部落格

宜蘭縣大湖國民小學

資通安全事件通報及應變管理程序書

版次：V1.0(初版)

中 華 民 國 109 年 4月6 日

目錄

壹、目的……………………………………………………………………………………………….. 3

貳、適用範圍………………………………………………………………………………………… 3

參、責任……………………………………………………………………………………………….. 3

肆、事件通報窗口及緊急處理小組………………………………………………………… 3

伍、通報程序………………………………………………………………………………………… 4

陸、應變程序………………………………………………………………………………………… 6

柒、資安事件後之鑑識、調查及改善機制……………………………………………… 7

捌、事件相關紀錄之保全及管理程序之調整………………………………………….. 8

玖、演練作業………………………………………………………………………………………… 8

壹拾、事件通報應變流程圖…………………………………………………………………… 9

壹拾壹、相關法規、程序及表單………………………………………………………….. 10

壹、目的

宜蘭縣各國民中小學(含分班分校)(以下簡稱本校)及其轄內全部單位與教職員工為遵照資通安全管理法第14條及本校資安全維護計畫之規定，建立本校資通安全事件之通報及應變機制，以迅速有效獲知並處理事件，特制定本資通安全事件通報及應變管理程序(以下稱本管理程序)。

貳、適用範圍

發生於本校之事件，系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生，影響資通系統機能運作，構成資通安全政策之威脅者。

參、責任

一、本校所屬人員於發現資通安全事件時，應依本程序、本校通報窗口或權責人員之指示，執行通報及應變事務。

二、本校應於資通安全事件發生前，確保同仁、通報窗口及權責人員熟悉資通安全事件之通報及完成應變作業程序。

三、本校應與受託校約定，使其知悉違反資通安全相關法令或知悉資通安全事件後向本校進行通報，於完成事件之通報及應變程序後，依本校指示提供相關之紀錄或資料。

四、本校應於知悉資通安全事件後，應依本程序之規定，儘速完成損害控制或復原作業，以及事件之調查及處理作業。完成後，應依上級或監督校及行政院指定之方式及對象辦理通知事宜，並送交調查、處理及改善報告。

五、本校應於資通安全事件發生前，確保所屬或監督之公務校及所管之特定非公務校制定及落實資通安全事件通報及應變管理程序，並依規定指定其知悉資通安全事件之通報作業及完成應變作業後之結案登錄方式。(上級或監督校、中央目的事業主管校適用)

肆、事件通報窗口及緊急處理小組

一、本校之資通安全事件通報窗口及聯繫專線：詳資訊安全組織成員表。

二、本校應以適當方式使相關人員明確知悉本校之通報窗口及聯絡方式。

三、本校所屬人員發現資通安全事件後，應立即向所屬單位主管及本校之通報窗口通報。

四、本校應確保通報窗口之聯絡管道全天維持暢通，若因設備故障或其他情形導致窗口聯絡管道中斷，該中斷情況若持續達一小時以上者，應即將該情況告知相關人員，並即提供其他有效之臨時聯絡管道。

五、負責事件處理之單位(該事件發生之單位)權責人員應與相關單位密切合作以進行事件之處理，並使通報窗口適時掌握事件處理之進度及其他相關資訊。

六、事件經初步判斷認為可能屬重大資安事件或事態嚴重時，應即向資通安全長報告，由資通安全長成立緊急處理小組，立即協助進行處理；接獲本校所屬分校或受託廠商所通報之資通安全事件時，亦同。

七、緊急處理小組成員由資通安全長指派本校之資通安全相關技術人員擔任，或亦得由其他校資通安全相關技術人員或外部專家擔任之。

八、各相關權責人員應紀錄事件處理過程，並檢討事件發生原因，著手進行改善，並留存必要之證據。

伍、通報程序

一、通報作業程序

(一)本校之權責人員或緊急處理小組應依｢資通安全事件通報及應變辦法｣規定，於本校知悉資通安全事件後，完成之資通安全事件等級判斷。

(二)除事件之等級外，權責人員或緊急處理小組亦應對資通安全事件之影響範圍、損害程度及本校因應之能力進行評估。

(三)本校權責人員或緊急處理小組於完成資通安全事件等級之判斷及相關評估後，應盡速報資通安全長(或其指定之代理人)核准。

(四)本校之通報窗口應於本校知悉資通安全事件後一小時內，依行政院指定之方式及對象，進行資通安全事件之通報。

(五)本校如因網路或電力中斷等事由，致無法依前項規定方式為通報者，應於本校知悉資通安全事件後一小時內以電話或其他適當方式，將該次資安事件應通報之內容及無法通報依規定方式通報之事由，分別告知所屬之上級或監督校及行政院，並於事由解除後，依原方式補行通報。

(六)資通安全事件等級如有變更，權責人員或緊急應變小組應告知通報窗口，使其續行通報作業。

(七)本校於委外辦理資通系統之建置、維運或提供資通服務之情形時，應於合約中訂定委外廠商於知悉資通安全事件時，應即向本校之權責人員或通報窗口，以指定之方式進行通報。

(八)本校於知悉資通安全事件後，如認該事件之影響涉及其他校或應由其他校依其法定職權處理時，權責人員或緊急處理小組應於知悉資通安全事件後1小時內，將該事件依上級或監督校及行政院所指訂或認可之方式，通知該校。

(九)本校執行通報應變作業時，得視情形向上級指導單位或縣政府提出技術支援或其他協助之需求。

二、接獲自身、所屬（監督）或所管特定非公務校通報之評估作業程序(上級或監督機關、中央目的事業主管校適用)

(一)本校之通報窗口(或權責人員或緊急處理小組，由本校自行定義，下同)，於接獲所屬（監督）校或所管特定非公務校之資通安全事件通報後，應於以下時限內，完成資通安全事件通報等級及相關事項之審核：

1.通報為第一級或第二級之資通安全事件，於接獲通報後八小時內。

2.通報為第三級或第四級之資通安全事件，於接獲通報後二小時內。

(二)本校之通報窗口進行審核過程中，得請求通報之公務單位或特定非公務單位提供判斷所需之資料或紀錄。

(三)本校於必要時得依據審核之結果，逕行變更資通安全事件之等級，並應於決定變更後一小時內，將審核結果及級別變更之決定通知行政院，並提供做成決定所依據之相關資訊。

陸、應變程序

一、事件發生時之損害控制機制

負責應變之權責人員或緊急處理小組，應完成以下損害控制及應變事務，並留存紀錄

(一)應就資安事件發生原因、影響等級、可能影響範圍、可能損失及是否需要支援等項目逐一檢討與處置，並保留被入侵或破壞相關證據。

(二)依各資通系統之緊急應變程序，實施緊急應變處置，並持續監控與追蹤管制。

(三)查詢通報應變網站、系統弱點(病毒)資料庫或聯絡技術支援單位(或廠商)等方式，以尋求解決方案；如無法解決，應迅速向上級或監督機關、行政院或行政院國家資通安全會報技術服務中心反應，請求提供相關技術支援。

(四)評估資安事件對業務運作造成之衝擊，並進行損害管制。

(五)視資安事件損壞程度，遵循本校及 BOT 廠商內部備份管理辦法，啟動相關應變措施，以防止事件擴大。

(六)資安事件如涉及刑責，應做好相關資料(含稽核紀錄)保全工作，以聯繫檢警調單位協助偵查。

(七)如發生重大資安事件(第三級、第四級之資安事件)，應主動提供相關設備系統日誌予行政院國家資通安全會報技術服務中心，俾提供相關協助。

二、事件發生後之復原機制

負責應變之權責人員或緊急處理小組，應完成以下復原事務，並留存紀錄。

(一)在執行復原重建工作時，應視必要性或可行性執行環境重建、系統復原及掃描作業，俟系統正常運作後即進行安全備份及資料復原等相關事宜。

(二)在完成復原重建工作後，應將復原過程之完整紀錄(如資安事件原因分析及檢討改善方案、防止類似事件再次發生之具體方案、稽核軌跡及蒐集分析相關證據等資料)，予以建檔管制，以利爾後查考使用。

(三)全面檢討網路安全措施、修補安全弱點、修正防火牆設定等具體改善措施，以防止類似入侵或攻擊情事再度發生，並視需要修訂應變計畫。

三、損害控制或復原作業之通知

(一)對於第一級、第二級資通安全事件，本校應於知悉事件後七十二小時內完成前項事務之辦理，並應留存紀錄；於第三級、第四級資通安全事件，本校應於知悉事件後三十六小時內完成損害控制或復原作業，並執行上述事項，及留存相關紀錄。

(二)本校於知悉受託廠商發生與受託業務相關之資通安全事件時，應於知悉委外廠商發生第一、二級資通安全事件後七十二小時內，確認委外廠商已完成損害控制或復原事項之辦理；於知悉委外廠商發生第三、四級資通安全事件後三十六小時內，確認委外廠商完成損害控制或復原事項之辦理。

(三)本校完成通報及應變程序之辦理後，應依所上級或監督機關及行政院所指定或認可之方式進行通知。

柒、資安事件後之鑑識、調查及改善機制

一、本校完成資通安全事件之通報及應變程序後，應針對事件所造成之衝擊、損害及影響進行調查及改善，並應於事件發生後一個月內完成資通安全事件調查、處理及改善報告。

二、資通安全事件調查、處理及改善報告應包括以下項目：

(一)事件發生、完成損害控制或復原作業之時間。

(二)事件影響之範圍及損害評估。

(三)損害控制及復原作業之歷程。

(四)事件調查及處理作業之歷程。

(五)事件根因分析。

(六)為防範類似事件再次發生所採取之管理、技術、人力或資源等層面之措施。

(七)前款措施之預定完成時程及成效追蹤機制。

三、本校應向上級或監督機關及行政院提出前項之報告，以供監督與檢討，如無法於時限內完成，應經上級或監督機關及行政院同意，並依其延長之時間完成。

捌、事件相關紀錄之保全及管理程序之調整

一、本校針對重大資通安全事件，應先進行事件相關記錄之保全。

二、本校針對重大資通安全事件，應將事件之通報與應變作業之執行、事件影響範圍與損害程度以及其他通報應變之執行情形，於「資安事件通報紀錄單」上留存完整之紀錄，該文件並應經承辦之權責人員、資通安全長簽核。

三、本校於完成資通安全事件之通報及應變程序後，應依據「資安事件通報紀錄單」之內容及實際處理之情形，於必要時對本管理程序、人力配置或其他相關事項進行修正或調整。

玖、演練作業

一、本校應每年依資通安全事件通報應變辦法之規定或配合宜蘭縣政府辦理社交工程演練、資通安全事件通報及應變演練，並於完成後一個月內，將執行情形及成果報告留存備查。

二、本校應配合宜蘭縣政府依資通安全事件通報應變辦法之規定所辦理之下列資通安全演練作業：

(一)社交工程。

(二)資安事件通報及應變

(三)網路攻防

(四)情境演練

(五)其他資安演練

壹拾、事件通報應變流程圖

壹拾壹、相關法規、程序及表單

一、相關法規

1.資通安全管理法

2.資通安全管理法施行細則

3.資通安全責任等級分級辦法

4.資通安全事件通報及應變辦法

5.資通安全情資分享辦法

6.公務校所屬人員資通安全事項獎懲辦法

7.宜蘭縣政府資通安全維護計畫

二、程序書及工作說明書

宜蘭縣大湖國民小學資通安全事件通報及應變管理程序書

二、表單

1.資訊安全事件報告單

2.資訊安全組織成員表