《資通安全管理法》
政府資安要求《資通安全管理法》網站建置同樣須符合標準|天矽科技網頁設計
網站的資安 資通安全管理法
大多的公家機關在尋求網頁設計廠商協助建置網站時,因架設網站與主機、網路傳輸…等資訊通訊有關,因此通常都會要求網頁設計公司建置出的網站以及放置的主機等級與規格須符合資安法規,特別是要求必須符合《資通安全管理法》之特定等級。
該法案是我國重要的法律改革,是總統府於 107/6/6 公告之辦法,相關子法亦於 110/8/23 修正發布實施,調整部分機關等級之應辦事項內容,導入資通安全弱點通報機制、端點偵測及應變機制等,始知符合實務運作之需要。
此管理法之安全責任等級,由高至低分為 A級、B級、C級、D級 與 E級,且主管機關應每兩年核定自身資通安全責任等級,並匯報主管機關核定或備查,分級方式如下。
安全責任等級為A級:
- 業務涉及國家機密。
- 業務涉及外交、國防或國土安全事項。
- 業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運。
- 業務涉及全國性民眾或公務員個人資料檔案之持有。
- 屬公務機關,且業務涉及全國性之關鍵基礎設施事項。
- 屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生災難性或非常嚴重之影響。
- 屬公立醫學中心。
安全責任等級為B級:
- 業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理。
- 業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維運。
- 業務涉及區域性或地區性民眾個人資料檔案之持有。
- 業務涉及中央二級機關及所屬各級機關(構)共用性資通系統之維運。
- 屬公務機關,且業務涉及區域性或地區性之關鍵基礎設施事項。
- 屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生嚴重影響。
- 屬公立區域醫院或地區醫院。
安全責任等級為C級:
- 各機關維運自行或委外設置、開發之資通系統者。
- 前項所定自行或委外設置之資通系統,指具權限區分及管理功能之資通系統。
安全責任等級為D級:
- 各機關自行辦理資通業務,未維運自行或委外設置、開發之資通系統者。
安全責任等級為E級:
- 無資通系統且未提供資通服務。
- 屬公務機關,且其全部資通業務由其上級機關、監督機關或上開機關指定之公務機關兼辦或代管。
- 屬特定非公務機關,且其全部資通業務由其中央目的事業主管機關、中央目的事業主管機關所屬公務機關、中央目的事業主管機關所管特定非公務機關或出資之公務機關兼辦或代管。
資料來源與詳細可參考:
「全國法規資料庫」「資通安全責任等級分級辦法」
《資通安全管理法》內容
《資通安全管理法》依照機關業務內容進行分級,等級分為 A~E 五個等級,其機關業務愈是涉及機密、國家或重要資訊,資通安全就必須更加全面且嚴謹,而其等級也就會愈高。
資通安全責任等級分為三個面向,分別是管理面、技術面 及 認知與訓練面,其面向也會依照等級的不同而有不同的規範,如 A~C級 須顧及所有面向,D級 僅需辦理技術面和認知與訓練面,而 E級 則只需要顧及認知與訓練面即可。
管理面的內容是資安管理系統導入、驗證、安全稽核與持續運作演練;各面向主要仍著重在技術面的部份,內容主要是各種安全檢測、資安防護與防禦和應變機制…等;而認知與訓練面,則是內部人員的資安教育訓練及證書的擁有與取得。
▲資料來源:數位發展部數位產業署|資通安全法懶人包
這些《資通安全管理法》之詳細內容,政府提供了可下載的懶人包以供使用者檢視參考,詳細說明可透過以下連結進行下載。
若建置網站有需要符合《資通安全管理法》,單位人員可提出討論網站相關可執行的程度與做法,天矽科技團隊可全力協助配合處理;另外,天矽也有專屬的資安方案可參考,有興趣可直接與我們聯繫。
