1 目的
新誼整合科技股份有限公司(以下簡稱本公司)為建立資通安全事件之通報及應變機制,以迅速有效獲知並處理事件,特制定本資通安全事件通報及應變管理程序(以下稱本管理程序)。
2 適用範圍
發生於本公司之事件,系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅者。
3 權責
3.1 本公司所屬人員於發現資通安全事件時,應依本辦法或權責人員之指示,執行通報及應變事務。
3.2 本公司應於資通安全事件發生前,確保同仁、權責人員熟悉資通安全事件之通報及完成應變作業。
3.3 本公司應於知悉資通安全事件後,應依本辦法之規定,儘速完成損害控制、復原與事件之調查及處理作業。完成後,應進行結案作業,並送交改善報告。
4 事件通報窗口及緊急處理小組
4.1 本公司之資通安全事件通報窗口及聯繫專線為:02-27968887#58083。
4.2 本公司應以適當方式使相關人員明確知悉本公司之通報窗口及聯絡方式。
4.3 本公司所屬人員發現資通安全事件後,應立即向所屬單位主管及本公司之通報窗口通報。
5 作業說明
5.1 事件通報及緊急處理小組
5.1.1 本公司所屬人員發現資通安全事件後,應立即向單位主管及資訊單位通報。
5.1.2 事件經資訊單位初步判斷認為可能事態嚴重或屬資安事故時,應即向管理代表報告,由管理代表成立緊急處理小組,立即協助進行處理;接獲本公司或受託廠商通報時,亦同。
5.1.3 緊急處理小組成員由管理代表指派資通安全相關技術人員擔任,或亦得由外部專家擔任之。
5.1.4 各相關權責人員應記錄事件處理過程,並檢討事件發生原因,著手進行改善,並留存必要之證據。
5.2 通報程序
5.2.1 通報作業程序
5.2.1.1 判定事件等級之流程及權責
本公司之權責人員或緊急處理小組應依據以下事項,於知悉資通安全事件後,依規定完成資通安全事件等級判斷:
5.2.1.1.1 事件涉及核心業務或關鍵基礎設施與否。
5.2.1.1.2 事件導致業務之資訊或資通系統遭竄改之影響程度,屬嚴重或輕微。
5.2.1.1.3 事件所涉資訊是否屬於極機密、密或一般資訊。
5.2.1.1.4 業務運作若遭影響或資通系統停頓,是否於可容忍中斷時間內能回復正常運作。
5.2.1.1.5 事件其他足以影響資通安全事件等級之因素。
5.2.1.2 除事件之等級外,權責人員或緊急處理小組亦應對資通安全事件之影響範圍、損害程度及本公司因應之能力進行評估。
5.2.1.3 本公司權責人員或緊急處理小組於完成資通安全事故等級之判斷及相關評估後,應儘速呈報管理代表。
5.2.1.4 應於知悉資通安全事件後一小時內,經初步判斷屬資通安全事故時,通報管理代表。若屬資通安全事故,則後續填寫「ISMS-004-022資通安全事故報告單」完成紀錄。
5.2.1.5 資通安全事故等級如有變更,權責人員或緊急應變小組應告知資訊單位,使其續行通報作業。
5.2.1.6 於委外辦理資通系統之建置、維運或提供資通服務之情形時,應於合約中訂定委外廠商於知悉資通安全事件時,應即向本公司之權責人員進行通報。
5.2.1.7 執行通報應變作業時,得視情形向受託廠商提出技術支援或其他協助之需求。
5.2.2 通報之評估作業程序
5.2.2.1 本公司之權責人員或緊急處理小組,於接獲資通安全事件通報後,應於以下時限內,完成資通安全事件通報等級及相關事項之審核:
5.2.2.1.1 通報為第一級或第二級之資通安全事故,於接獲通報後八小時內。
5.2.2.1.2 通報為第三級之資通安全事故,於接獲通報後二小時內。
5.2.2.2 本公司之權責人員或緊急處理小組進行資通安全事故之審核過程中,得請求通報單位提供級別判斷所需之資料或紀錄。
5.2.2.3 本公司於必要時得依據審核之結果,逕行變更資通安全事故之等級,並應於決定變更後一小時內,將審核結果及級別變更之決定通知管理代表,並提供做成決定所依據之相關資訊。
5.3 應變程序
5.3.1 事件發生前之防護措施規劃
本公司應於平時妥善實施資通安全維護,並以組織營運目標與策略為基準,透過整體之營運衝擊分析,規劃業務持續運作計畫並實施演練,以預防資安事件之發生。
5.3.2 損害控制機制
5.3.2.1 負責應變之權責人員或緊急處理小組,應完成以下應變事務之辦理,並留存應變之紀錄。
5.3.2.1.1 資安事件之衝擊及損害控制作業。
5.3.2.1.2 資安事件所造成損害之復原作業。
5.3.2.1.3 資安事件之調查與處理之方式。
5.3.2.1.4 資安事件後續發展及與其他事件關聯性之監控。
5.3.2.1.5 資訊系統、網路、機房等安全區域發生重大事故或災難,致使業務中斷時,應依據本公司事前擬定之緊急計畫,進行應變措施以恢復業務持續運作之狀態。
5.3.2.1.6 其他資通安全事件應變之相關事項。
5.3.2.2 對於第一級、第二級資通安全事故,本公司應於知悉後七十二小時內完成前項事務之辦理,並應留存紀錄;於第三級資通安全事故,本公司應於知悉後三十六小時內完成損害控制或復原作業,並執行上述事項,及留存相關紀錄。
5.3.2.3 本公司完成通報及應變程序之辦理後,應進行結案登錄。
5.3.2.4 於知悉受託廠商發生與受託業務相關之資通安全事件時,應於知悉委外廠商發生第一、二級資通安全事件後七十二小時內,確認委外廠商已完成損害控制或復原事項之辦理;於知悉委外廠商發生第三級資通安全事件後三十六小時內,確認委外廠商完成損害控制或復原事項之辦理。
5.4 資安事件後之改善機制
5.4.1 完成資通安全事件之通報及應變程序後,應針對事件所造成之衝擊、損害及影響進行調查及改善,並應於事件發生後一個月內完成資通安全事件改善報告。
5.4.2 資通安全事件改善報告應包括以下項目:
5.4.2.1 事件發生、完成損害控制或復原作業之時間。
5.4.2.2 事件影響之範圍及損害評估。
5.4.2.3 損害控制及復原作業之歷程。
5.4.2.4 事件調查及處理作業之歷程。
5.4.2.5 為防範類似事件再次發生所採取之管理、技術、人力或資源等層面之措施。
5.4.2.6 前述措施之預定完成時程及成效追蹤機制。
5.4.3 應向管理代表提出前項之報告,以供監督與檢討。
5.5 紀錄留存及管理程序之調整
5.5.1 本公司應將資通安全事件之通報與應變作業之執行、事件影響範圍與損害程度以及其他通報應變之執行情形,留存完整之紀錄,並應經承辦之權責人員、管理代表簽核。
5.5.2 本公司於完成資通安全事件之通報及應變程序後,應依據填報之內容及實際處理之情形,於必要時對本辦法、人力配置或其他相關事項進行修正或調整。
5.6 演練作業
應依本辦法之規定辦理資通安全事件通報及應變演練,並於完成後一個月內,將執行情形及成果報告送交管理代表。