《前言》

最近新聞有發佈要進入零密碼登入的方向，國家資通安全研究院(N-ISAC)，首度揭露政府零信任架構網路安全戰略的規畫，說明政府零信任架構將分三大階段進行：

第一年聚焦「身分鑑別」，
第二年是「設備鑑別」，
第三年是「信任推斷」，

藉此順序，循序建立起零信任架構中決策引擎的3大核心機制，而上述的國家資通安全研究院，就是以下指引第三十三條所提的『資安資訊分享與分析中心』，就是其所屬的業務。網址：https://www.nics.nat.gov.tw/ ，提供給大家參考。

=====================================
第八章 資通安全事件通報應變及情資評估因應

第三十二條、 訂定資安事件應變處置及通報作業程序，包含判定事件影響及損害評估、內外部通報流程、通知其他受影響機關之方式、通報窗口及聯繫方式。

第三十三條、 加入資安情資分享組織，取得資安預警情資、資安威脅與弱點資訊，如：所屬產業資安資訊分享與分析中心(ISAC)、臺灣電腦網路危機處理暨協調中心(TWCERT/CC)。

第三十四條、 發生符合「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序」或「財團法人中華民國證券櫃檯買賣中心對有價證券上櫃公司重大訊息之查證暨公開處理程序」規範之重大資安事件，應依相關規定辦理。

=======================================

《探討及分析》

第三十二~三十四條是有關於通報、資安分享及發佈重訊，其中比較重要的就是第三十二條的訂定資安事件應變處置及通報作業程序，通常我們在『電腦化資訊系統處理』的『系統復原計畫制度及測試程序之控制作業』裡面會寫入『系統』的緊急應變程序，有的公發公司會另外訂定一個緊急應變辦法，這個是一定要訂定的，公發公司規模不同，對於緊急應變方式，當然也會有所不同，但是，這是一定要訂定的，並且定期演練及內稽，避免突發性的資安事件，讓公司措手不及。

此外關於第三十四條的，重大訊息發佈，公發公司會訂定在『電腦化資訊系統處理』的『向本會指定網站進行公開資訊申報相關作業之控制』這個作業裡面，這兩條大家可以參考指引內的條文說明，都有相關的法條規定。

最後，關於第三十三條的部分，資安情報分享，目前法令上所列出的兩個單位N-ISAC及TWCERT/CC，目前這兩個單位資安的情報分享都相當的多，不過，個別公發公司如果發生資安事件，發佈重訊之後，最好能把處理的方式做整理，並且分享處置的方式，但是分不分享，還是看公司的意願，當前有很多處理資安事件的新聞，大概都是在例如iThome的新聞上面，記者或許多專家去追蹤之後，發佈到新聞裡的，至於處理的細節，就不那麼容易可以得到相關訊息，這是比較可惜的地方。

以上給大家參考!