跳至主要內容
:::

分享網址:
若您有連結此資料內容之需求,請直接複製下述網址

請選取上方網址後,按 Ctrl+C 或按滑鼠右鍵選取複製,即可複製網址。

發布日期:
民國 93 年 05 月 06 日
廢止日期:
民國 110 年 03 月 17 日
1
一、本程序依司法院及所屬各機關資訊安全管理要點第四十四點及第四十 五點規定訂定之。
2
二、司法院(以下簡稱本院)為利本院及所屬各機關於遭遇資訊安全事件 (以下簡稱資安事件)時,能迅速通報及緊急應變處置,在最短時間 內回復正常,確保各機關各項業務之順行,訂定本程序。
3
三、本院及所屬各機關(以下統稱各機關)資安事件通報及應變作業由資 訊安全推行小組(以下簡稱資安小組)負責,資安小組應指定緊急聯 絡人並公告於各機關內部網站。 各機關得視需要委請外界學者專家提供資訊安全顧問諮詢服務及技術 支援協助,並依規定支給相關費用。
4
四、資安事件分類與影響分級: (一)資安事件類別分為三類: 1.內部資安事件:如惡意破壞毀損、作業不慎、未依規定操作等。 2.外力入侵事件:如病毒感染、駭客攻擊(或非法入侵)。 3.天然災害或重大突發事件:如颱風、水災、地震、火災、爆炸、 核子事故、重大建築災害等。 (二)資安事件影響等級分為四級: 1.4 級事件 符合下列任一情形者,屬 4 級事件: (1)國家機密資料遭洩漏(機密性衝擊)。 (2)國家重要資訊基礎建設系統或資料遭竄改(完整性衝擊)。 (3)國家重要資訊基礎建設運作遭影響或系統停頓,無法於可容忍 中斷時間內回復正常運作(可用性衝擊)。 2.3 級事件 符合下列任一情形者,屬 3 級事件: (1)密級或敏感公務資料遭洩漏(機密性衝擊)。 (2)核心業務系統或資料遭嚴重竄改(完整性衝擊)。 (3)核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內回 復正常運作(可用性衝擊)。 3.2 級事件 符合下列任一情形者,屬 2 級事件: (1)非屬密級或敏感之核心業務資料遭洩漏(機密性衝擊)。 (2)核心業務系統或資料遭輕微竄改(完整性衝擊)。 (3)核心業務運作遭影響或系統效率降低,於可容忍中斷時間內回 復正常運作(可用性衝擊)。 4.1 級事件 符合下列任一情形者,屬 1 級事件: (1)非核心業務資料遭洩漏(機密性衝擊)。 (2)非核心業務系統或資料遭竄改(完整性衝擊)。 (3)非核心業務運作遭影響或短暫停頓(可用性衝擊)。
5
五、資安事件通報作業處理程序: (一)各機關員工發現資訊系統或服務運作不合常態,或發現可疑安全弱 點或威脅時,應向所屬機關之資安小組反應,請求協助。 (二)資安小組發現或接獲通知資訊系統運作不合常態時,應先判斷是否 屬於資安事件,無法確認是否屬資安事件時,可填具「資訊安全事 件通報單」(如附件一),請求本院協助研判。 (三)資安小組於確認發生資安事件時,經研判影響程度屬於內部資安事 件之 1 級(含)以下者,即自行處理復原。屬於 2 級(含)以 上重大災害,資安小組應立即(最遲不得超過三十分鐘)填報「資 訊安全事件通報單」以傳真或電子郵件方式向本院資安小組反應事 實或請求支援;本院資安小組依據事故狀況,評估相關可能因素, 藉由適當管道,尋求解決方案,儘速協助通報機關進行應變處置。 (四)本院資安小組於確認發生資安事件或接獲所屬機關發生資安事件之 通報後,經研判影響程度屬於 2 級(含)以上重大災害,且影響 層面深廣、受損程度嚴重時,應將事件發生之事實、可能影響之範 圍、損失評估、判斷支援申請、採取之應變措施等事項,立即(最 遲不得超過三十分鐘)填具「資訊安全事件通報單」,並透過上網 、行動電話、傳真或電子郵件等方式,通報至「國家資訊安全應變 中心」及其隸屬之分組召集單位。 (五)各機關之資安事件,若危及人員生命或設備遭到破壞等涉及民、刑 事案件時,應即時通報檢調單位請求處理。如引發重大災害時,應 向災害防救體系提報,請求支援處理。
6
六、資安事件應變作業處理程序: (一)狀況判斷: 1.各機關就資安事件之徵兆,查明事件狀況、安全等級區分、判定 可能影響範圍、評估可能損失、判斷是否需要支援申請等作業項 目逐一檢討與處置;並保留被入侵或破壞等證據(如網頁置換等 )。 2.透過系統弱點(病毒)資料庫、上網站、技術支援單位(或廠商 )等方式,查詢獲得解決方案(如下載漏洞修補程式、解毒程式 等);或依既定之緊急應變計畫,實施災害緊急應變搶修處置( 如保護、救援、回復運轉等),並持續性主動積極之監控與追蹤 管制。 3.視損害程度啟動備援計畫等應變措施。 4.如屬新生(以往未發生過)無法解決之危害事件,應迅速向本院 資安小組反映,請求提供相關技術支援。 5.執行其他災害應變及防止事件擴大之措施。 (二)應變作業優先順序如後: 1.審判服務:民刑整合系統、行政法院審判系統、筆錄電腦化系統 、前案通撤緝系統、法學檢索系統等。 2.資訊網路:司法網路、GSN VPN 網路、機關內部網路等。 3.一般行政:公文電子交換系統、公文系統、差勤系統、訓練業務 行政系統、人事系統、薪資系統等。 4.網路服務:防火牆、DNS 、網站伺服器、電子郵件伺服器、防毒 主機等。 (三)分類應變作業處理程序: 1.內部資安事件:應迅速查明事件影響狀況、受損程度等,啟用備 分資料、程式或啟動備援計畫相關措施,以儘速回復正常運作。 2.外力入侵事件: (1)病毒感染事件:病毒入侵後,應先拔除網路線隔離病毒,避免 疫情擴散,並隨時掌握電腦病毒感染最新動態;同時儘速取得 所需病毒清除程式,並按病毒修護程序,完成病毒清除及修護 復原工作。 (2)駭客攻擊(或非法入侵)事件: A.發現(或)被入侵時,立即隔離受入侵系統及拒絕入侵者任 何存取動作,如切斷入侵者之實體連線或調整防火牆設定等 ,以阻絕駭客進一步入侵,並迅速啟動備援系統或程序。 B.如入侵者已被嚴密監控但不危害內部(含 DMZ 區)網路安 全下,可考慮讓入侵者作有條件的連接,適度允許其繼續動 作,以利追查入侵者 IP 位置;並利用稽核檔案或系統指令 、聯合 ISP 公司等方式,追蹤入侵者行蹤。惟一旦入侵者 危害到內部(含 DMZ 區)網路安全,則立即切斷入侵者之 實體連線。 C.正式紀錄入侵情形、被駭統計分析及損失評估等資料,以供 防護與預警之參考,並向主管機關或檢警單位反映。 3.天然災害或重大突發事件: (1)如遇颱風、水災、地震等天然災害或火災、爆炸、核子事故、 重大建築災害等重大意外事件,應迅速攜帶重要資料及程式等 離開現場,或儲存於防火保險櫃等設施內,以利災後系統重置 復原。 (2)如遇通訊網路系統骨幹中斷事件,應立即查明障礙點、影響區 間及範圍,啟動應變機制,緊急調撥備援系統或替代路由,實 施流量控管,執行搶修作業。 (四)分級處理程序: 1.3 級:機房人員應儘速通知相關系統負責人及主管處理該事件, 立即採取緊急處置(如關閉電源、搬離重要資料等),並連絡維 護廠商或相關技術支援單位(如 TWCERT 及技服中心)協助。 2.2 級:系統負責人應儘可能備份目前系統所有資料及狀態,找尋 其它可行替代運作方案,並邀集主管、維護廠商或相關人員處理 該事件及研判問題所在。 3.1 級:系統負責人應先復原該系統,並邀集廠商或相關人員研判 問題所在,以確定系統異常原因。 4.上述各項災害,若系統負責人懷疑損害會因網路或系統開機而持 續擴大,應立即中斷網路連線或關機。 (五)資安事件應變作業處理流程圖如附件二。
7
七、復原追蹤鑑識 (一)受損機關執行災後復原工作,首先檢驗資訊安全環境及硬體設備是 否可以正常運作,並執行環境重建、系統復原及掃描作業,其步驟 包含軟硬體設備重新取得建置、重置作業系統及應用系統,以及運 轉測試等;並俟運作正常後即進行安全備份檔案下載、資料回復、 資料重置等相關事宜。 (二)當危機解除後,受損機關應將災害應變處置復原過程之完整紀錄( 如事件原因分析及檢討改善方案、防止類似事件再次發生之具體方 案、稽核軌跡及蒐集分析相關證據等資料),予以建檔管制,以利 爾後查考使用。 (三)受損機關如有需要,應保留事件發生之線索,經洽本院資安小組同 意後,向技術服務中心或檢警單位申請追蹤鑑識、偵查支援,藉研 析稽核紀錄或入侵活動偵測等相關資料,以釐清事件發生的原因與 責任;並找出防護系統之漏洞,尋求補強保護方法,避免事件再度 發生。 (四)資安事件或造成運作中斷之事件,須由各機關發言人統一對外發言 。