當前資安情勢與未來推動重點 行政院 報告人:資通安全處簡處長宏偉 105年9月22日 1.

Slides:



Advertisements
Similar presentations
1 專利師考照班 師資介紹 高苑科技大學 研究發展處 專線服務電話 陳小姐 校內分機 1701.
Advertisements

行政院國家資通安全會報組織及 運作調整情形
APEC組織架構圖 APEC經濟領袖會議 (AELM) APEC企業諮詢委員會 (ABAC) APEC年度部長會議 (AMM) 專業部長會議
行銷研究 單元三 次級資料的蒐集.
Bank 3.0 證券產業發展趨勢 與數位化應用 富邦證券 副總經理 郭永宜 (行銷暨商品督導)
勞委會乙級證照項目(環境與安衛相關科系)
桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程.
當前資安情勢與未來推動重點 行政院 報告人:資通安全處簡處長宏偉 105年9月22日 1 1.
教學優良教師分享 資訊管理系 陳昌助.
民用航空法概要 主講人:田楚城 民用航空局主任秘書
Cisco 證照架構.
Patent Search & Analysis (專利檢索與分析)
Organization Architecture of TWISC
電子商務基本概念 電子商務的定義 1-1 電子商務的特性 1-2 電子商務的演進 1-3.
無線射頻識別系統(RFID) 基本原理及發展與應用
Database Systems 主講人:陳建源 研究室 :法401
OpenID與WordPress使用說明
國際資訊安全標準ISO 27001之網路架構設計 –以國網中心為例探討風險管理
文學院、管理學院、海科院 暨各系所 及通識教育中心
管理資訊系統導論 資訊系統的定義與概念.
COMPUTEX TAIPEI 2014 指導老師 陳敏全 國企4B 王心眉 林惠萍 國企3A 陳韻惠 劉佳其.
家長教育 之 電子學習.
網路安全技術期末報告 Proxy Server
(五) 校務會議 資訊執秘 業務報告.
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
第六組 許茹雯 李翔雲 王秀旬 張碩峰 麥嘉容 廖子誠
資通安全管理實務重點說明.
Web Service 1.
授課老師:楊維邦教授 組長:劉秋良 成員:李政均、郭瀚文、鄒震耀
網路隱私權 A 林學涵.
講師:陳永芳 網際網路資源運用 講師:陳永芳
2011清大電資院學士班 「頂尖企業暑期實習」 經驗分享心得報告 實習企業:工研院 實習學生:電資院學士班 楊博旭.
Colife 現場直播 免註冊快速登入手冊.
Dr. Rational You IEK/ITRI 2002/03/01
水與綠建設計畫 滾動式檢討報告 行政院經濟建設委員會 93年7月1日.
賽門鐵克安全系統進化史-正確選用賽門鐵克防護系統
智 慧 型 環 境 系 統 實 驗 室 生態工程 環境評估 決策分析 人工智慧 資訊系統 永續發展
國立成功大學(農業) 報告人 協同主持人 林翰佑
股票選擇指南-SONY 鄭惇伊 林佩儀 黃馨玫.
PSoC(Programmable SoC)的架構與優勢
資訊安全和資訊倫理宣導 永康區復興國小教務處.
新制身心障礙鑑定人員訓練 103年度7-9月份 一般培訓課程/補充課程 指導單位\主辦單位 協辦單位 課程內容及名稱 時間 活動 活動流程
電腦概論考題分析 佛學資訊組 碩一 張榮顯.
九十學年度實務 專題報告 指導老師: 高玉芬 老師 學生: 張駿呈 張書嘉 林正浩
如何改善本港保護兒童機制 跨專業研討會 二零零四年七月十三日 葉劍影高級督察 保護兒童政策組
臺北市立教育大學 張德銳、丁一顧、李俊達、 簡賢昌、高紅瑛
案件名稱: 資安預警通報 通報等級: 第一級 發生時間: 2019/02/24 03:53:28 案件說明:
報告人:黃 宜 純 校 長 日 期:106年4月20日.
會計室業務報告.
2018搶鮮大賽技術項目簡介 iMEC平台創意應用技術
第四章 通訊與網路管理 授課老師:褚麗絹.
資料擷取與監控應用實務.
介紹Saas 以Office 365為例 組員: 資工四乙何孟修 資工四乙 黃泓勝.
Identifying your company’s real intelligence needs
校外實習媒合資訊平台介紹 報告人:王上明 指導單位: 教育部技職司 承辦單位: 明志科技大學 、 國立高雄第一科技大學.
Introduction of School-based Curriculum Development Support Services for Secondary Schools 中學校本課程發展支援服務簡介 School-based Curriculum Development (Secondary)
新事業發展專題
決策支援系統 實例簡介.
教育部全國中小學 資訊安全管理系統 學校管理員 教育訓練
廖志宏 助理教授 學歷 經歷 公部門與民間產學研究計劃案 證照 De La Salle University, Philippines
由Facebook看SNS的現況與未來發展趨勢
資通安全管理實務重點說明.
Discussion.
第一章 電子商務簡介 第一篇 電子商務概論篇.
智慧運輸(ITS)推動成果及未來展望 行政院交通部
NewsWeek No.2 人權修法懶人包 配合高中公民第1冊第3章.
晶片系統國家型科技計畫National SOC (NSOC) Program
營運模式.
報告人: 新竹縣教育研究發展暨網路中心 辛文義.
社會領域教學 相關網路資源介紹.
Presentation transcript:

當前資安情勢與未來推動重點 行政院 報告人:資通安全處簡處長宏偉 105年9月22日 1

現階段政府資安運作機制及分工 提升政府機關資安防護能量 研議及推動制定「資通安全管 理法」 研議「第五期國家資通訊安全 發展方案」 循序研修重要作業規定,如國 家資通安全通報應變作業綱要、 政府機關(構)資通安全責任等 級分級作業規定、資訊系統分 級與資安防護基準作業規定… 強化公私協同合作機制 規劃推動基礎環境改善工程, 如加速政府資訊安全組態基準 (GCB)導入、強化關鍵資訊基 礎設施防護(CIIP)… 研議相關配套措施,如陸資來 臺投資資訊服務業資安管理措 施、即時通訊軟體管理分工等 各機關:落實資安責任等級 應辦事項(ISMS/專責人力/ 防護縱深/監控管理)、資訊 系統資安防護基準、導入 GCB、資安事件通報應變 … 技服中心:推動G-SOC監控 聯防機制、加強GSN監控及 防護機制、協助重大資安事 件應變處置、推動資安職能 與專業證照、維運公私協同 合作機制(G-ISAC、技術交 流小組、SPMO)… 主管及相關機關:政府整體 資安防護、資安科技發展及 國際交流合作、資安認驗證 標準及體系、資安人才培育、 防治網路犯罪、個資保護、 網路內容安全、主要體系及 事業資安防護… 提升政府機關資安防護能量 資安會報委員會議 資安會報各體系及工作組會議 資安長及資訊主管會議 政府機關資安巡迴研討會 網路攻防演練研討會 大規模網路攻防演練 資安稽核 資安治理成熟度、防護能力指標 資安關鍵指標 資安健診、弱點掃描、滲透測試 通報演練及電子郵件社交工程演練

行政院國家資通安全會報組織架構 行政院國家資通安全會報 105年8月1日生效 召集人:行政院副院長 副召集人:政務委員及指定相關部會首長1人 協同副召集人:國安會諮詢委員 委員:行政院本部、部會及直轄市副首長、國安局副局長、學者及專家 資通安全諮詢會 (會報諮詢單位) 行政院資通安全處 (會報幕僚單位) 技術服務中心 網際防護體系 行政院資通安全處 網際犯罪偵防體系 內政部/法務部 關鍵基礎設施防護體系 行政院國土安全辦公室 其他資安相關體系 各主管機關 關鍵資訊基礎設施安全管理組 行政院資通安全處 產業發展組 經濟部 資通安全防護組 行政院資通安全處 (各機關) 法規及標準 規範組 行政院 資通安全處 認知教育及 人才培育組 教育部 個資保護 及法制推動組 法務部 (各機關) 防治網路 犯罪組 內政部/法務部 資通訊環境及 網際內容安全組 通傳會 (相關機關) 資訊服務分組 科技部 通訊傳播分組 通傳會 衛生醫療分組 衛福部 金融服務分組 金管會 交通事業分組 交通部 能源及水資源分組 經濟部 科技園區分組 科技部 電子化政府分組 國發會 行政院資通安全處 資安法規及規範分組 國家標準分組 經濟部 資安教育分組 教育部 競賽及產業交流分組 經濟部

立法目的 參考指引 資安政策 資安法規 與相關規定 除規範公務機關外,亦規範關鍵基礎設施提供者等非公務機關 資通安全管理法及子法 安全控制措施參考指引 無線網路安全參考指引 資訊系統風險評鑑參考指引 資訊作業委外安全參考指引……等18份 資安特別法(或條文): 刑法36章、電信法、電子簽章法 國家機密保護法、個人資料保護法、 金融控股公司法、銀行法、 醫療法、人體生物資料庫管理條例等 與相關規定 除規範公務機關外,亦規範關鍵基礎設施提供者等非公務機關 要求訂定安全維護計畫(透過細則要求以風險管理為核心訂定之) 資通安全管理法及子法 國家資通訊安全發展方案 資通安全通報應變作業機制 行政院及所屬各機關資訊安全管理要點 行政院及所屬各機關資訊安全管理規範 政府機關(構)資安責任等級分級作業施行計畫 資訊系統分級與防護基準作業規定

法規要點 民眾福祉 產業發展國家安全 資通安全 推動組織 非公務機關資通安全管理 公務機關資通安全管理 帶動 資通服務之 委外管理 行政院、委託或委任單位、各公務機關 中央目的事業主管機關權責 資安責任等級分級 中央目的事業主管機關得要求訂定與執行資安維護計畫,並進行查核 資安事件之通報應變 行政檢查 罰則 資通安全 推動組織 公務機關資通安全管理 資通服務之 委外管理 帶動 資通安全產業 非公務機關資通安全管理 資安責任等級分級 資安維護計畫之制定與 實施 資安長設置 年度資安報告提出與資安查核 資安事件通報應變 獎懲制度 民眾福祉 產業發展國家安全 資通安全專業人才之培育。 資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。 資通安全產業發展及推動。 資通安全軟體、設備技術規範、資通安全相關服務及審驗機制之發展及推動。 委託機關應監督受託者資安之維護

整體架構 本法以資通安全管理為核心,分為5個章節,計24條 資通安全管理法草案 第1章 總則(§1~§8) 立法目的、名詞定義、資通安全產業之推動、行政院職責、幕僚任務委任或委託、資安責任等級分級、情資分享機制、資通委外監督 資通安全管理法草案 第1章 總則(§1~§8) 第2章 公務機關資通安全管理(§9~§14) 資通安全管理與維護計畫、資通安全長之設置、年度資通安全報告之提出、資通安全查核、通報應變措施、獎懲措施 第3章 非公務機關資通安全管理(§15~§18) 關鍵基礎設施提供者資通安全維護之管理與監督、受指定之非公務機關所提供之產品或服務資通安全管理之管理與監督、資通安全事件通報應變、行政檢查 第4章 罰則(§19~§22) 行政處分 第5章 附則(§23~§24) 施行細則授權、施行日期

適用資安責任等級分級及受指定之非公務機關之產品或服務 資通安全事件情資分享機制 其他情資 情資分享 行政院建立資通安全情資分享機制 中央目的事業主管機關 行政院、上級機關 資通安全事件通報機制 經濟部、金管會、交通部、通傳會…等 關鍵基礎設施提供者 適用資安責任等級分級及受指定之非公務機關之產品或服務 非公務機關資通安全事件通報(§17)(強制通報) + 公務機關資通安全事件通報(§13)(強制通報) 非公務機關資通安全事件通報 (自願通報) 1、行政院依本法第七條建立情資分享機制。 2、所分享的情資其來源可能是資安事件通報或是其他來源(例如國際合作) 所有非公務機關 公務機關

公私協力發展資通安全環境 1 2 3 4 提供充份資源 整合民間力量 資通安全專業人才之培育 資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動 提供充份資源 + 整合民間力量 2 資通安全產業發展及推動 3 1、本法第三條針對政府與民間協力提升資安環境有宣示規定。 2、包括人才培育、資安科技發展、資安標準之發展等,都在可合作推動之列。 資通安全軟體、設備技術規範、資通安全相關服務及審驗機制之發展及推動。 4

資通安全管理法推動措施 政府 公務機關 非公務機關 發展 與 推動 遵循 與 應用 規範修訂 情資分享與 國際合作 通報應變 規範與實作釋疑 人員培訓 非公務機關 資安稽核 機關人員及民眾 資安意識提升

關鍵基礎設施資安推動機制 關鍵資訊基礎設施資安推動機制 關鍵基礎設施資安指導推動小組由行政院資安會報指導成立 國內八大CI領域 資安管理法施行 細則與相關配套 關鍵資訊基礎設施資安推動機制 法源依據 指導監督 參與組成 政府機關 指定關鍵基礎設施提供者資通安全管理及查核辦法 指定非公務機關制定資通安全管理制度及其管理辦法 能源 各CI資安會報 成立與運作 關鍵基礎設施資 安指導推動小組 共同制定 水資源 協助制定 負責制定 交通 參考依據 高科技園區 G-ISMS 參考依據 執行依據 金融 政府資安管理框架 資安管理共通 基準(Baseline) 各CI資安 管理指引 通訊傳播 醫療 關鍵基礎設施資安指導推動小組由行政院資安會報指導成立 各關鍵基礎設施資安會報由該領域主管部會召集成立

資安聯防與情資分享(1/2) 使關鍵基礎設施八大領域均完成資安四大面向整備,建立情報驅動(Intelligence-based) 之國家層級資安聯防架構 四大面向 早期 預警 持續 監控 通報 應變 協處 改善 八大領域 國家資安聯防架構 = X 資安情報驅動三屬性 能見度(Visibility) 分析能量(Analysis) 快速行動(Action)

資安聯防與情資分享(2/2) 國家層級 關鍵基礎設施領域層級 企業組織層級 早期預警 國安國防 早期預警 執法機關 國家層級 建構國家層級之資安狀況感知 (Situation Awareness) 情蒐機制 National ISAC 資安產學研 National SOC National CERT 協處改善 持續監控 早期預警 緊急應變 資訊分享與分析中心 (Information Sharing and Analysis Center, ISAC) 電腦緊急應變團隊 (Computer Emergency Response Team, CERT) 電腦安全事件應變小組 (Computer Security Incident Response Team, CSIRT) 資安作業中心 (Security Operation Center, SOC) 資安託管服務供應商 (Managed Security Service Provider, MSSP) 關鍵基礎設施領域層級 建構各領域之資安狀況感知 (Situation Awareness) 領域ISAC 領域二線SOC 領域CERT 持續監控 早期預警 事件通報 企業組織層級 CSIRT A 企業組織A CSIRT B 企業組織B CSIRT C SOC C 企業組織C MSSP 持續監控

第五期國家資通訊安全發展方案(草案) 國家安全 資安管理 產業發展 科技研發 人才培育 發展國家資安 風險評估機制 建置國家網路與通訊緊急備援 厚實網路國防與攻防技術能量 完備數位時代國家資安政策、法規及標準 強化政府與關鍵基礎設施領域資安防護 開展多層次與多邊國際合作關係 加強網路犯罪預防與打擊成效 策進資通安全產業政策與發展 降低各產業供應鏈資訊安全風險 鍊結產學能量提升資安研發價值 發展具隱私保護之數位身分框架 完善資安專業人才培育與供需 推廣資安認知與兒童線上保護

報告完畢