」負面影響。 |
可用性 | 資訊、資通系統之存取或使用上的中斷,在機關營運、資產或信譽等方面,造成可預期之「有限」負面影響。 | 資訊、資通系統之存取或使用上的中斷,在機關營運、資產或信譽等方面,造成可預期之「嚴重」負面影響。 | 資訊、資通系統之存取或使用上的中斷,在機關營運、資產或信譽等方面,造成可預期之「非常嚴重」或「災難性」負面影響。 |
法遵性 | 系統運作、資料保護、資訊及資通系統資產使用等若未依循相關法律規範辦理,造成可預期之「有限」負面影響。 | 系統運作、資料保護、資訊及資通系統資產使用等若未依循相關法律規範辦理,造成可預期之「嚴重」負面影響。 | 系統運作、資料保護、資訊及資通系統資產使用等若未依循相關法律規範辦理,造成可預期之「非常嚴重」或「災難性」負面影響。 |
定義核心業務
從業務角度盤點系統
支持核心業務持續運作必要即為核心系統
非核心系統也必須盤點分級
43
稽核項目
1.1 界定機關之核心業務,完成資通系統之盤點及分級,且每年至少檢視1次分級之妥適性?
44
資通系統及資訊之盤點
各校IP網段內或使用各校網域名稱之系統
45
資通系統防護基準
46
資通系統安全等級評估包含防護基準
未符合該系統等級所應實施防護基準項目
納入風險處理計畫改善清單
資安執行小組查核
47
高風險等級或支援核心業務之資通系統
再進行詳細風險評鑑作業
48
資訊資產清冊
資訊資產威脅及弱點評估
詳細風險評鑑彙整
49
稽核項目
8.1 自行或委外開發之資通系統依資通系統防護需求分級原則完成資通系統分級,且依資通系統防護基準執行控制措施?
5.2 於採購前識別是否為核心資通系統?並依資通系統分級,於徵求建議書文件(RFP)相關採購文件中明確規範防護基準需求?
50
6
社交工程別輕忽
依據「資通安全事件通報及應變辦法」之演練作業要求
社交工程演練之重要關注點
演練週期
1
開啟信件率
2
點選連結率
3
擬定改善計畫
4
半年一次
< 10%
< 6%
人員加強訓練宣導
52
釣魚信件
釣魚網站
社群網站內容蒐集
語音釣魚攻擊
53
釣魚信件特徵
54
寄件人信箱若是.....
收件人群組若是.....
信件內的超連結若是.....
寄件時間若是.....
信件主旨若是.....
附加檔案若是.....
信件內容若是.....
55
稽核項目
6.6 針對所屬/監督之公務機關辦理下列演練? (1)每半年規劃及辦理1次社交工程演練? (2)每年規劃及辦理1次資安事件通報及應變演練?
9.5 每半年進行1次社交工程演練?針對開啟郵件、點閱郵件附件或連結之人員加強資安意識教育訓練?
56
7
資安認知與訓練
依據「資通安全責任等級分級辦法」之應辦事項要求
資安認知與訓練之重要關注點
委外承辦人員
採購人員
2
開發人員
其他人員及主管
3
4
1
(五)資通系統或服務委外辦理之管理措施
(八)資通系統發展及維護安全
內容被置換
資安通識教育訓練
限制使用危害國家資通安全產品
58
59
通常每個部門至少1-3人必須依規定上課!
負責委外業務的人員為什麼要有資安專業?
資訊服務採購案之資安檢核事項
60
依據行政院秘書長110年7月13日院臺護長字第1100177483號函,要求各機關資通訊相關採購案,應參考公共工程委員會「投標須知範本」及「資訊服務採購契約範本」,落實「資訊服務採購案之資安檢核事項」相關要求。
資訊服務採購案之資安檢核事項
61
公共工程委員會111.4.7「資訊服務採購契約範本」
行政院國家資通安全會報110.7.13「資訊服務�採購案之資安檢核事項」
行政院技服中心「資通系統委外開發RFP範本」v3.0
委外契約內容必須要求資安管理措施
限制使用危害國家資通安全產品
62
依據行政院秘書長109年12月18日院臺護長字第109020180�4A號函,要求110年底前完成汰換所使用或採購大陸廠牌資通訊產品(含軟體、硬體及服務),並配合擴大盤點範圍為全機關,包含委外廠商及其分包廠商。
63
資安通識教育訓練
64
稽核項目
2.1 人員瞭解機關之資通安全政策,以及應負之資安責任?
3.4 各類人員是否依法規要求,接受資通安全教育訓練並完成最低時數?
65
66
3時/年
資安通識
主 管
3.4
12時/年
資安專業
資安專職(責)
3.4
3時/年
資安通識
一般
使用者
3.4
3時/2年
資安專業
3時/年
資安通識
資訊人員
3.4
計中
朱姿洝
3.2
B級�2人
計中
傅顓芷
3.5
證照�2張
ISO 27001�LA
朱:20##
傅:20##
資通安全�職能評量
朱:20##
傅:20##
證書2張
3.5
3.2
其他人員
配置�其他�資安�專責�人員�##人
工作�同意書
3.3
作業保密
保密�條款
2.1
了解政策
人資�辦法
資安�責任
稽核項目
3.2 資安專職人員配置情形?配置其他資安專責人員?對應機關自身及對所屬資安作業推動,目前之資安人員配置是否進行合理性評估及因應?
3.5 資通安全專職人員是否分別各自持有資通安全專業證照及職能訓練證書各 1張以上,且維持其有效性?
67
8
資通安全推動委員會
依據「資通安全事件通報及應變辦法」之演練作業要求
資通安全推動委員會之重要關注點
組成及出席率
1
資安法合規
2
議程內容具體程度
3
考核獎懲
4
全校各單位主管
資安維護計畫實施情形
幾項重點特別需要關注
"獎" 比 "懲" 重要
69
資通安全推動組織
全校各單位主管或副主管組成
70
跨單位組成(不可各單位各自成立)�全機關(不可只有部分單位)
出席率(代理比率不宜過高)
全機關跨單位組成
注意權責分工
推動委員會議出席率
業務單位是否積極參與
71
管理審查會議的議程內容具體程度
72
資通安全維護計畫實施情形
有效性量測表
利害關係人關注紀錄及回應處置
資訊資產盤點及風險評鑑
內稽後續追蹤執行情形
有效性量測表
73
目標 | 量測指標 | 量測方式 | 量測週期 | 量測結果 | 不符合狀態說明 |
| 全部核心資通系統可用性% | | | | |
| 參訓率% | | | | |
| 其他有關資安法之適法項目 | | | | |
利害關係人關注紀錄及回應處置
74
關注方 | 負責單位 | 蒐集來源 | 關注議題 | 相關程序書 | 溝通回應處理方式 |
| | | | | |
| | | | | |
| | | | | |
利害關係人關注紀錄及回應處置
75
Stakeholder Map
Power
Interest
HIGH
LOW
LOW
HIGH
上級/監督�機關
機關內部、�所屬/所管� 機關
合作機關、�IT服務供應商
民眾
資訊資產盤點及風險評鑑
高階風險評鑑
詳細風險評鑑
76
內部稽核
77
內部稽核
78
05
02
03
01
ISMS-D-###內稽計畫?
A級2次/年、B級1次/年、C級1次/2年�(內稽人員的資格(勝任)、訓練(獨立)、證照(有效))
稽核後追蹤改善佐證?�(資安矯正改善措施的有效性)
內稽及矯正改善相關表單的簽署及審核應依推動組織架構之任務有明確權責人員
04
內稽範圍應涵蓋全機關
內部資通安全稽核
範圍包含全校各單位,分年分階段辦理。
79
考核獎懲
80
第 2 條 公務機關就其所屬人員辦理業務涉及資通安全事項之獎懲,得依本辦法之規定自行訂定獎懲基準。
嘉
獎
申誡
小�過
訂定�獎懲
通資 依
安
全�管�理�法�第�15�19�條
依
公�務�機�關所屬人員資通安� 全� 事� 項
獎懲
辦
法
查核已辦理過獎懲的紀錄嗎?
稽核項目
2.4 成立資通安全推動組織,負責推動、協調監督及審查資通安全管理事項?推動組織層級之適切性,且業務單位是否積極參與?
2.2 訂定資通安全之績效評估方式(如績效指標等),且定期監控�、量測、分析及檢視?
81
稽核項目
2.6 建立機關內、外部利害關係人清單,並定期檢討其適宜性?
2.5 針對業務涉及資通安全事項之機關人員進行相關之考核或獎懲?
82
稽核項目
6.3 訂定內部資通安全稽核計畫,包含稽核目標、範圍、時間、程序、人員等?是否規劃及執行稽核發事項改善措施,且定期追蹤改善情形?
83
9
資安管理制度導入/驗證
依據「資通安全責任等級分級辦法」之應辦事項要求
導入➤頒布四階文件 驗證➤TAF認證名錄
85
4階
表單、記錄、清冊、報告
3階
作業規範
2階
辦法、規程
1階
政策
86
全校推動資安管理,必然有些程序不能照著以往只在資訊中心實施的方式,有一些程序書是必須優先調整的,資安驗證中心特別在此提供一些修訂參考。
資安管理落實宣導
87
稽核項目
1.2 全部核心資通系統納入資訊安全管理系統(ISMS)適用範圍 ?�(A、B級機關:全部核心資通系統2年內完成ISMS導入,3年內通過公正第三方驗證,第三方核發之驗證證書應有TAF認證標誌;C級機關:全部核心資通系統2年內完成ISMS導入)
88
10
結論
教育部實地稽核
若將「資通安全實地稽核項目檢核表」及「資通系統防護基準實施情形調查」視為題庫來看,當然是應該努力朝符合要求的方向努力,落實相關的資安管理作為,期待能在稽核時少點缺失順利通過。
90
全校落實資通安全管理之優先執行策略
91
資安的價值往往在�事件發生後才凸顯
資安作為,是一種出事才能看出效果的投資,而且經常被視為是企業的成本,而不是價值。
「沒有發生資安事故」,背後其實做了多大、多深的努力和投入($),是一種做得比別人更好的實質競爭力,用資安成就好名聲。
92
稽核項目
2.3 有文件或紀錄佐證管理階層(如機關首長、資通安全長等)對於ISMS建立、實作、維持及持續改善之承諾及支持?
93
稽核項目
3.1 資安經費占資訊經費比例?資訊經費占機關經費比例?資安經費編列是否符合業務需要針對法遵要求作業、資安治理成熟度評估結果、稽核或事件缺失改善所需經費,是否合理配置?
94
95
✓ | 1.1 | 是否界定機關之核心業務,完成資通系統之盤點及分級,且每年至少檢視1次分級之妥適性? |
| 1.2 | 是否針對重要業務訂定適當之變更管理程序,且落實執行,並定期檢視、審查及更新程序(如業務調整後對外資訊更新等)? |
✓ | 1.3 | 是否全部核心資通系統納入資訊安全管理系統(ISMS)適用範圍?(A、B級機關:全部核心資通系統2年內完成ISMS導入,3年內通過公正第三方驗證,第三方核發之驗證證書應有TAF認證標誌;C級機關:全部核心資通系統2年內完成ISMS導入) |
✓ | 1.4 | 是否定期執行重要資料之備份作業,且備份資料異地存放?存放處所環境是否符合實體安全防護? |
✓ | 1.5 | 是否訂定備份資料之復原程序,且定期執行回復測試,以確保備份資料之有效性?復原程序是否定期檢討及修正? |
✓ | 1.6 | 資通系統等級中/高等級者,是否設置備援機制,當系統服務中斷時,於可容忍時間內由備援設備取代提供服務? |
✓ | 1.7 | 是否針對核心資通系統制定業務持續運作計畫,並定期辦理全部核心資通系統之業務持續運作演練,包含人員職責應變、作業程序、資源調配及檢討改善等?(A級機關:每年1次;B、C級機關:每2年1次) |
| 1.8 | 資安治理成熟度評估結果為何?是否進行因應?(A、B級機關適用,以達到3級為目標) |
96
✓ | 2.1 | 是否訂定資通安全政策及目標,由管理階層核定,並定期檢視且有效傳達其重要性?如何確認人員瞭解機關之資通安全政策,以及應負之資安責任? |
✓ | 2.2 | 是否訂定資通安全之績效評估方式(如績效指標等),且定期監控、量測、分析及檢視? |
✓ | 2.3 | 是否有文件或紀錄佐證管理階層(如機關首長、資通安全長等)對於ISMS建立、實作、維持及持續改善之承諾及支持? |
✓ | 2.4 | 是否指派副首長或適當人員兼任資通安全長,負責推動及督導機關內資通安全相關事務?是否成立資通安全推動組織,負責推動、協調監督及審查資通安全管理事項?推動組織層級之適切性,且業務單位是否積極參與? |
✓ | 2.5 | 是否針對業務涉及資通安全事項之機關人員進行相關之考核或獎懲? |
✓ | 2.6 | 是否建立機關內、外部利害關係人清單,並定期檢討其適宜性? |
97
✓ | 3.1 | 資安經費占資訊經費比例?資訊經費占機關經費比例?針對法遵要求作業、資安治理成熟度評估結果、稽核或事件缺失改善所需經費,是否合理配置? |
✓ | 3.2 | 資安專職人員配置情形?是否有適切分工?是否配置其他資安專責人員?對應機關自身及對所屬資安作業推動,目前之資安人員配置是否進行合理性評估及因應?(A級機關:4位資安專職人員;B級機關:2位資安專職人員;C級機關:1位資安專職人員) |
| 3.3 | 是否訂定人員之資通安全作業程序及權責?是否明確告知保密事項,且簽署保密協議? |
✓ | 3.4 | 各類人員是否依法規要求,接受資通安全教育訓練並完成最低時數? |
✓ | 3.5 | 資通安全專職人員是否分別各自持有資通安全專業證照及職能訓練證書各 1張以上,且維持其有效性? |
THANKS!
此簡報開放各界重製改作
授權允許使用者重製、散布、傳輸以及修改著作(包括商業性利用),惟使用時必須按照著作人或授權人所指定的方式,表彰其姓名。