今天來介紹資安事件的分級、通報與應變，法規名稱為《資通安全事件通報及應變辦法》，主要內容為定義資安事件的分級條件、通報與應變時間、事後處理等要求，讓公務機關與特定非公務機關遇到資安事件時，能知道事件的輕重緩急、通報的作法等。

資安事件分級

依照第二條規定，依照情況的不同，資安事件共分為四級：

第一級資安事件

• 非核心業務資訊輕微洩漏。
• 非核心業務資訊、非核心資通系統被輕微竄改。
• 非核心業務運作受影響或停頓，在可容忍中斷時間（Maximum Tolerable Period of Disruption, MTPD）內恢復正常，使單位日常作業受到影響。

第二級資安事件

• 非核心業務資訊嚴重洩漏
• 不涉及關鍵基礎設施（Critical Infrastructure，CI）維運的核心業務資訊被輕微洩漏。
• 非核心業務資訊、非核心資通系統被嚴重竄改。
• 不涉及 CI 維運的核心業務資訊、核心資通系統被輕微竄改。
• 非核心業務運作受影響或停頓，無法在 MTPD 內恢復正常。
• 不涉及 CI 維運的核心業務資訊、核心資通系統受影響或停頓，在 MTPD 內恢復正常。

第三級資安事件

• 不涉及 CI 維運的核心業務資訊被嚴重洩漏。
• 一般公務機密、敏感資訊、涉及 CI 維運的核心業務資訊被輕微洩漏。
• 不涉及 CI 維運的核心業務資訊、核心資通系統被嚴重竄改。
• 一般公務機密、敏感資訊、涉及 CI 維運的核心業務資訊、核心資訊系統被輕微竄改。
• 不涉及 CI 維運的核心業務資訊、核心資通系統受影響或停頓，無法在 MTPD 內恢復正常。
• 涉及 CI 維運的核心業務資訊、核心資通系統受影響或停頓，在 MTPD 內恢復正常。

第四級資安事件

• 一般公務機密、敏感資訊、涉及 CI 維運的核心業務資訊被嚴重洩漏。
• 國家機密被洩漏或竄改。
• 一般公務機密、敏感資訊、涉及 CI 維運的核心業務資訊、核心資訊系統被嚴重竄改。
• CI 維運之核心業務、核心資通系統運作受影響或停頓，無法在 MTPD 內恢復正常。

資安事件通報

依照第三條，資安事件通報內容，需要包括以下內容：

• 發生機關。
• 發生或發現時間。
• 狀況描述。
• 等級評估。
• 因應事件的採取措施。
• 外部支援需求評估。
• 其他相關事項。

公務機關資安事件通報與應變

• 發現資安事件時，一小時內依主管機關指定方式與對象進行通報。（第四條第一項）
• 資安事件等級變更時，需依第一項規定再次通報。（第四條二項）
• 無法依主管機關指定方式與對象進行通報時，需在一小時內以其他適當方式通報，並說明無法依規定方式通報理由。（第四條第三項）
• 無法依主管機關指定方式與對象進行通報的原因消失時，需再以第一項規定補通報。（第四條第四項）
• 發現第三級、第四級資安事件後，資安長需召開會議研商相關事宜，並可請相關機關提供協助。

審核資安事件等級

• 主管機關（行政院）自身、總統府、中央一級機關的直屬機關、直轄市、縣市政府，需在自身、所屬、監督的單位，以及鄉鎮市、原住民區民代表會完成資安事件通報後，需在下列時間完成資安事件分級審核，並可依審核結果變更等級（第五條第一項、第二項）：

1. 第一級、第二級：8 小時內。
2. 第三級、第四級：2 小時內。

• 總統府、中央一級機關的直屬機關、直轄市、縣市政府，需在自身、所屬、監督的單位，以及鄉鎮市、原住民區民代表會完成資安事件通報後，一小時內通報行政院，並提供審核依據。（第五條第三項）
• 總統府、國安會、行政院以外的其他四院、直轄市、縣市議會，在自身完成資安事件通報後，依第一項時間內完成資安事件分級審核，並通知行政院、提供相關資訊。（第五條第四項）
• 行政院接獲第三項、第四項通知後，對資安事件分級進行覆核，並可以依照覆核結果變更等級（第五條第五項）。
• 若行政院認為有必要，或總統府、中央一級機關的直屬機關、直轄市與縣市政府、國安會、行政院以外的其他四院、直轄市與縣市議會未依規定通知審核結果，行政院可直接變更等級（第五條第五項）。

損害控制與復原

• 發現資安事件後，需在下列時間完成損害控制或復原作業，並依行政院指定方式及對象進行通知（第六條第一項）：

1. 第一級、第二級：72 小時內。
2. 第三級、第四級：36 小時內。

• 完成損害控制或復原後，需進行資安事件調查與處理，並在一個月內一行政院指定方式，送交調查、處理、改善報告（第六條第二項）。
• 調查、處理及改善報告送交時限，得經上級或監督機關及行政院同意後延長。（第六條第三項）
• 若上級、監督機關或行政院，認為損害控制或復原作業、調查、處理及改善報告，有必要、有違反法令、不適當或其他須改善情事時，可要求公務機關提出說明及調整（第六條第四項）。

資安演練

• 總統府、中央一級機關之直屬機關、直轄市與縣市政府，對自身、所屬或監督之公務機關、所轄鄉鎮市、直轄市山地原住民區公所、所屬或監督之公務機關及鄉鎮市、直轄市山地原住民區民代表會，需規劃與辦理資安演練，並在完成後一個月內，將執行情形及成果報告送交行政院。（第八條第一項）
• 資安演練至少需包含（第八條第二項）：

1. 每半年辦理社交工程演練。
2. 每年辦理資安事件通報及應變演練。

• 總統府、中央一級機關及直轄市、縣市議會，需依前項規定辦理資安演練。（第八條第三項）

資安事件通報作業規範

依照第九條，需訂定資安事件通報作業規範，且需要包括：

• 判定事件等級流程與權責。
• 事件影響範圍、損害程度、機關因應能力評估。
• 資安事件內部通報流程。
• 通知受資安事件影響機關方式。
• 前四點的演練。
• 資安事件通報窗口聯繫方式。
• 其他資安事件通報相關事項。

資安事件應變作業規範

依照第十條，需訂定資安事件通報作業規範，且需要包括：

• 應變小組組織。
• 事件發生前演練作業。
• 事件發生時的損害控制機制。
• 事件發生後的復原、鑑識、調查、改善機制。
• 事件記錄保全。
• 其他資安事件應變事項。

特定非公務機關資安事件通報與應變

大致上依然與公務機關相同，差別僅在通報單位從主管機關（行政院）改為中央目的事業主管機關，因此以下只會列出不同處。

審核資安事件等級

中央目的事業主管機關完成資安事件審核後，依下列規定辦理（第十二條第二項）：

• 第一級、第二級：定期彙整審核結果、依據及其他必要資訊，依指定方式送交行政院。
• 第三級、第四級：審核完成一小時內，將審核結果、依據及其他必要資訊，依指定方式送交行政院。

其他

• 行政院就各機關的第三級、第四級資安事件，可召開會議，邀請相關機關研商該事件損害控制、復原與其他相關事宜。（第十七條）
• 公務機關、特定公務機關需配合行政院規劃、辦理資安演練，內容可包含下列項目（第十八條、第十九條第一項）：

1. 社交工程演練。（僅公務機關）
2. 資安事件通報及應變演練。（僅公務機關）
3. 網路攻防演練。
4. 情境演練。
5. 其他必要演練。

• 行政院規劃、辦理資安演練，有侵害特定非公務機關權利或正當利益可能時，需事先經過該單位同意。（第十九條第二項）
• 前項書面同意方式，依《電子簽章法》規定，可以電子文件替代。（第十九條第三項）
• 若公務機關於本辦法施行前，已針對自身、所屬或監督之公務機關、所管之特定非公務機關，自行或與其他機關共同訂定資安事件通報及應變機制，並實施一年以上時，經行政院核定後，可繼續依該機制進行資安事件通報與應變。（第二十條第一項）
• 若前項通報及應變機制有變更，需送行政院重新核定。（第二十條第二項）