iT邦幫忙

2022 iThome 鐵人賽

DAY 12
0
Security

合規合規,合什麼規?系列 第 12

[Day 12] 分級後,要做什麼?(C、D、E 級機關)

  • 分享至 

  • xImage
  •  

今天來介紹 C、D、E 級機關的應辦事項,由於 C 到 E 級的的應辦事項較少,因此寫在同一篇文章內,而我都只會列出與前一個較高等級不同的地方,以及免辦的事項,如未寫出來,即為與前一即級為相同的應辦事項。

C 級

管理面

資通系統分級及防護基準

在第一次受核定(或變更)資安責任等級一年內,針對自行或委外開發系統,依《資通系統防護需求分級原則》完成資通系統分級,之後每年亦需要至少檢視一次系統分級是否適當,且於兩年內完成《資通系統防護基準》中的控制措施。

ISMS 導入

在第一次受核定(或變更)資安責任等級兩年內,所有核心系統導入 CNS 27001、ISO 27001、其他同等或以上效果、公務機關自行發展並經主管機關認可其中之一的 ISMS,並持續維持導入,但不需通過第三方驗證機構驗證。

資安專責人員

在第一次受核定(或變更)資安責任等級兩年內,配置一名資安專責人員,公務機關要求為「專職」人員。

內稽

每兩年辦理一次內稽。

營運持續

所有核心系統,需每兩年辦理一次營運持續演練。

資安成熟度

免辦。

技術面

資安威脅偵測管理機制

免辦。

GCB

免辦。

資安弱點通報機制

公務機關與 CI 提供者,需在第一次受核定(或等級變更)兩年內,完成弱點通報機制導入,並持續維運、依主管機關指定方式提交資訊資產盤點資料。

資安防護

在第一次受核定(或等級變更)一年內,啟用防毒軟體、網路防火牆、Email 過濾機制(若有 Email Server),並持續使用及適當更新。

認知與訓練

資安證照

於第一次受核定(或等級變更)一年內,至少有一位資安專職(責)人員持有一張以上的證照或證書,且需持續維護有效性。

D 級

除以下提及以外,皆不需辦理:

技術面

資安防護

在第一次受核定(或等級變更)一年內,啟用防毒軟體、網路防火牆,並持續使用及適當更新。

認知與訓練

資安教育訓練

每人每年接受三小時以上資安通識教育訓練。

E 級

僅需辦理 D 級的「資安教育訓練」事項,其餘都不需辦理。


上一篇
[Day 11] 分級後,要做什麼?(B 級機關)
下一篇
[Day 13] 系統防護怎麼做?(之 1 - 存取控制)
系列文
合規合規,合什麼規?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言