當前資安情勢與未來推動重點 行政院 報告人:資通安全處簡處長宏偉 105年9月22日 1

現階段政府資安運作機制及分工 提升政府機關資安防護能量 研議及推動制定「資通安全管 理法」 研議「第五期國家資通訊安全 發展方案」 循序研修重要作業規定，如國 家資通安全通報應變作業綱要、 政府機關(構)資通安全責任等 級分級作業規定、資訊系統分 級與資安防護基準作業規定… 強化公私協同合作機制 規劃推動基礎環境改善工程， 如加速政府資訊安全組態基準 (GCB)導入、強化關鍵資訊基 礎設施防護(CIIP)… 研議相關配套措施，如陸資來 臺投資資訊服務業資安管理措 施、即時通訊軟體管理分工等 各機關：落實資安責任等級 應辦事項(ISMS/專責人力/ 防護縱深/監控管理)、資訊 系統資安防護基準、導入 GCB、資安事件通報應變 … 技服中心：推動G-SOC監控 聯防機制、加強GSN監控及 防護機制、協助重大資安事 件應變處置、推動資安職能 與專業證照、維運公私協同 合作機制(G-ISAC、技術交 流小組、SPMO)… 主管及相關機關：政府整體 資安防護、資安科技發展及 國際交流合作、資安認驗證 標準及體系、資安人才培育、 防治網路犯罪、個資保護、 網路內容安全、主要體系及 事業資安防護… 提升政府機關資安防護能量 資安會報委員會議 資安會報各體系及工作組會議 資安長及資訊主管會議 政府機關資安巡迴研討會 網路攻防演練研討會 大規模網路攻防演練 資安稽核 資安治理成熟度、防護能力指標 資安關鍵指標 資安健診、弱點掃描、滲透測試 通報演練及電子郵件社交工程演練

行政院國家資通安全會報組織架構 行政院國家資通安全會報 105年8月1日生效 召集人：行政院副院長 副召集人：政務委員及指定相關部會首長1人 協同副召集人：國安會諮詢委員 委員：行政院本部、部會及直轄市副首長、國安局副局長、學者及專家 資通安全諮詢會 (會報諮詢單位) 行政院資通安全處 (會報幕僚單位) 技術服務中心 網際防護體系 行政院資通安全處 網際犯罪偵防體系 內政部/法務部 關鍵基礎設施防護體系 行政院國土安全辦公室 其他資安相關體系 各主管機關 關鍵資訊基礎設施安全管理組 行政院資通安全處 產業發展組 經濟部 資通安全防護組 行政院資通安全處 (各機關) 法規及標準 規範組 行政院 資通安全處 認知教育及 人才培育組 教育部 個資保護 及法制推動組 法務部 (各機關) 防治網路 犯罪組 內政部/法務部 資通訊環境及 網際內容安全組 通傳會 (相關機關) 資訊服務分組 科技部 通訊傳播分組 通傳會 衛生醫療分組 衛福部 金融服務分組 金管會 交通事業分組 交通部 能源及水資源分組 經濟部 科技園區分組 科技部 電子化政府分組 國發會 行政院資通安全處 資安法規及規範分組 國家標準分組 經濟部 資安教育分組 教育部 競賽及產業交流分組 經濟部

立法目的 參考指引 資安政策 資安法規 與相關規定 除規範公務機關外，亦規範關鍵基礎設施提供者等非公務機關 資通安全管理法及子法 安全控制措施參考指引 無線網路安全參考指引 資訊系統風險評鑑參考指引 資訊作業委外安全參考指引……等18份 資安特別法(或條文)： 刑法36章、電信法、電子簽章法 國家機密保護法、個人資料保護法、 金融控股公司法、銀行法、 醫療法、人體生物資料庫管理條例等 與相關規定 除規範公務機關外，亦規範關鍵基礎設施提供者等非公務機關 要求訂定安全維護計畫(透過細則要求以風險管理為核心訂定之) 資通安全管理法及子法 國家資通訊安全發展方案 資通安全通報應變作業機制 行政院及所屬各機關資訊安全管理要點 行政院及所屬各機關資訊安全管理規範 政府機關（構）資安責任等級分級作業施行計畫 資訊系統分級與防護基準作業規定

法規要點 民眾福祉 產業發展國家安全 資通安全 推動組織 非公務機關資通安全管理 公務機關資通安全管理 帶動 資通服務之 委外管理 行政院、委託或委任單位、各公務機關 中央目的事業主管機關權責 資安責任等級分級 中央目的事業主管機關得要求訂定與執行資安維護計畫，並進行查核 資安事件之通報應變 行政檢查 罰則 資通安全 推動組織 公務機關資通安全管理 資通服務之 委外管理 帶動 資通安全產業 非公務機關資通安全管理 資安責任等級分級 資安維護計畫之制定與 實施 資安長設置 年度資安報告提出與資安查核 資安事件通報應變 獎懲制度 民眾福祉 產業發展國家安全 資通安全專業人才之培育。 資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。 資通安全產業發展及推動。 資通安全軟體、設備技術規範、資通安全相關服務及審驗機制之發展及推動。 委託機關應監督受託者資安之維護

整體架構 本法以資通安全管理為核心，分為5個章節，計24條 資通安全管理法草案 第1章 總則(§1~§8) 立法目的、名詞定義、資通安全產業之推動、行政院職責、幕僚任務委任或委託、資安責任等級分級、情資分享機制、資通委外監督 資通安全管理法草案 第1章 總則(§1~§8) 第2章 公務機關資通安全管理(§9~§14) 資通安全管理與維護計畫、資通安全長之設置、年度資通安全報告之提出、資通安全查核、通報應變措施、獎懲措施 第3章 非公務機關資通安全管理(§15~§18) 關鍵基礎設施提供者資通安全維護之管理與監督、受指定之非公務機關所提供之產品或服務資通安全管理之管理與監督、資通安全事件通報應變、行政檢查 第4章 罰則(§19~§22) 行政處分 第5章 附則(§23~§24) 施行細則授權、施行日期

適用資安責任等級分級及受指定之非公務機關之產品或服務 資通安全事件情資分享機制 其他情資 情資分享 行政院建立資通安全情資分享機制 中央目的事業主管機關 行政院、上級機關 資通安全事件通報機制 經濟部、金管會、交通部、通傳會…等 關鍵基礎設施提供者 適用資安責任等級分級及受指定之非公務機關之產品或服務 非公務機關資通安全事件通報(§17)(強制通報) + 公務機關資通安全事件通報(§13)(強制通報) 非公務機關資通安全事件通報 (自願通報) 1、行政院依本法第七條建立情資分享機制。 2、所分享的情資其來源可能是資安事件通報或是其他來源(例如國際合作) 所有非公務機關 公務機關

公私協力發展資通安全環境 1 2 3 4 提供充份資源 整合民間力量 資通安全專業人才之培育 資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動 提供充份資源 + 整合民間力量 2 資通安全產業發展及推動 3 1、本法第三條針對政府與民間協力提升資安環境有宣示規定。 2、包括人才培育、資安科技發展、資安標準之發展等，都在可合作推動之列。 資通安全軟體、設備技術規範、資通安全相關服務及審驗機制之發展及推動。 4

資通安全管理法推動措施 政府 公務機關 非公務機關 發展 與 推動 遵循 與 應用 規範修訂 情資分享與 國際合作 通報應變 規範與實作釋疑 人員培訓 非公務機關 資安稽核 機關人員及民眾 資安意識提升

關鍵基礎設施資安推動機制 關鍵資訊基礎設施資安推動機制 關鍵基礎設施資安指導推動小組由行政院資安會報指導成立 國內八大CI領域 資安管理法施行 細則與相關配套 關鍵資訊基礎設施資安推動機制 法源依據 指導監督 參與組成 政府機關 指定關鍵基礎設施提供者資通安全管理及查核辦法 指定非公務機關制定資通安全管理制度及其管理辦法 能源 各CI資安會報 成立與運作 關鍵基礎設施資 安指導推動小組 共同制定 水資源 協助制定 負責制定 交通 參考依據 高科技園區 G-ISMS 參考依據 執行依據 金融 政府資安管理框架 資安管理共通 基準(Baseline) 各CI資安 管理指引 通訊傳播 醫療 關鍵基礎設施資安指導推動小組由行政院資安會報指導成立 各關鍵基礎設施資安會報由該領域主管部會召集成立

資安聯防與情資分享(1/2) 使關鍵基礎設施八大領域均完成資安四大面向整備，建立情報驅動(Intelligence-based) 之國家層級資安聯防架構 四大面向 早期 預警 持續 監控 通報 應變 協處 改善 八大領域 國家資安聯防架構 = X 資安情報驅動三屬性 能見度(Visibility) 分析能量(Analysis) 快速行動(Action)

資安聯防與情資分享(2/2) 國家層級 關鍵基礎設施領域層級 企業組織層級 早期預警 國安國防 早期預警 執法機關 國家層級 建構國家層級之資安狀況感知 (Situation Awareness) 情蒐機制 National ISAC 資安產學研 National SOC National CERT 協處改善 持續監控 早期預警 緊急應變 資訊分享與分析中心 (Information Sharing and Analysis Center, ISAC) 電腦緊急應變團隊 (Computer Emergency Response Team, CERT) 電腦安全事件應變小組 (Computer Security Incident Response Team, CSIRT) 資安作業中心 (Security Operation Center, SOC) 資安託管服務供應商 (Managed Security Service Provider, MSSP) 關鍵基礎設施領域層級 建構各領域之資安狀況感知 (Situation Awareness) 領域ISAC 領域二線SOC 領域CERT 持續監控 早期預警 事件通報 企業組織層級 CSIRT A 企業組織A CSIRT B 企業組織B CSIRT C SOC C 企業組織C MSSP 持續監控

第五期國家資通訊安全發展方案(草案) 國家安全 資安管理 產業發展 科技研發 人才培育 發展國家資安 風險評估機制 建置國家網路與通訊緊急備援 厚實網路國防與攻防技術能量 完備數位時代國家資安政策、法規及標準 強化政府與關鍵基礎設施領域資安防護 開展多層次與多邊國際合作關係 加強網路犯罪預防與打擊成效 策進資通安全產業政策與發展 降低各產業供應鏈資訊安全風險 鍊結產學能量提升資安研發價值 發展具隱私保護之數位身分框架 完善資安專業人才培育與供需 推廣資安認知與兒童線上保護

報告完畢