綜整回應:
OJ 好:
資安事件發生時,所產生之資訊機密性、完整性及系統可用性影響及其程度,因機關屬性及相關業務內容而有不同,礙難有一致標準,宜由各機關依各資通系統重要性及其對業務運作影響程度認定之。
關於日本資安法之評論:
有關您提到公私部門處理電子商務應對個人資料善盡保護責任之議題,目前已有「個人資料保護法」進行規範,另依「資通安全管理法」之子法「資通安全責任等級分級辦法」草案規定,公務機關或特定非公務機關如持有全國民眾個人資料檔案者,應負有較高之資安責任等級,須達到較高之資安防護基準要求,以降低資安風險。
CHENG、Din好:
本項訂定目的在協助關鍵基礎設施提供者釐清其核心業務,由於關鍵基礎設施提供者之核心業務,不一定完全等同中央目的事業主管機關監理列管之業務,通常為中央目的事業主管機關監理列管業務之一部分或非其監理業務之範圍,如依所建議之文字調整,恐非本法意旨。
CHENG、Din 好
1. 有關「資通安全責任等級分級辦法草案」第十一條第三項公務與非公務機關提報對象之建議,已錄案參採。
2. 有關資通安全責任等級分級辦法附表一~六,資通安全健診」之「安全設定檢視」,將調整為「目錄伺服器設定及防火牆連線設定檢視」。
有關「資通安全健診」辦理項目,如各機關能提出等效替代方案,可免予辦理,如建立持續性終端及伺服器安控、惡意活動偵測機制等。
CHENG 好
「伺服端之集中過濾機制檢查使用者之授權」係指使用者之權限檢查作業不應於前端網頁處理,而應於後端伺服器端完成,並非多系統採用單一集中認證授權的伺服器,本案文字內容將調整為「使用者之權限檢查作業應於伺服器端完成」;另遠端存取為機關主要威脅來源之一,機關對於是否同意遠端存取應審慎考量,若同意執行該項作業宜加強權限管理。
CHENG 好
該規範主要目的係期望達成日誌(log)格式一致性,有利於資安事件比對分析處理,如同一機關有多部Apache網頁伺服器,若產出不同格式的日誌,或某台伺服器有日誌欄位缺漏的問題,倘該機關發生資安事件,恐致使後續分析處理不易;另為提供維護人員易於管理、維護與判別伺服器產出之日誌資料,宜採一致性之格式。
CHENG、Din好
本控制措施指的是對資訊系統存取的多重身分驗證機制,此與實體控管為不同面向之資安設計。
CHENG 好
帳戶鎖定機制為資訊系統防範帳號密碼身分驗證機制被暴力破解之有效手段,且國際上廣為採用。實務上通常搭配可由管理員手動解鎖之機制,不會有緊急情況無法立即解鎖之狀況。
CHENG 好
本控制措施指當使用者忘記帳號之密碼時,須採用其他管道進行身分驗證後,才允許重設該帳號密碼。並未限定不能使用實體載具作為其他管道,因此並無衝突。
CHENG 好
無論滲透測試或源碼檢測等黑白箱測試,均應列於SSDLC測試驗收階段,如系統上線後才進行相關檢測,將導致系統上線時有很高的資安風險,故列於系統發展生命週期測試階段進行。
CHENG 好
實務上確實會有使用者端無法支援最大長度金鑰的情況,本控制措施並未要求伺服器端僅使用最大長度金鑰,而是必須支援使用最大長度金鑰,當使用者端也能夠支援互相配合時,才會達到最佳的安全性,本案文字內容將調整為”支援演算法最大長度金鑰”。
CHENG 好
有關你提出特定非公務機關資通安全維護計畫實施情形稽核辦法草案第五條之議建議己錄案參採。
iCAQ, Din好
本法所稱「專職人員」是指全職辦理資安工作之人員,實務上仍有須配合機關因緊急或臨時人員調度需要,交辦臨時業務之可能,至於是否同金融控股公司及銀行業內部控制及稽核制度實施辦法第38-1條規定,其規範意旨似與本法不同,建議再洽詢前述法規主管單位。
小明好:
資通安全管理法主要係為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益。有關爭議訊息所涉層面並非屬資通安全管理法規範目的,宜由其他方式規範。
吳先生 好:
公務機關需設置資安長,各機關應訂定及實施資通安全維護計畫,此為資通安全管理法明定之法遵義務。如資訊業務由上級機關代辦者,上級機關訂定資通安全維護計畫時可將所屬機關納入範圍,所屬機關可不用另定資通安全維護計畫。此外主管機關將提供資通安全維護計畫之範本,以減輕各部會及直轄市、縣(市)政府之負擔。
吳先生好:
縣市政府所屬學校(國、高中、小學)之上級機關究係為各縣市政府之教育機關或縣市政府,及由何機關協助學核訂定、修正、實施資通安全維護計畫,可由縣市政府協調所屬教育機關自行決定。
吳先生好:
基於地方自治之原則,其縣(市)政府組織之設立及管理為縣(市)自治事項,是故地方公務機關(構)之上級或監督機關為縣(市)政府,非中央部會。
吳先生好:
如機關無維運自行或委外開發之資通系統,則資通安全責任等級為D級。
吳先生好:
通報應變第七條第三級或第四級資通安全事件,不包括攻防演練之第三級或第四級資通安全事件。
吳先生好:
資安健診的價格主要是依市場的供需決定,無法直接規範國內資安廠商。但希望能借由需求面的提供,吸引更多廠商投入資安產業,以降低價格,後續在共同供應契約招標時,將再研議如何提供協助。
吳先生您好:
依資安法各機關需訂定資通安全事件通報應變機制。主管機關會提供範本供參。上級機關可再據以訂定專屬範本,供所屬機關使用,但機關仍應視自身情形修改內容。
高小姐 好:
依資通安全管理法第三條第三款中對於資通安全之定義,係「指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性」。資訊安全與資通安全之定義近似,但資通安全時除了資訊外,亦包括通訊範疇,範圍較廣。
吳先生、Din 好:
有關資安專職(責)人力的配置,目前子法相關規定是與機關之資通安全責任等級對應,A、B、C級機關分別應該配置4、2、1人,而機關之資通安全責任等級則是依機關所保有的資訊、業務及資通系統之規模而定。
如依資通安全管理法及相關子法規定,資安工作包括資通安全維護計畫、資通安全事件通報應變機制之訂定、修正及實施以及資通安全責任等級分級辦法中之應辦事項等,C級機關係有維運自行或委外開發資通系統之機關,其資通系統之防護需求仍高於D、E級機關,要求機關配置1位人力專辦資安業務應屬妥適。
此外資通安全管理法施行後,對公務機關即具一定之法遵義務,有利於爭取機關之資源優先配置在資安工作上;另外,建議小型機關亦可透過資訊資源向上集中之機制,充分共享上級機關或地方政府之資通訊資源。
ASON好:
資安法所規範之專職或專責人員,其工作內容主要為依本法所辦理之資通安全政策、計畫及技術規範之研訂、資通系統建置之安全規劃、評估、稽核、事件通報與應變等事項。
Eddie 好
由於公務機關之屬性差異很大,實務上級或監督機關亦可能將相關資安業務委由其所屬機關進行,實難依據所屬機關數量指定專職人員。
資通安全責任等級分級辦法附表中應辦事項,本就僅是最低之要求,機關本可依其實際需要,增加資安專職(責)人員之配置。
Shiu 好
由於各機關所轄業務性質、相關資訊系統及所列經費皆異,故資通安全管理法及子法中優先針對於核心資通系統之防護進行要求。各機關仍可視其相關資通訊系統及資訊之重要性,加強一般電腦之軌跡紀錄及防駭能力,甚或異地保存之。
至於利用相關軌跡紀錄等進行數據分析是目前資安相關領域精進之方向,不論政府或產業皆已關注及投入。
harles 好
謝謝您的建議,後續將為政府推動資安產業之參考。
Lee 好:
謝謝你對於子法內容提出的諸多建議,也期待各機關一同努力。
你所提有關提供地方機關輔導資源之建議,將納入後續推動之評估。
查理好:
A、B級機關如因業務往來有間接受害可能,即應嚴格落實驗證與授權管制,以最小權限開放與嚴格控管,並定期檢視資料提供與接收之過程是否有可疑情況並速處理。至於所述的B級機關也須建置APT防禦要求建議,考量B級機關與A級機關仍有業務重要性之差別,且亦可透過管理作業與相關資安防護設備進行異常告警,縮短APT攻擊之發現時間,故無強制要求。
64 留言
2
已關注
