[研究]應辦事項-技術面-比較表
2025-10-10
法規名稱:資通安全責任等級分級辦法
修正日期:民國 110 年 08 月 23 日
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304
有錯或異動,以原文為準
| 辦理項目 | 辦理項目細項 | A公務 | A特定非公務 | B公務 | B特定非公務 | C公務 | C特定非公務 | D公務、特定非公務 | E公務、特定非公務 |
| 安全性檢測 | 弱點掃描 | 全部核心資通系統每年辦理二次。 | 同左 | 全部核心資通系統每年辦理一次。 | 同左 | 全部核心資通系統每二年辦理一次。 | 同左 | 無 | 無 |
| 滲透測試 | 全部核心資通系統每年辦理一次。 | 同左 | 全部核心資通系統每二年辦理一次。 | 同左 | 同左 | 同 | 無 | 無 | |
| 資通安全健診 | 網路架構檢視 | 每年辦理一次。 | 同左 | 每兩年辦理一次。 | 同左 | 同左 | 同左 | 無 | 無 |
| 網路惡意活動檢視 | |||||||||
| 使用者端電腦惡意活動檢視 | |||||||||
| 伺服器主機惡意活動檢視 | |||||||||
| 目錄伺服器設定及防火牆連線設定檢視 | |||||||||
| 資通安全威脅偵測管理機制 | 初次受核定或等級變更後之一年內,完成威脅偵測機制建置,並持續維運及依主管機關指定之方式提交監控管理資料。其監控範圍應包括本表所定「端點偵測及應變機制」與「資通安全防護」之辦理內容、目錄服務系統與機關核心資通系統之資通設備紀錄及資訊服務或應用程式紀錄。 | 初次受核定或等級變更後之一年內,完成威脅偵測機制建置,並持續維運。其監控範圍應包括本表所定「資通安全防護」之辦理內容、目錄服務系統與機關核心資通系統之資通設備紀錄及資訊服務或應用程式紀錄。 | 同A公務 | 同A特定非公務 | 無 | 無 | 無 | 無 | |
| 政府組態基準(GCB) | 初次受核定或等級變更後之一年內,依主管機關公告之項目,完成政府組態基準導入作業,並持續維運。 | 無 | 同A公務 | 無 | 無 | 無 | 無 | 無 | |
| 資通安全弱點通報機制 註:資通安全弱點通報系統(Vulnerability Analysis and Notice System, 簡稱VANS) |
一、 初次受核定或等級變更後之一年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
二、 本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後一年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。 |
一、 關鍵基礎設施提供者初次受核定或等級變更後之一年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
二、 同A公務 |
同A公務 | 同A特定非公務 | 一、 初次受核定或等級變更後之二年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
二、 本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後二年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。 |
一、 關鍵基礎設施提供者初次受核定或等級變更後之二年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。 二、 本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後二年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。 |
無 | 無 | |
| 端點偵測及應變機制 (EDR) | 一、 初次受核定或等級變更後之二年內,完成端點偵測及應變機制導入作業,並持續維運及依主管機關指定之方式提交偵測資料。
二、 本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後二年內,完成端點偵測及應變機制導入作業,並持續維運及依主管機關指定之方式提交偵測資料。 |
無 | 同A公務 | 無 | 無 | 無 | 無 | 無 | |
| 資通安全防護 | 防毒軟體 | 初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新或升級。 | 同 | 同 | 同 | 同 | 同 | 同 | 無 |
| 網路防火牆 | 同 | 同 | 同 | 同 | 同 | 同 | 無 | ||
| 具有郵件伺服器者,應備電子郵件過濾機制 註:垃圾郵件過濾(Spam Filtering) |
同 | 同 | 同 | 同 | 同 | 無 | 無 | ||
| 入侵偵測及防禦機制 註:入侵偵測系統(IDS) 和 入侵防禦系統(IPS) |
同 | 同 | 同 | 無 | 無 | 無 | 無 | ||
| 具有對外服務之核心資通系統者,應備應用程式防火牆 註:WAF |
同 | 同 | 同 | 無 | 無 | 無 | 無 | ||
| 進階持續性威脅攻擊防禦措施 註:進階持續性威脅(advanced persistent threat, APT) |
同 | 無 | 無 | 無 | 無 | 無 | 無 | ||
相關
法規名稱:資通安全責任等級分級辦法
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304
附表一 資通安全責任等級A級之公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298107&lan=C
附表二 資通安全責任等級A級之特定非公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298108&lan=C
附表三 資通安全責任等級B級之公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298109&lan=C
附表四 資通安全責任等級B級之特定非公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298110&lan=C
附表五 資通安全責任等級C級之公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298111&lan=C
附表六 資通安全責任等級C級之特定非公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298112&lan=C
附表七 資通安全責任等級D級之各機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298113&lan=C
附表八 資通安全責任等級E級之各機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298114&lan=C
附表九 資通系統防護需求分級原則.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254363&lan=C
附表十 資通系統防護基準.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298115&lan=C
法規名稱:資通安全事件通報及應變辦法
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030305
資安演練與稽核
https://moda.gov.tw/ACS/operations/drill-and-audit/652
沒有留言:
張貼留言