各類機關年度資安項目與檢測頻率
資源分享 》資通安全法合規要點:各類機關年度資安項目與檢測頻率|天矽網頁設計
| 目錄 ➤ 資通安全管理法簡介 ➤ 因應資通安全法,受規範的單位有哪些? ➤ 不同單位(機關)的年度資安項目與檢測頻率? ➤ 小結 |
➤資通安全管理法簡介
《資通安全管理法》是我國面對日益嚴峻的網路攻擊與資安風險下,由行政院2018年通過的資安政策,主要目的是建立國家整體的資安防護,建立特定機關或民間單位的資訊與通訊安全能力,以保障國家安全、社會運作與人民的權利不受影響。
▲《資通安全管理法》主要核心
參考資料來源
✔行政院:「資通安全管理法」1月1日上路 公務機關積極整備
➤因應資通安全法,受規範的單位有哪些?
《資通安全管理法》納管對象包含公務機關及特定非公務機關:
(一)、公務機關:指依法行使公權力之中央、地方機關(構)或公法人,但不含軍事及情報機關。
(二)、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
※註1:「關鍵基礎設施提供者」指提供社會運作必要服務,其資訊系統一旦癱瘓、破壞,將造成重大影響的單位或企業。例如:醫院、銀行機構、證卷商、保險公司、票劵公司、電信、電力公司,這些單位都歸屬為「關鍵基礎設施提供者」。
※註2:銀行機構多屬上市上櫃,需依《金管會》規定,遵循金融資安規範,另有一套資通安全控管指引。
(三)、各級政府獨資或合營者。
(四)、政府與人民合資經營,且政府資本超過百分之五十者。
(五)、政府與前二款公營事業或前二款公營事業投資於其他事業,其投資之資本合計超過該投資事業資本百分之五十者。
參考資料來源
✔數位發展部資通安全署
➤不同單位(機關)的年度資安項目與檢測頻率?
依據《資通安全管理法》,不同機關/層級每年需進行資安項目檢測與頻率略有不同,下方簡易整理不同機關的年度資安項目與頻率:
※備註:銀行機構包含→銀行體系、證卷商、保險公司、票劵公司。
➤小結
依比較表來看,銀行機構與證券業者在資安檢測屬最嚴格的一類,尤其是證券公司的下單系統與交易平台,由於涉及大量個資、財務及即時交易資訊,一旦遭受攻擊,將可能導致市場混亂、用戶資產損失。因此,金管會對銀行體系要求執行更高頻率的弱點掃描、源碼檢測、滲透測試及相關黑箱測試。
此外,除了《資通安全管理法》訂定的要求,各機關或集團也會各別要求資安檢測,會有更細節的規範,因此,面對資安合規時,不僅需達到最低法規標準,更應依自身業務特性與風險敏感度評估是否有需額外的檢測項目。
