每日一題 高考資通安全類科─資通安全法令與規範(20241216)
資通安全管理法如何落實於公務及特定非公務機關?
資通安全管理法透過以下方式落實於公務及特定非公務機關: 一、 資通安全責任等級分級: ●主管機關依據各機關業務的重要性與機敏性、機關層級、資訊種類、數量、性質、資通系統規模及性質等條件,訂定資通安全責任等級分級辦法。 ●公務機關和特定非公務機關的資通安全責任等級分為 A、B、C、D、E 五級,主管機關應每兩年核定自身資通安全責任等級,行政院直屬機關應每兩年提交自身、所屬或監督之公務機關及所管之特定非公務機關之資通安全責任等級,報主管機關核定。 ●不同等級的機關需要辦理的資通安全防護事項有所不同,例如 A 級機關需要辦理的事項最多,E 級機關最少。 ●資通安全責任等級分級辦法也規定了資通系統防護基準,其中包含了系統與服務獲得、身分鑑別與授權、系統與服務管理、網路安全、實體與環境安全等面向的控制措施。 二、 資通安全維護計畫: ●公務機關和特定非公務機關都需要依法訂定、修正及實施資通安全維護計畫,計畫內容應包括核心業務及其重要性、資通安全政策及目標、資通安全推動組織、專責人力及經費之配置、公務機關資通安全長之配置、資通系統及資訊之盤點、資通安全風險評估、資通安全防護及控制措施、資通安全事件通報、應變及演練相關機制、資通安全情資之評估及因應機制、資通系統或服務委外辦理之管理等事項。 ●特定非公務機關的資通安全維護計畫需由數位發展部定期稽核,稽核方式為現場實地稽核。 ●公務機關的資通安全維護計畫則由上級機關或監督機關稽核。 ●稽核後若發現缺失或待改善事項,受稽核機關應提出改善報告。 ●書中提供了一些撰寫資通安全維護計畫的範本,例如資通安全政策及目標、資通安全推動組織、專責人力及經費配置、資通系統及資訊之盤點、實體與環境安全、資通安全情資之管理、資通安全稽核、資通安全維護計畫之持續精進及績效管理等。 三、 資通安全事件通報及應變: ●公務機關和特定非公務機關都需訂定資通安全事件通報及應變機制,並依規定進行通報和應變。 ●書中也提供了資通安全事件通報及應變程序的範本,包括事件通報窗口及緊急處理小組、通報程序、應變程序、資安事件後之復原、鑑識、調查及改善機制、紀錄留存及管理程序之調整、演練作業等。 ●各機關應定期辦理資通安全演練,包括社交工程演練、資通安全事件通報及應變演練等。 四、 獎懲辦法: ●公務機關所屬人員資通安全事項獎懲辦法規定了辦理資通安全業務的獎懲,例如訂定、修正及實施資通安全維護計畫績優、辦理資通安全業務切合機宜、防止資通安全事件之發生等行為可予以嘉獎或記功;而未依規定辦理資通安全事項、辦理資通安全業務績效不良等行為則可予以申誡或記過。 五、 其他相關法規: ●資通安全管理法也與其他法律相關,例如行政程序法、刑法、民法等。 六、 實務應用: ●書中提供了許多實務應用的例子,例如如何撰寫資通安全維護計畫、如何進行資通安全稽核、如何辦理資通安全事件通報及應變等。 總之,資通安全管理法透過多種方式,從法規、計畫、機制、獎懲等方面,全方位地落實於公務及特定非公務機關,以確保國家整體的資通安全。
沒有留言:
張貼留言