【學長姊帶路】如何建立資安風險管理?從了解《資通安全管理法》開始
原標《《資通安全管理法》完善公部門的資訊安全》
文/UPAS 內網安控管理領導品牌
資安即國安
網路的蓬勃發展,使人們各項活動都有電腦設備的參與,政府機關也不例外。伴隨便利而來的是持續擴大的資訊安全風險與網路攻擊,對於擁有眾多重要資料的政府機關,如何抵禦這些攻擊成為當務之急。
在參考世界先進國家的資安法令後,《資通安全管理法》於 108 年元旦在台灣正式實施,將政府的資安防護要求從過去的行政命令提升至法令位階,提供完整的資安架構,讓重要機關加速完善資安系統,保障國家安全與維護社會利益。
本文大綱
- 資安風險管理的建立
- 《資安法》降低資通系統的安全風險
- UPAS 如何協助遵守《資安法》
透過法律規範建立資安風險管理
資安事件的發生往往會帶來重大的影響,尤其是擁有民眾個資、機密資料的政府機關更是不能容忍各類型的資安事件。
但是因為人為的疏失、攻擊手段的不斷進步,想要達成 100% 的資安防護成為不切實際的理想。因此資安管理系統的目標是透過 PDCA:
計畫( Plan ):管理資安風險的目標及改進資安系統的相關政策、控制措施
執行( Do ):實際運行計畫的政策、控制措施
查核( Check ):依據執行的成果檢查與預計目標的差異
行動( Act ):提出修正方案縮減成果與目標的差異,使下次計畫更加完善
等 4 階段的循環,透過不斷的審視與改進資安系統,將資訊安全風險降至可接受的範圍,保護資訊安全。
《資通安全管理法》也依循 PDCA 的方式,透過 6 項子法建立完善的風險管理流程。
資通安全管理法施行細則
資通安全責任等級分級辦法
資通安全事件通報及應變辦法
特定非公務機關資通安全維護計畫實施情形稽核辦法
資通安全情資分享辦法
公務機關所屬人員資通安全事項獎懲辦法
《資通安全管理法》降低資通系統的安全風險
《資通安全管理法》的適用範圍為公務機關(如,中央政府、地方政府、行政法人)與非公務機關(主要為關鍵基礎設施提供者),將相關機構依重要性分為 5 個級別,其中對 A、B、C 三個級別有較多的資安規範。
《資通安全責任等級分級辦法》中將公務/非公務機關應辦事項分為管理面、技術面、認知與訓練,並將控制措施獨立為附表十。
管理面:要求各級機關應將資通系統防護需求分級,完成附表十的控制措施,並於規定時間內通過 ISO 27001 認證。
技術面:對資通安全系統的各項技術要求定時的檢視與維護。
認知與訓練:要求各級人員需進行資通安全教育訓練,資通安全相關人員須持有相關證照。
附表十、 資通系統防護基準:將控制措施分為存取控制、稽核與可歸責性、營運持續計畫、識別與鑑別、系統與服務獲得、系統與通訊保護、系統與資訊完整性,對於不同的防護級別有各自不同的控制要求。
另外《資通安全管理法》也強調資通安全事件通報的重要性,因此於《資通安全事件通報及應變辦法》中規定在發現資安事件後,需於限定時間內通報主管機關。
《資通安全管理法》的罰則
為使資安法之相關規範得以落實,資安法對公務/非公務機關分別訂有不同罰則。
公務機關
訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容,配合機關內部之人事考評規定訂定獎懲基準。非公務機關
針對未依資安法及相關規定辦理應辦事項之特定非公務機關,中央目的事業主管機關得令限期改正,並按情節處 10 萬至 100 萬元之罰鍰。
惟就資通安全事件通報部分,因考量其影響範圍層面較廣,故規定特定非公務機關如未依規定進行通報,則可處以 30 萬元至 500 萬元之罰鍰。
UPAS 與《資通安全管理法》
- UPAS 符合多數的 ISO 27001 控制項,可以減少在導入 ISO 27001 時所需耗費的成本與時間,並且 UPAS 系統可免安裝 Agent 的特性,使 UPAS 可以彈性適應各種環境,減少導入所需花費時間,用最快的速度提供完善的內網安全管理系統。
- PM 模組與 SIM 模組提供防毒軟體、病毒碼更新與安裝檢查,並可介接多項資產軟體與 WSUS 資料庫,強迫不合規電腦進行更新。
- UPAS 符合 4 項附表十控制措施的「高防護需求」,分別為:帳號管理、稽核紀錄內容、使用者識別與鑑別、軟體及資訊完整性;另可符合資通系統監控的「中防護需求」。
詳細對應項資訊請參閱:UPAS NOC 7.0 《資通安全管理法》 符規對照表
※本文由 UPAS 內網安控管理領導品牌 授權勿任意轉載,原文《《資通安全管理法》完善公部門的資訊安全》
___________
你也有經驗想分享嗎?快來投稿賺稿費吧!
瀏覽 185 次
