資安稽核實務 @ 褪色的世界．斑剝的記憶

資安稽核的目的：確保資通安全管理制度之「有效性」。

稽核：是一種「工具」，協助使稽核成為輔助管理政策與管制措施之有效與可靠的工具。
稽核原則：
(1)正直
(2)公平陳述，真實且正確地報告(事證要清楚否則受稽者無從改善)
(3)專業關注
(4)保密
(5)獨立性
(6)證據為憑
(7)基於風險

資安法適用對象
(1)公務機關：中央、地方機關(構)(含學校)、公法人(含行政法人)，不包括軍事機關及情報機關。
(2)特定非公務機關(私部門)：關鍵基礎設施(CI)提供者、公營事業、政府捐助之財團法人。

§資通安全管理法施行細則(法遵重點)
【§3】資通安全維護計畫實施情形經稽核有缺失或待改善者，應提出改善報告：
【§3】一、缺失或待改善之項目及內容。
【§3】二、發生原因。
【§3】三、為改正缺失或補強待改善項目所採取管理、技術、人力或資源等層面之措施。
【§3】四、前款措施之預定完成時程及執行進度之追蹤方式。
【第4條】委外選任及監督受託者之應注意事項(管理面2)
【§6】資通安全維護計畫，應包括下列事項：
【§6】一、核心業務及其重要性。(策略面1)
【§6】二、資通安全政策及目標。(策略面2)(策略面3)
【§6】三、資通安全推動組織。(策略面2)
【§6】四、專責人力及經費之配置。(策略面3)
【§6】五、{公務機關}資通安全長之配置。(策略面2)
【§6】六、資通系統及資訊之盤點，並標示核心資通系統及相關資產。(管理面1)
【§6】七、資通安全風險評估。(管理面1)
【§6】八、資通安全防護及控制措施。(管理面1)
【§6】九、資通安全事件通報、應變及演練相關機制。(管理面3)
【§6】十、資通安全情資之評估及因應機制。(技術面3)
【§6】十一、資通系統或服務委外辦理之管理措施。(應是管理面2)
【§6】十二、{公務機關}所屬人員辦理業務涉及資通安全事項之考核機制。(策略面2)
【§6】十三、資通安全維護計畫與實施情形之持續精進及績效管理機制。(管理面3)
【第8條】資通安全事件調查、處理及改善報告，應包括下列事項：
【第8條】一、事件發生或知悉其發生、完成損害控制或復原作業之時間。
【第8條】二、事件影響之範圍及損害評估。
【第8條】三、損害控制及復原作業之歷程。
【第8條】四、事件調查及處理作業之歷程。
【第8條】五、事件根因分析。
【第8條】六、為防範類似事件再次發生所採取之管理、技術、人力或資源等層面之措施。
【第8條】七、前款措施之預定完成時程及成效追蹤機制。

§資通安全責任等級分級辦法
【應辦事項】(稽核依據、機關的等級)
附表一資通安全責任等級A級之公務機關應辦事項
附表二資通安全責任等級A級之特定非公務機關應辦事項
附表三資通安全責任等級B級之公務機關應辦事項
附表四資通安全責任等級B級之特定非公務機關應辦事項
附表五資通安全責任等級C級之公務機關應辦事項
附表六資通安全責任等級C級之特定非公務機關應辦事項
附表七資通安全責任等級D級之各機關應辦事項
附表八資通安全責任等級E級之各機關應辦事項
【分級程序】
附表九資通系統防護需求分級原則(分級)
附表十資通系統防護基準(分級實作)

§資通安全事件通報及應變辦法(技術面3)
通報時限：1小時
審核時限：第一級第二級8小時/第三級第四級2小時
處理(損害控制或復原作業)時限：第一級第二級72小時/第三級第四級36小時；一個月內送交調查、處理及改善報告

受稽對象
(1)公務機關(行政院所屬二級及獨立機關)：原則為每2年1次
(2)特定非公務機關(關鍵基礎設施提供者、公營事業、政府捐助之財團法人)：以A/B級、提供共用(通)性資通系統服務、近期重大系統改版、近2年曾發生資安事件、近3年未受稽、稽核結果建議持續關注、未完成資安應辦事項者優先

稽核類型
(1)一般稽核
(2)專案查核：發生嚴重資安事件的機關

稽核準則
(1)資通安全管理法及其子法
(2)國家資通安全發展方案
(3)受稽核機關之資通安全維護計畫
(4)資訊安全管理系統國家標準CNS 27001:2014(資訊安全管理國際標準ISO 27001:2013)
(5)資訊服務管理國際標準ISO 20000:2018

稽核範圍：全機關及核心資通系統

稽核方式
(1)技術檢測3天
(2)實地稽核1天

稽核方法：抽樣

實地稽核項目
(1)策略面
   (1-1)核心業務及其重要性：確保核心資通系統已納入ISMS適用範圍
   【施行細則第8條】核心資通系統：支持核心業務持續運作必要之系統，或依資通安全責任等級分級辦法其防護需求等級為﹛高﹜者
   註：(〇)MTPD>RTO，(✕)MTPD=RTO
   (1-2)資通安全政策及推動組織：管理階層支持與承諾，為推動ISMS成功關鍵因素
   (1-3)專責人力及經費配置：適當資源(人力、經費等)投入，將有助於資安業務之推動
(2)管理面
   (2-1)資訊及資通系統盤點及風險評估：確保重要資產受到適當的保護，識別資產所面臨的資安風險，並確認風險處理的優先順序，以控管風險
   (2-2)資通系統或服務委外辦理之管理措施：強化機關人員辦理資訊作業委外之安全管理
   (2-3)資通安全維護計畫與實施情形之持續精進及績效管理機制：確認資通安全維護計畫訂定、修正及實施情形
(3)技術面
   (3-1)資通安全防謢及控制措施：確保網路通訊與資訊作業之資通安全環境
   註：包括但不限於資通安全責任等級分級辦法{技術面}應辦事項
   (3-2)資通系統發展及維護安全：確保資通系統開發遵守安全系統發展生命週期SSDLC
   註：附表十防護基準{系統與服務獲得}
   (3-3)資通安全事件通報應變及情資評估因應：資安事件發生時，迅速依程序進行通報，並採取必要應變措施與事後復原處理，降低事件所造成之損害

§資通安全責任等級分級辦法{技術面}應辦事項
(1)安全性檢測(範圍－全部核心資通系統)
   (1-1)弱點掃描：A級每年2次/B級每年1次/C級每2年1次
   (1-2)滲透測試：A級每年1次/B、C級每2年1次
(2)資通安全健診(範圍－資通系統所在範圍)
   (2-1)網路架構檢視：A級每年1次/B、C級每2年1次
   (2-2)網路惡意活動檢視：辦理頻率同上
   (2-3)使用者端電腦惡意活動檢視：辦理頻率同上
   (2-4)伺服器主機惡意活動檢視：辦理頻率同上
   (2-5)目錄伺服器設定及防火牆連線設定檢視：辦理頻率同上
(3)資通安全威脅偵測管理機制SOC(範圍－網路範圍)：A、B級初次受核定或等級變更1年內建置
(4)政府組態基準GCB(範圍－伺服器及使用者電腦)：A、B級初次受核定或等級變更1年內導入
(5)資通安全弱點通報機制VANS(範圍－伺服器及使用者電腦)：A、B級初次受核定或等級變更1年內導入/C級2年內導入
(6)端點偵測及應變機制EDR(範圍－使用者電腦)：A、B級初次受核定或等級變更2年內導入
(7)資通安全防護
   (7-1)防毒軟體(範圍－伺服器及使用者電腦)：A級初次受核定或等級變更1年內啟用/B、C、D級1年內啟用
   (7-2)網路防火牆Firewall(範圍－伺服器)：A級初次受核定或等級變更1年內啟用/B、C、D級1年內啟用
   (7-3)電子郵件過濾機制(範圍－電子郵件服器)：A級初次受核定或等級變更1年內啟用/B、C級1年內啟用
   (7-4)入侵偵測及防禦機制IDS/IPS(範圍－核心系統所在機房)：A級初次受核定或等級變更1年內啟用/B級1年內啟用
   (7-5)應用程式防火牆WAF(範圍－核心系統所在機房)：A級初次受核定或等級變更1年內啟用/B級1年內啟用
   (7-6)進階持續性威脅攻擊防禦APT(範圍－核心系統所在機房)：A級初次受核定或等級變更1年內啟用

§資通安全責任等級分級辦法{管理面}應辦事項
(1)資通系統分級及防護(範圍－自行開發或維護之資通系統)：A、B、C級1年
(2)ISMS導入及通過第三方驗證(範圍－全部核心資通系統)：A、B級2年導入3年內通過驗證/C級2年導入
(3)資安專責人員：A級4人/B級2人/C級1人
(4)內部資安稽核：A級每年2次/B級每年1次/C級每2年1次
(5)業務持續運作演練(範圍－全部核心資通系統)：A級每年1次/B、C級每2年1次
(6)資安理成熟度評估：A、B級每年1次

§資通安全責任等級分級辦法{認知與訓練}應辦事項
(1)資安專職人員：每人每年12小時資安專業(或職能)教育訓練
(2)資訊人員：每人每2年3小時資安專業(或職能)教育訓練、每人每年3小時資安通識教育訓練
(3)一般使用者及主管：每人每年3小時資安通識教育訓練
(4)資安專業證照及職能證書：資安專責人員持有各1張

【後記】

需準確判斷管理面2資通系統或服務委外辦理之管理措施及技術面2資通系統發展及維護安全的差異，教材是將施行細則第4條寫在管理面2資通系統或服務委外辦理之管理措施，詳細條文如下：

施行細則4.png