壓等行不行

本篇適用人員: 資安人員。適用法規: 資通安全責任等級分級辦法。

資安法中份量最大、也是最重要的子法「資通安全責任等級分級辦法」，裡面涵蓋了 IT 人員最先要採取的動作以及大部份的管理、技術細節。其中的依據就是看所屬單位的責任分級是 A、B、C、D、E 中的哪一級(註1)。

一般而言，只有上級機關需要想破腦袋，想辦法去依據資通安全責任等級分級辦法 讓自己被判定為最低限度的等級。但身為資安人員需要了解這個判定內容也是會修正的，例如上頭覺得你的單位性質「涉及敏感資料」就幫你自動升級到 B; 或是 D 級單位經修法後規定擁有特定系統(例如AD、eMail)就會被提高為 C 級。

確認責任分級後的下一步: 查詢該等級的應辦事項, 這裡以 B 級之公務機關為例，可以看到大致分為三類，管理面、技術面、認知與訓練。也因此往後會將角色區分為資安人員，負責文件產出，以及資訊人員(包含網路、系統、應用等)負責技術面的執行。

單單只有兩、三頁的內容乍看之下可能覺得沒什麼，但仔細看管理面中的「資訊安全管理系統之導入及通過公正第三方之驗證]，也就是需要導入 ISMS (ISO 27001)，就知道事件大條了! 後續的文章會針對每一項實施(絕大部份都是 ISMS 要求事項)進行說明。如果想先了解概況的可以參考精美的懶人包。連懶人都這麼複雜...扛的住嗎?

至此釐清了我是誰(aka 資訊人員兼資安人員)、我在哪(B級機關)、我要幹麼(B級之公務機關應辦事項)。

註1: 根據108年6月資通安全管理法-教育體系之法遵說明的內容來看，如果維運的是非核心系統，可以降為 D+ 級。可以省去不少 C 級應辦事項如資安的專職人員(還是要有專責人員)、內部稽核(只需檢查)等。

文件庫

資安法法規

參考資源

責任等級判定
資安法懶人包