公務機關A~E資安責任等級辦理項目彙整

資料來源:資通安全責任等級分級辦法部分條文修正(108年8月26日資安處)

資安責任等級共有A~E共計5個等級。

1. A級:全國性
2. B級:地區性或有限的區域
3. C級:自行設置或委外開發資訊系統並設置伺服器(含承租雲端機房或委外代管)
4. D級:未自行設置或委外開發資系統未設置伺服器(組織內部純分享檔案用的Nas以及監視器、防毒中控台等應用軟體平台不屬於伺服器範疇)、僅自行置辦資訊業務(例:辦公用資訊服務之勞務及設備採購、)
5. E級:全部資訊業務皆由其它機關兼辦或代辦

資通安全法子法 資安責任等級
§10 各機關得考慮其對國家 安全、社會公益或人民之影響， 彈性調整其等級

公務機關A~E資安責任等級彙整表

制度面向|辦理項目|辦理項目細項|辦理內容|A(附表一)|B(附表三)|C(附表五)|D(附表七)|E(附表八)
------------- | -------------
管理面|資通系統分級及防護基準|NA|初次受核定或等級變更後之一年內，針對自行或委外開發之資通系統，依附表九完成資通系統分級，並完成附表十之控制措施；其後應每年至少檢視一次資通系統分級妥適性。|1年1次|1年1次|附表九:1年1次/附表十:2年內|NA|NA
管理面|資訊安全管理系統之導入及通過公正第三方之驗證|NA|初次受核定或等級變更後之二年內，全部核心資通系統導入CNS27001或ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準，或其他公務機關自行發展並經主管機關認可之標準，於三年內完成公正第三方驗證，並持續維持其驗證有效性。|2年內導入/3年內驗證|2年內導入/3年內驗證|2年內導入|NA|NA
管理面|資通安全專責人員|NA|初次受核定或等級變更後之一年內，配置 _ 人；須以專職人員配置之。|4人|2人|1人|NA|NA
管理面|內部資通安全稽核|NA|每 _ 年辦理 _ 次。|1年2次|1年1次|2年1次|NA|NA
管理面|業務持續運作演練|NA|全部核心資通系統每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA
管理面|限制使用危害國家資通安全產品|NA|一、除因業務需求且無其他替代方案外，不得採購及使用主管機關核定之廠商生產、研發、製造或提供之危害國家資通安全產品。二、必須採購或使用危害國家資通安全產品時，應具體敘明理由，經主管品機關核可後，以專案方式購置。三、對本辦法修正施行前已使用或因業務需求且無其他替代方案經主管機關核可採購之危害國家資通安全產品，應列冊管理，且不得與公務網路環境介接。|同左|同左|同左|同左|NA
技術面|安全性檢測|網站安全弱點檢測|全部核心資通系統每年 _ 辦理 _ 次。|1年2次|1年1次|2年1次|NA|NA
技術面|安全性檢測|系統滲透測試|全部核心資通系統每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA
技術面|資通安全健診|網路架構檢視|每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA
技術面|資通安全健診|網路惡意活動檢視|每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA
技術面|資通安全健診|使用者端電腦惡意活動檢視|每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA
技術面|資通安全健診|伺服器主機惡意活動檢視|每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA
技術面|資通安全健診|目錄伺服器設定及防火牆連線設定檢視|每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA
技術面|資通安全健診|伺服器主機惡意活動檢視|每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA
技術面|資通安全威脅偵測管理機制(SOC)|NA|初次受核定或等級變更後之一年內，完成威脅偵測機制建置，並持續維運及依主管機關指定之方式提交監控管理資料。|1年內|1年內|NA|NA |NA
技術面|資通安全防護|防毒軟體|初次受核定或等級變更後之一年內，完成各項資通安全防護措施之啟用，並持續使用及適時進行軟、硬體之必要更新或升級。|1年內|1年內|1年內|1年內|NA
技術面|資通安全防護|網路防火牆(firewell)|初次受核定或等級變更後之一年內，完成各項資通安全防護措施之啟用，並持續使用及適時進行軟、硬體之必要更新或升級。|1年內|1年內|1年內|1年內|NA
技術面|資通安全防護|具有郵件伺服器者，應備電子郵件過濾機制(SPAM)|初次受核定或等級變更後之一年內，完成各項資通安全防護措施之啟用，並持續使用及適時進行軟、硬體之必要更新或升級。|1年內|1年內|NA|NA|NA
技術面|資通安全防護|入侵偵測及防禦機制(IPS)|初次受核定或等級變更後之一年內，完成各項資通安全防護措施之啟用，並持續使用及適時進行軟、硬體之必要更新或升級。|1年內|1年內|NA|NA|NA
技術面|資通安全防護|具有對外服務之核心資通系統者，應備應用程式防火牆(WAF)|初次受核定或等級變更後之一年內，完成各項資通安全防護措施之啟用，並持續使用及適時進行軟、硬體之必要更新或升級。|1年內|1年內|NA|NA|NA
技術面|資通安全防護|進階持續性威脅攻擊防禦措施(APT)|初次受核定或等級變更後之一年內，完成各項資通安全防護措施之啟用，並持續使用及適時進行軟、硬體之必要更新或升級。|1年內|NA||NA|NA|NA
認知與訓練|資通安全教育訓練|資通安全專職人員|每人每年至少接受12小時以上之資通安全專業課程訓練或資通安全職能訓練。|12小時|12小時|12小時|NA|NA
認知與訓練|資通安全教育訓練|資通安全專職人員以外之資訊人員|每人每二年至少接受三小時以上之資通安全專業課程訓練或資通安全職能訓練，且每年接受三小時以上之資通安全通識教育訓練。|每2年3小時專業或職能+3小時通識|每2年3小時專業或職能+3小時通識|每2年3小時專業或職能+3小時通識|NA|NA
認知與訓練|資通安全教育訓練|一般使用者及主管|每人每年接受3小時以上之資通安全通識教育訓練。|3小時|3小時|3小時|3小時|3小時
認知與訓練|資通安全專業證照及職能訓練證書|資通安全專業證照|初次受核定或等級變更後之一年內，資通安全專職人員總計應持有四張以上，並持續維持證照之有效性。|4張|2張|1張|NA|NA

一、資通系統之性質為共用性系統者，由該資通系統之主責設置、維護或開發機關判斷是否屬於核心資通系統。
二、「公正第三方驗證」所稱第三方，指通過我國標準法主管機關委託機構認證之機構。(C~E無此項規範)
三、危害國家資通安全產品，指對國家資通安全具有直接或間接造成危害風險，影響政府運作或社會安定之資通系統或資通服務。
四、資通安全專職人員，指應全職執行資通安全業務者。
五、公務機關辦理本表「資通安全健診」時，除依本表所定項目、內容及時限執行外，亦得採取經主管機關認可之其他具有同等或以上效用之措施。
六、資通安全專業證照，指由主管機關認可之國內外發證機關（構）所核發之資通安全證照。