iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 12
0
Security

打雜小弟的公務機關法遵面面觀(資訊彙整+彙整+筆記)系列 第 12

Day12:資安責任等級應辦項目與Cissp彙整對照表

  • 分享至 

  • xImage
  •  

資安責任等級應辦項目與Cissp彙整對照表資料來源

  1. 資通安全責任等級分級辦法部分條文修正(108年8月26日資安處)
  2. Cissp原廠教材

公務機關資安責任等級A~E共計5個等級。

  1. A級:全國性
  2. B級:地區性或有限的區域
  3. C級:自行設置或委外開發資訊系統並設置伺服器(含承租雲端機房或委外代管)
  4. D級:未自行設置或委外開發資系統未設置伺服器(組織內部純分享檔案用的Nas以及監視器、防毒中控台等應用軟體平台不屬於伺服器範疇)、僅自行置辦資訊業務(例:辦公用資訊服務之勞務及設備採購、)
  5. E級:全部資訊業務皆由其它機關兼辦或代辦

資通安全法子法 資安責任等級
§10 各機關得考慮其對國家 安全、社會公益或人民之影響, 彈性調整其等級

CISSP®(Certified Information Systems Security Professional)資訊安全系統專家認證

Domain1:安全暨風險管理
Domain2:資產安全
Domain3:安全架構與工程
Domain4:通訊及網路安全
Domain5:識別暨存取控制
Domain6:安全性評估與測試
Domain7:安全性作業
Domain8:軟體開發安全性
PS:會讓人變成資安專家的不是補習班老師(除了拜神也要自我成長啊啊啊),是自已心中求知若渴的心與堅持穩定成長的執行力、築夢踏實。


公務機關A~E資安責任等級vs.Cissp彙整對照表

制度面向|辦理項目|辦理項目細項|辦理內容|A(附表一)|B(附表三)|C(附表五)|D(附表七)|E(附表八)|Domain:1|Domain:2|Domain:3|Domain:4|Domain:5|Domain:6|Domain:7|Domain:8|
------------- | -------------
管理面|資通系統分級及防護基準|NA|初次受核定或等級變更後之一年內,針對自行或委外開發之資通系統,依附表九完成資通系統分級,並完成附表十之控制措施;其後應每年至少檢視一次資通系統分級妥適性。|1年1次|1年1次|附表九:1年1次/附表十:2年內|NA|NA|認識全球背景下的資訊安全法令、法規議題、判斷遵循性要求、評估與應用安全治理原則|資訊與資產識別與分級、確認與管理資訊與資產擁有權|認識資訊系統安全能力、評估與減少網站/行動/嵌入式裝置與連網系統安全弱點|採安全原則設計網路架構、保護網路元件、基於設計建立安全通道|資產的實體及邏輯存取控制、管理人員與裝置的識別與鑑別、整合第三方識別服務|NA|認識與支援調查過程、認識不同調查類型之要求、認識與應用安全性作業、參與及認識異動管理流程、解決人員安全與安全顧慮|認識與應用軟體開發生命週期安全性、制定與應用安全開發指引與標準、落實開發環境安控措施、評估軟體安全效果、評估外購軟體安全
管理面|資訊安全管理系統之導入及通過公正第三方之驗證|NA|初次受核定或等級變更後之二年內,全部核心資通系統導入CNS27001或ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準,於三年內完成公正第三方驗證,並持續維持其驗證有效性。|2年內導入/3年內驗證|2年內導入/3年內驗證|2年內導入|NA|NA||建立與強制人員安全政策與程序、認識與應用機密性(C)/完整性(I)/可用性(A)、制定與執行資訊安全之政策/標準/程序及指引|隱私防護、確保適當保存、決定資料安控措施、建立作業要求|基於系統安全要求選擇控制措施|NA|建置與管理授權機制、管理識別與存取供應生命週期|NA|建置與管理實體安全|制定與應用安全開發指引與標準、落實開發環境安控措施
管理面|資通安全專責人員|NA|初次受核定或等級變更後之一年內,配置 _ 人;須以專職人員配置之。|4人|2人|1人|NA|NA||NA|NA|NA|NA|NA|執行或協助安全稽核|事故回應、參與及認識異動管理流程|評估軟體安全效果、評估外購軟體安全
管理面|內部資通安全稽核|NA|每 _ 年辦理 _ 次。|1年2次|1年1次|2年1次|NA|NA||認識與應用風險管理、認識與應用威脅模型、供應鏈風險管理|隱私防護、確保適當保存、決定資料安控措施、建立作業要求|認識資訊系統安全能力、評估與減少網站/行動/嵌入式裝置與連網系統安全弱點|NA|資產的實體及邏輯存取控制、管理人員與裝置的識別與鑑別|執行或協助安全稽核、設計與驗證評估、測試與稽核策略、測試安控機制|認識與應用安全性作業、事故回應|評估軟體安全效果、評估外購軟體安全
管理面|業務持續運作演練|NA|全部核心資通系統每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA||識別/分析與區分持續營運要求、供應鏈風險管理|隱私防護、確保適當保存、決定資料安控措施、建立作業要求|認識資訊系統安全能力、評估與減少網站/行動/嵌入式裝置與連網系統安全弱點|NA|資產的實體及邏輯存取控制、管理人員與裝置的識別與鑑別|執行或協助安全稽核、設計與驗證評估、測試與稽核策略、測試安控機制|認識與應用安全性作業、事故回應、建置復原策略、建置災難復原流程、測試災難復原計畫、參與營運持續計畫執行|評估軟體安全效果、評估外購軟體安全
管理面|限制使用危害國家資通安全產品|NA|一、除因業務需求且無其他替代方案外,不得採購及使用主管機關核定之廠商生產、研發、製造或提供之危害國家資通安全產品。二、必須採購或使用危害國家資通安全產品時,應具體敘明理由,經主管品機關核可後,以專案方式購置。三、對本辦法修正施行前已使用或因業務需求且無其他替代方案經主管機關核可採購之危害國家資通安全產品,應列冊管理,且不得與公務網路環境介接。|同左|同左|同左|同左|NA||NA|確保適當保存、決定資料安控措施|認識資訊系統安全能力、評估與減少網站/行動/嵌入式裝置與連網系統安全弱點|採安全原則設計網路架構、保護網路元件、基於設計建立安全通道|資產的實體及邏輯存取控制、管理人員與裝置的識別與鑑別|執行或協助安全稽核|安全地供應資源|評估軟體安全效果、評估外購軟體安全
技術面|安全性檢測|網站安全弱點檢測|全部核心資通系統每年 _ 辦理 _ 次。|1年2次|1年1次|2年1次|NA|NA||NA|確保適當保存|認識資訊系統安全能力、評估與減少網站/行動/嵌入式裝置與連網系統安全弱點|NA|NA|分析測試結果與產出報告|建置與支援修補及弱點管理|評估軟體安全效果、評估外購軟體安全
技術面|安全性檢測|系統滲透測試|全部核心資通系統每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA||NA|確保適當保存|認識資訊系統安全能力、評估與減少網站/行動/嵌入式裝置與連網系統安全弱點|NA|NA|分析測試結果與產出報告|建置與支援修補及弱點管理|評估軟體安全效果、評估外購軟體安全
技術面|資通安全健診|網路架構檢視|每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA||NA|確保適當保存|認識資訊系統安全能力、評估與減少網站/行動/嵌入式裝置與連網系統安全弱點|NA|NA|NA|建置與支援修補及弱點管理|NA
技術面|資通安全健診|網路惡意活動檢視|每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA||NA|確保適當保存|評估與減少網站/行動/嵌入式裝置與連網系統安全弱點|NA|NA|分析測試結果與產出報告|建置與支援修補及弱點管理|NA
技術面|資通安全健診|使用者端電腦惡意活動檢視|每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA||NA|確保適當保存|評估與減少網站/行動/嵌入式裝置與連網系統安全弱點|NA|NA|分析測試結果與產出報告|建置與支援修補及弱點管理|NA
技術面|資通安全健診|伺服器主機惡意活動檢視|每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA||NA|確保適當保存|評估與減少網站/行動/嵌入式裝置與連網系統安全弱點|NA|NA|分析測試結果與產出報告|建置與支援修補及弱點管理|NA
技術面|資通安全健診|目錄伺服器設定及防火牆連線設定檢視|每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA||NA|確保適當保存|評估與減少網站/行動/嵌入式裝置與連網系統安全弱點|NA|NA|NA|建置與支援修補及弱點管理|NA
技術面|資通安全健診|伺服器主機惡意活動檢視|每 _ 年辦理 _ 次。|1年1次|2年1次|2年1次|NA|NA||NA|確保適當保存|評估與減少網站/行動/嵌入式裝置與連網系統安全弱點|NA|NA|分析測試結果與產出報告|建置與支援修補及弱點管理|NA
技術面|資通安全威脅偵測管理機制(SOC)|NA|初次受核定或等級變更後之一年內,完成威脅偵測機制建置,並持續維運及依主管機關指定之方式提交監控管理資料。|1年內|1年內|NA|NA|NA||NA|確保適當保存|NA|NA|NA|收集安全流程資料|紀錄與監控、偵測與預防性措施之操作與維護|NA
技術面|資通安全防護|防毒軟體|初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新或升級。|1年內|1年內|1年內|1年內|NA||NA|確保適當保存|NA|NA|NA|NA|建置與支援修補及弱點管理|NA
技術面|資通安全防護|網路防火牆(firewell)|初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新或升級。|1年內|1年內|1年內|1年內|NA||NA|確保適當保存|NA|NA|建置與管理授權機制|NA|紀錄與監控、偵測與預防性措施之操作與維護|NA
技術面|資通安全防護|具有郵件伺服器者,應備電子郵件過濾機制(SPAM)|初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新或升級。|1年內|1年內|NA|NA|NA||NA|確保適當保存|NA|NA|NA|NA|使用資源防護技術|NA
技術面|資通安全防護|入侵偵測及防禦機制(IPS)|初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新或升級。|1年內|1年內|NA|NA|NA||NA|確保適當保存|NA|NA|建置與管理授權機制|NA|錄與監控、偵測與預防性措施之操作與維護、使用資源防護技術|NA
技術面|資通安全防護|具有對外服務之核心資通系統者,應備應用程式防火牆(WAF)|初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新或升級。|1年內|1年內|NA|NA|NA||NA|確保適當保存|NA|NA|建置與管理授權機制|NA|紀錄與監控、偵測與預防性措施之操作與維護、使用資源防護技術|NA
技術面|資通安全防護|進階持續性威脅攻擊防禦措施(APT)|初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新或升級。|1年內|NA||NA|NA|NA||NA|確保適當保存|NA|NA|建置與管理授權機制|NA|紀錄與監控、偵測與預防性措施之操作與維護|NA
認知與訓練|資通安全教育訓練|資通安全專職人員|每人每年至少接受12小時以上之資通安全專業課程訓練或資通安全職能訓練。|12小時|12小時|12小時|NA|NA||建立與維護資訊安全認知、教育與訓練、認識/遵守/推廣職業道德|確保適當保存|NA|NA|NA|執行或協助安全稽核|NA|NA
認知與訓練|資通安全教育訓練|資通安全專職人員以外之資訊人員|每人每二年至少接受三小時以上之資通安全專業課程訓練或資通安全職能訓練,且每年接受三小時以上之資通安全通識教育訓練。|每2年3小時專業或職能+3小時通識|每2年3小時專業或職能+3小時通識|每2年3小時專業或職能+3小時通識|NA|NA||建立與維護資訊安全認知、教育與訓練、認識/遵守/推廣職業道德|確保適當保存|NA|NA|NA|執行或協助安全稽核|NA|NA
認知與訓練|資通安全教育訓練|一般使用者及主管|每人每年接受3小時以上之資通安全通識教育訓練。|3小時|3小時|3小時|3小時|3小時||建立與維護資訊安全認知、教育與訓練、認識/遵守/推廣職業道德|確保適當保存|NA|NA|NA|執行或協助安全稽核|NA|NA
認知與訓練|資通安全專業證照及職能訓練證書|資通安全專業證照|初次受核定或等級變更後之一年內,資通安全專職人員總計應持有四張以上,並持續維持證照之有效性。|4張|2張|1張|NA|NA||建立與維護資訊安全認知、教育與訓練、認識/遵守/推廣職業道德|確保適當保存|NA|NA|NA|執行或協助安全稽核|NA|NA

一、資通系統之性質為共用性系統者,由該資通系統之主責設置、維護或開發機關判斷是否屬於核心資通系統。
二、「公正第三方驗證」所稱第三方,指通過我國標準法主管機關委託機構認證之機構。(C~E無此項規範)
三、危害國家資通安全產品,指對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統或資通服務。
四、資通安全專職人員,指應全職執行資通安全業務者。
五、公務機關辦理本表「資通安全健診」時,除依本表所定項目、內容及時限執行外,亦得採取經主管機關認可之其他具有同等或以上效用之措施。
六、資通安全專業證照,指由主管機關認可之國內外發證機關(構)所核發之資通安全證照。

服用說明:
(1)NA表示原資料來源無此規範或與前欄位合併。
(2)原則上D~E級機關僅自辦簡單的資訊業務(購買PC、NB、call修),建議進行資訊資產盤點全面檢視現有資產是否符合「限制使用危害國家資通安全產品」規範。


上一篇
Day11:資安維護計劃法遵來源與ISMS條文彙整對照表
下一篇
Day13:個資保護與合理使用
系列文
打雜小弟的公務機關法遵面面觀(資訊彙整+彙整+筆記)30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言