[研究]資通安全責任等級分級辦法-附表十 資通系統防護基準 閱讀重點摘要
2025-10-20
法規名稱:資通安全責任等級分級辦法
修正日期:民國 110 年 08 月 23 日
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304
有錯或異動,以原文為準
資通系統應遮蔽鑑別過程中之資訊。
| 控制措施-構面 | 控制措施-措施內容 | 防護需求等級(高) | 防護需求等級(中) | 防護需求等級(普) |
| 存取控制 | 帳號管理 | 一、機關應定義各系統之閒置時間或可使用期限與資通系統之使用情況及條件。 二、逾越機關所許可之閒置時間或可使用期限時,系統應自動將使用者登出。 三、應依機關規定之情況及條件,使用資通系統。 四、監控資通系統帳號,如發現帳號違常使用時回報管理者。 五、等級「中」之所有控制措施。 強化使用監控、異常偵測、自動登出與使用條件管理。 |
一、已逾期之臨時或緊急帳號應刪除或禁用。 二、資通系統閒置帳號應禁用。 三、定期審核資通系統帳號之申請、建立、修改、啟用、停用及刪除。 四、等級「普」之所有控制措施。 加入帳號審核、禁用閒置或過期帳號等控管。 |
建立帳號管理機制,包含帳號之申請、建立、修改、啟用、停用及刪除之程序。 只需建立帳號管理的基本程序。 |
| 最小權限 | 採最小權限原則,僅允許使用者(或代表使用者行為之程序)依機關任務及業務功能,完成指派任務所需之授權存取。 | 無要求。 | ||
| 遠端存取 |
一、遠端存取之來源應為機關已預先定義及管理之存取控制點。 二、等級「普」之所有控制措施。 僅允許預先定義的安全控制點 |
一、對於每一種允許之遠端存取類型,均應先取得授權,建立使用限制、組態需求、連線需求及文件化。 二、使用者之權限檢查作業應於伺服器端完成。 三、應監控遠端存取機關內部網段或資通系統後臺之連線。 四、應採用加密機制。 遠端存取授權、伺服器端權限檢查、連線監控與加密 |
||
| 事件日誌與可歸責性 | 記錄事件 | 一、 應定期審查機關所保留資通系統產生之日誌。 二、等級「普」之所有控制措施。 定期審查日誌內容 |
一、訂定日誌之記錄時間週期及留存政策,並保留日誌至少六個月。 二、確保資通系統有記錄特定事件之功能,並決定應記錄之特定資通系統事件。 三、應記錄資通系統管理者帳號所執行之各項功能。 僅需設定日誌留存政策與記錄特定事件 |
|
| 日誌紀錄內容 | 資通系統產生之日誌應包含事件類型、發生時間、發生位置及任何與事件相關之使用者身分識別等資訊,採用單一日誌機制,確保輸出格式之一致性,並應依資通安全政策及法規要求納入其他相關資訊。 | |||
| 日誌儲存容量 | 依據日誌儲存需求,配置所需之儲存容量。 | |||
| 日誌處理失效之回應 | 一、機關規定需要即時通報之日誌處理失效事件發生時,資通系統應於機關規定之時效內,對特定人員提出警告。 二、等級「中」及「普」之所有控制措施。 需在規定時間內自動警示特定人員 |
資通系統於日誌處理失效時,應採取適當之行動。 僅需在日誌失效時採取適當行動 |
||
| 時戳及校時 |
一、系統內部時鐘應定期與基準時間源進行同步。 二、等級「普」之所有控制措施。 定期同步 |
資通系統應使用系統內部時鐘產生日誌所需時戳,並可以對應到世界協調時間(UTC)或格林威治標準時間(GMT)。
只要求能對應時間 |
||
| 日誌資訊之保護 |
一、定期備份日誌至原系統外之其他實體系統。 二、等級「中」之所有控制措施。 外部備份 |
一、應運用雜湊或其他適當方式之完整性確保機制。 二、等級「普」之所有控制措施。 日誌完整性 |
對日誌之存取管理,僅限於有權限之使用者。
限制存取權限 |
|
| 營運持續計畫(BCP) | 系統備份 |
一、應將備份還原,作為營運持續計畫測試之一部分。 二、應在與運作系統不同地點之獨立設施或防火櫃中,儲存重要資通系統軟體與其他安全相關資訊之備份。 三、等級「中」之所有控制措施。 異地保存並納入營運持續測試 |
一、應定期測試備份資訊,以驗證備份媒體之可靠性及資訊之完整性。 二、等級「普」之所有控制措施。 定期測試以確保可靠與完整 |
一、訂定系統可容忍資料損失之時間要求。 二、執行系統源碼與資料備份。 基本備份、訂定容忍損失時間 |
| 系統備援 | 一、訂定資通系統從中斷後至重新恢復服務之可容忍時間要求。 二、原服務中斷時,於可容忍時間內,由備援設備或其他方式取代並提供服務。 備援機制 |
無要求。 | ||
| 識別與鑑別 | 內部使用者之識別與鑑別 | 一、對資通系統之存取採取多重認證技術。 二、等級「中」及「普」之所有控制措施。 多重認證 |
資通系統應具備唯一識別及鑑別機關使用者(或代表機關使用者行為之程序)之功能,禁止使用共用帳號。 不得共用帳號 |
|
| 身分驗證管理 |
一、身分驗證機制應防範自動化程式之登入或密碼更換嘗試。 二、密碼重設機制對使用者重新身分確認後,發送一次性及具有時效性符記。 三、等級「普」之所有控制措施。 強化驗證、抵禦攻擊 (重點在「防自動化攻擊」、「一次性符記」、「多層驗證強化」。) |
一、使用預設密碼登入系統時,應於登入後要求立即變更。 二、身分驗證相關資訊不以明文傳輸。 三、具備帳戶鎖定機制,帳號登入進行身分驗證失敗達五次後,至少十五分鐘內不允許該帳號繼續嘗試登入或使用機關自建之失敗驗證機制。 四、使用密碼進行驗證時,應強制最低密碼複雜度;強制密碼最短及最長之效期限制。 五、密碼變更時,至少不可以與前三次使用過之密碼相同。 六、第四點及第五點所定措施,對非內部使用者,可依機關自行 基本防護、密碼規範 (重點在「密碼管理」、「帳鎖機制」、「避免明文傳輸」。) |
||
| 鑑別資訊回饋 | 資通系統應遮蔽鑑別過程中之資訊。 | |||
| 加密模組鑑別 | 資通系統如以密碼進行鑑別時,該密碼應加密或經雜湊處理後儲存。 | 無要求。 | ||
| 非內部使用者之識別與鑑別 | 資通系統應識別及鑑別非機關使用者(或代表機關使用者行為之程序)。 | |||
| 系統與服務獲得 | 系統發展生命週期需求階段 | 針對系統安全需求(含機密性、可用性、完整性)進行確認。 | ||
| 系統發展生命週期設計階段 |
一、根據系統功能與要求,識別可能影響系統之威脅,進行風險分析及評估。 二、將風險評估結果回饋需求階段之檢核項目,並提出安全需求修正。 風險識別與需求回饋 |
無要求。 | ||
| 系統發展生命週期開發階段 |
一、執行「源碼掃描」安全檢測。 二、系統應具備發生嚴重錯誤時之通知機制。 三、等級「中」及「普」之所有控制措施。 |
一、應針對安全需求實作必要控制措施。 二、應注意避免軟體常見漏洞及實作必要控制措施。 三、發生錯誤時,使用者頁面僅顯示簡短錯誤訊息及代碼,不包含詳細之錯誤訊息。 |
||
| 系統發展生命週期測試階段 |
一、執行「滲透測試」安全檢測。 二、等級「中」及「普」之所有控制措施。 |
執行「弱點掃描」安全檢測。 | ||
| 系統發展生命週期部署與維運階段 | 一、於系統發展生命週期之維運階段,應執行版本控制與變更管理。 二、等級「普」之所有控制措施。 |
一、於部署環境中應針對相關資通安全威脅,進行更新與修補,並關閉不必要服務及埠口。 二、資通系統不使用預設密碼。 |
||
| 系統發展生命週期委外階段 | 資通系統開發如委外辦理,應將系統發展生命週期各階段依等級將安全需求(含機密性、可用性、完整性)納入委外契約。 | |||
| 獲得程序 | 開發、測試及正式作業環境應為區隔。 | 無要求。 | ||
| 系統文件 | 應儲存與管理系統發展生命週期之相關文件。 | |||
| 系統與通訊保護 | 傳輸之機密性與完整性 |
一、資通系統應採用加密機制,以防止未授權之資訊揭露或偵測資訊之變更。但傳輸過程中有替代之實體保護措施者,不在此限。 二、使用公開、國際機構驗證且未遭破解之演算法。 三、支援演算法最大長度金鑰。 四、加密金鑰或憑證應定期更換。 五、伺服器端之金鑰保管應訂定管理規範及實施應有之安全防護措施。 |
無要求。 | 無要求。 |
| 資料儲存之安全 | 資通系統重要組態設定檔案及其他具保護需求之資訊應加密或以其他適當方式儲存。 | 無要求。 | 無要求。 | |
| 系統與資訊完整性 | 漏洞修復 |
一、定期確認資通系統相關漏洞修復之狀態。 二、等級「普」之所有控制措施。 |
系統之漏洞修復應測試有效性及潛在影響,並定期更新。 | |
| 資通系統監控 | 一、資通系統應採用自動化工具監控進出之通信流量,並於發現不尋常或未授權之活動時,針對該事件進行分析。 二、等級「中」之所有控制措施。 全方位自動化監控與事件分析 |
一、監控資通系統,以偵測攻擊與未授權之連線,並識別資通系統之未授權使用。 二、等級「普」之所有控制措施。 監控偵測未授權使用 |
發現資通系統有被入侵跡象時,應通報機關特定人員。 入侵通報 |
|
| 軟體及資訊完整性 | 一、應定期執行軟體與資訊完整性檢查。 二、等級「中」之所有控制措施。 定期 |
一、使用完整性驗證工具,以偵測未授權變更特定軟體及資訊。 二、使用者輸入資料合法性檢查應置放於應用系統伺服器端。 三、發現違反完整性時,資通系統應實施機關指定之安全保護措施。 |
無要求。 | |
相關
法規名稱:資通安全責任等級分級辦法
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304
附表一 資通安全責任等級A級之公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298107&lan=C
附表二 資通安全責任等級A級之特定非公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298108&lan=C
附表三 資通安全責任等級B級之公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298109&lan=C
附表四 資通安全責任等級B級之特定非公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298110&lan=C
附表五 資通安全責任等級C級之公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298111&lan=C
附表六 資通安全責任等級C級之特定非公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298112&lan=C
附表七 資通安全責任等級D級之各機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298113&lan=C
附表八 資通安全責任等級E級之各機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298114&lan=C
附表九 資通系統防護需求分級原則.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254363&lan=C
附表十 資通系統防護基準.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298115&lan=C
法規名稱:資通安全事件通報及應變辦法
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030305
資安演練與稽核
https://moda.gov.tw/ACS/operations/drill-and-audit/652
沒有留言:
張貼留言