资通安全事件通报与应变机制

目的及适用范围

为加强应对资通安全事件的能力，以避免事件失控对组织运作造成持续影响的危机，我们制定了「资通安全事件通报与应变机制」。

当公司系统、服务或网络的状态显示可能违反资通安全政策或保护措施失效时，这些事件将被鉴别并视为对资通系统功能运作构成威胁的情况。

资通安全风险管理架构

(一) 本公司的信息安全政策管理与规划由信息管理处负责，并由资安小组负责处理与通报相关事件，包括：

➢ 信息安全技术与项目评估规划。

➢ 机房的维护与管理。

➢ 硬设备和系统的维护与管理。

(二) 对于信息安全的防毒、防灾、防骇、防漏等机制，我们定期向权责主管进行报告汇整。

(三) 资通安全架构

资通安全事件等级

本公司所讨论的资通安全事件泛指任何对于资通安全的机密性、完整性或可用性造成危害的突发事件。为了有效应对，我们将资通安全事件分为三级，依照严重程度分别为「3级」、「2级」和「1级」。

(一)3 级事件

符合以下任一情形者，属于3级事件：

1. 机房设备发生电力异常或停电，导致系统无法正常运作或停止运行，无法在可容忍的中断时间内恢复正常运作。

2. 机房因强烈地震或火灾等灾害而受损，导致系统无法运作或停止运行，无法在可容忍的中断时间内恢复正常运作。

(二)2 级事件

符合下列任一情形者，属于 2 级事件：

1. 资通系统的硬件受损，导致系统无法运作或停止运行，无法在可容忍的中断时间内恢复正常运作。

2. 资通系统遭受黑客攻击、病毒感染或恶意软件攻击，导致系统无法运作或停止运行，无法在可容忍的中断时间内恢复正常运作。

3. 资通系统的网络通讯中断，导致系统无法运作或停止运行，无法在可容忍的中断时间内恢复正常运作。

(三)1 级事件

符合下列任一情形者，属 1 级事件：

1. 资通系统发生轻微泄漏、轻微窜改或数据异常。

2. 资通系统的运作受到影响或停止，但在可容忍的中断时间内能够恢复正常运作。

资通安全事件通报窗口及应变作业流程

(一) 资通安全事件通报窗口及联系专线：06-2091821 Mail： service@smims.com.tw

(二) 人员发现资通安全事件后，应立即向所属单位主管及信息部之通报窗口通报。

(三) 应确保通报窗口的联络管道全天维持畅通。若因设备故障或其他情形导致窗口联络管道中断，且中断情况持续达一小时以上，应立即通知相关人员，并提供其他有效的临时联络管道。

(四) 当事件经初步判断认为可能属于重大资安事件或事态严重时，应即向行政主管报告。信息部主管应成立紧急处理小组，立即开会讨论应变计划。

(五) 各相关权责人员应详细纪录事件处理过程，并检讨事件发生的原因，积极着手进行改善措施，同时留存必要的证据。

资通安全事件通报程序

(一)判定事件等级之流程及权责

权责人员或紧急处理小组在知悉资通安全事件后，应依据以下事项完成资通安全事件等级判断：

1. 事件导致资通系统遭窜改的影响程度，判断是属于严重还是轻微程度。

2. 事件导致资通系统遭受中毒、恶意攻击或电力设备异常等情况，以及机房发生灾害等导致系统停顿的情况，需要评估是否在可容忍中断时间内能够回复正常运作。

3. 事件可能涉及其他足以影响资通安全事件等级的因素，这些因素也应纳入考虑。

(二) 除了评估资通安全事件的等级外，权责人员或紧急处理小组也应评估事件对资通安全的影响范围和损害程度，以及应对这些影响的能力。

(三) 权责人员或紧急处理小组在完成资通安全事件等级的判断和相关评估后，应尽速向权责主管代表报告，并等待核准。

(四) 如果资通安全事件的等级发生变更，权责人员或紧急应变小组应立即通知通报窗口，以确保通报作业得以继续进行。

资通安全事件应变程序

(一) 事件发生前的防护措施规划

本公司应于平时妥善实施资通安全维护计划，并以组织营运目标与策略为基准。透过整体的营运冲击分析，我们将规划业务持续运作计划并实施演练，以预防资安事件的发生。

(二)损害控制机制

负责应变之权责人员或紧急处理小组，应完成以下应变事务之办理，并留存应变之纪录：

1. 资安事件之冲击及损害控制作业。

2. 资安事件所造成损害之复原作业。

3. 资安事件之调查、处理方式以及改善报告的撰写。

4. 资安事件后续发展监控以及与其他事件的关联性追踪。

5. 信息系统、网络、机房等安全区域发生重大事故或灾难，导致业务中断时，应依据公司事先拟定的紧急计划，进行应变措施以恢复业务持续运作。

6. 其他资通安全事件应变相关事项。

对于第一级和第二级资通安全事件，本公司应于知悉事件后七十二小时内完成上述事务的办理，并留存相关纪录。对于第三级资通安全事件，应于知悉事件后三十六小时内完成损害控制或复原作业，并执行上述事项，同时留存相关纪录。

纪录留存及管理程序之调整

(一) 本公司应将资通安全事件的通报与应变作业执行情形、事件影响范围与损害程度，以及其他通报应变的执行情形，完整地留存于「信息设备或系统异常状况处理纪录表」上。该文件应经承办人员和权责主管签核。

(二) 本公司于完成资通安全事件的通报及应变程序后，应根据「信息设备或系统异常状况处理纪录表」中的内容和实际处理情况，对管理程序、人力配置或其他相关事项进行必要的修正或调整。

输出文件／纪录

(一)信息设备或系统异常状况处理纪录表 (二)资通安全事件应变机制与检查表

(三)非法软件定期检查表

资通安全具体管理方案

(一) 为因应突发状况及信息数据回复，我们已着手规划信息断线备援演练及备援资产盘点。透过演练，我们将进一步了解目前欠缺的措施、设备、人员熟练等应变能力，并透过后续的补强规划，强化企业整体的应变能力与危机处理。

(二) 机房内主服务器设备与电力管理等，均定期配合厂商定期维护，以保障防灾、消防规划、不断电系统等，以确保维运环境的安全。

(三) 使用防火墙机制，将各内部需使用网络与服务的单位群组进行分类与应用服务管制。加上时段管理与透过申请机制，进一步强化网络管理与弹性应用。

(四) 邮件服务搭配 SPAM 机制，并挂载防毒模块与进阶防御模块，以进行进阶恶意软件比对，防御鱼叉式攻击、汇款诈骗、APT 攻击邮件、勒索病毒以及新型态攻击等事件。

(五) 数据文件与系统面等备份，均安排排程自动化的定期备份与异地存放。

(六) 使用服务器虚拟化技术，透过系统备份机制，可在突发状况发生时，快速进行系统挂载与服务恢复。

(七) 公司内所有的 Windows 计算机均部署防病毒软件，并定期配合操作系统更新，以有效避免系统漏洞、提升系统安全，保障企业在整体应用上、网络上、管理上的可靠性与安全性。

(八) 公司内各系统的使用，同仁员工密码原则上均不能少于 8 码，并搭配特殊符号、数字、大小写英文等，同时不能与历程密码相同。

(九) 定期倡导信息安全政策与提供改善措施等规划，避免内部同仁透过上网行为、邮件内容、USB 的即插即用与个人持有设备等使用操作，造成公司内部风险提升与间接异常破坏。

资安风险	资安管控因应措施
1. 在办公室内私自安装计算机及网络通讯等相关设备的不当行为	1. 防火墙政策规则确保公司内外部网络安全联机，防止恶意软件和黑客入侵等网络安全威胁
2. 使用者未在停止使用资通系统时立即停用或移除使用者账号	2. 公司计算机安装防病毒软件，以确保计算机免受病毒侵害，提升计算机的安全性保护
3. 机密信息未在储存或传输时进行加密	3. 邮件防护系统包括垃圾邮件防护、病毒邮件防护和防御邮件威胁与攻击，以确保企业邮件的安全性
4. 用户在使用电子邮件时未提高警觉，并阅读来自未知来源的邮件	4. 进行信息安全加强倡导与教育训练，推广人员对信息安全的意识，并强化对相关责任的认知