電信事業導入資訊安全管理系統(ISMS)訪談會議
Download
Report
Transcript 電信事業導入資訊安全管理系統(ISMS)訪談會議
電信事業導入資訊安全管理系統
(ISMS)訪談會議
技術管理處
科長:蘇思漢
100年10月14日
簡報大綱
壹、政府資通安全發展緣起
貳、本會資通安全職掌
參、本會資通安全法規發展
肆、本會資安通報系統建置
伍、資通安全管理作業要點與手冊簡介
陸、結語
1
壹、政府資通安全發展緣起
• 電腦化以追求行政效能
– 減少人力、物力、財力投資
– 實現便民、利民目標
• 防止國家機密外洩、網路犯罪及不良言論散播
– 國安會89年5月研提「建立我國通資訊基礎建設安
全機制」建議書。
– 89年8月30日總統核定後轉送行政院規劃。
– 行政院90年1月核定第一期資通安全機制計畫。
– 成立「國家資通安全會報」積極推動我國資通安全
基礎建設工作。
2
壹、政府資通安全發展緣起
• 行政院自90年至97年頒布第一期及第二期資通
安全機制計畫
– 各部會及地方政府努力執行,達成「建立整體資安
防護體系、健全資安防護能力」階段目標。
– 推動數位經濟,須面對全球複雜多變資安環境,及
日益嚴重資安威脅。
– 持續精進與落實各項資安防護工作,發展我國資安
產業。
3
壹、政府資通安全發展緣起
• 行政院98年1月頒布「國家資通訊安全發展方
案(98年至101年)」
– 持續推動我國重要資通安全工作
– 98年8月召開「資安產業科技策略會議」--「塑造資
安文化、推升資安產值」為主題,融合各界智慧與
建言,提升台灣競爭力。
4
貳、本會資通安全職掌(1/4)
5
貳、本會資通安全職掌(2/4)
• NCC負責之大組及分組
– 資通訊環境安全組(通傳會)
• 網路內容安全分組(通傳會)
– 政府資通安全組(行政院研考會)
• 通訊傳播分組(通傳會)
– 標準規範組(經濟部)
• 技術規範分組(通傳會)
6
貳、本會資通安全職掌(3/4)
一、行政院國家資通安全會報設置要點
– 第2點第7款【資通訊環境安全組】:由國家通訊傳播委員會
主導,負責促進網路內容安全,防制網路犯罪,強化關鍵工業
控制系統安全,建立資通訊基礎建設安全信賴機制。
二、國家通訊傳播委員會組織法
– 第3條第8款:本會掌理資通安全之技術規範及管制。
三、國家通訊傳播委員會處務規程
– 第10條第6款:技術管理處掌理資通技術安全認證、驗證體系
之建置、監督及管制。
7
貳、本會資通安全職掌(4/4)
我國資訊分享與分析中心(ISAC)架構圖
我國ISAC領域:
政府、內政、外交、國防、經濟
(電力、油氣、自來水)、交通、
電信、金融、醫療、學術等
CERT
目的事業
主管機關
政府機關(構)
行政院國家資通
安全會報(NICST)
通報應變組
(行政院研考會)
NCERT
ISAC
民生基礎建設
ISAC
政府ISAC
(G-ISAC)
技術服務中心
(ICST)
NSOC
SOC
民生基礎建設
業者
NSOC
8
參、本會資通安全法規發展(1/4)
一、網際網路不當內容為顯性,直接呈現在網頁,供不特定人瀏覽
。由於事證明確,可進行notice & take down。
二、網際網路駭客攻擊行為屬隱性,依現行電信法第8條第2項:「
以提供妨害公共秩序及善良風俗之電信內容為營業者,電信業
者得停止其使用。」該攻擊行為是否適用前揭之「電信內容」
,仍待商榷。
三、資安事件行為多樣化,用戶端可能為受害者或攻擊者。相關事
證保存是否完整、法源依據是否明確,將影響IASP因應網際網
路駭客攻擊行為,進行IP阻斷、終止用戶服務之意願。
四、為確保電信事業系統設備、資料及網路之安全,保障民眾通信
權益,應於電信法增訂資通安全相關條文。
五、為處理網際網路用戶資安事件,因事涉人民通訊權利,業者須
增訂服務契約之資安條款。
9
參、本會資通安全法規發展(2/4)
增訂電信法第五十六條草案
為確保電信事業系統設備、資料及網路之安全,保障民眾通信權益,電信
事業應辦理下列事項:
一、建立資通安全管理機制。
二、建立資通安全防護及偵測設施。
三、建立資通安全聯防及資通安全事件之通報、處理、回報等資通安全應變
措施。
前項系統設備包括核心網路設備、傳輸網路設備、接取網路設備、網路管
理系統設備及其他重要電信設備。
電信事業處理資通安全事件時,得要求用戶及通信服務使用人配合辦理資
通安全有關措施;其屬重大資通安全危害事件者,必要時得暫停或終止服務之
一部或全部。
電信事業應於其營業規章及服務契約,將前項之規定意旨,以顯著方式告
知其用戶及其他通信服務使用人。
電信事業資通安全管理機制之查核項目與程序、適用之驗證標準與範圍、
資通安全之防護與偵測、聯防與應變,重大資通安全危害事件範圍及其他應遵
行事項之管理辦法,由主管機關定之。
10
參、本會資通安全法規發展(3/4)
電信法尚未修正通過前
– 修訂
• 電信事業資訊通訊安全管理作業要點
– 訂定
• 國家通訊傳播委員會資通訊環境安全應變作業要點
• 網際網路資通安全情報處理作業要點
– 含網際網路資通安全情報處理手冊
– 要求ISP業者,將網際網路資通安全情報處理手冊提供之用戶服
務契約資安條款範本,納入用戶服務契約。
電信法修正通過後
– 整合前述作業要點,並提升為管理辦法
11
參、本會資通安全法規發展(4/4)
用戶服務契約資安條款範本
– 本公司為維護網際網路之安全性及合法性,用戶租用本業務
,有下列情形之一者,本公司有權暫時封鎖用戶IP位址、暫
停或終止用戶所有網際網路服務帳號、移除用戶設置於接取
業者平臺上之網頁、或終止用戶所有網際網路服務契約,並
由用戶負一切法律責任;且於停權期間未滿時,拒絕提供用
戶所有網際網路服務:
•
•
•
•
•
•
入侵、竊取、更改、破壞他人電腦或資訊者。
有危害通信或影響其他用戶權益者。
提供網頁資訊內容為釣魚(Phishing)網頁或具連結至該等網頁者。
擷取非經所有者正式開放或授權之資源者。
影響系統運作或加重系統負擔者。
其他違反相關法令者。
12
肆、建置資安通報系統(1/4)
一、依據:「塑造資安文化、推升資安產值產業科技
策略會議」關鍵推動方案(99年~102年)
推動
主軸
塑造
資
安
文
化
政策目標
推動措施
行動計畫
主(協)辦
單位
提升網路環境
安全:
鼓勵電信事業
導入資訊安全
管理系統、強
化回應能力
1.推動電信事業 1-1推動資訊安
導入資訊安全
全管理系統
管理系統
計畫
(ISMS)
通傳會
2.建立電信事業 2-1網際網路反
資通安全通報
駭客偵測與
及聯防能力
資安通報系
統建置計畫
通傳會
(研考會)
推動資通設備
安全檢測,降
低資安風險
3.推動資通安全 3-1資通設備安
設備驗證
全檢測試辦
計畫
通傳會
(研考會、工程會)
13
肆、建置資安通報系統 (2/4)
二、經費:
行政院科技顧問組「系統安全保證及反駭客控制技術
研究計畫」,本會申請科發基金經費1200萬,建置「
網際網路反駭客偵測及資安通報系統」。
三、期程:
99年12月已完成系統建置,啟動國家通訊傳播委員會
電腦危機處理中心(NCC-CERT),以有效處理IASP業者
所屬網段的用戶資安事件。
14
肆、建置資安通報系統 (3/4)
15
肆、建置資安通報系統 (3/4)
適用範圍
–電信事業資通訊基礎建設之資安事件。
–電信事業網際網路用戶之資安事件。
資安通報應變系統
軟硬體設備
資安事件
應變小組
資安通報
平臺
資安危機處理中心
(NCC-CERT)
分享分析
平臺
資訊分享與分析中心
(NCC-ISAC)
佈點主機
資安監控中心
(NCC-SOC)
16
肆、建置資安通報系統 (4/4)
四、 緃向資安防護及橫向資安資訊分享
(一)於5大IASP業者(即中華電信、台灣固網、新世紀資通、
台灣碩網及亞太電信)機房安裝佈點主機。
(二)藉由國家資通安全會報技術服務中心之後端偵測分析平台
進行偵測及分析駭客攻擊行為,將資安情報匯入至本會資安通
報系統,再通報至對應之IASP業者。
(三)目前通報對象,包括29家IASP業者(具有50個Class C IP
網段)、行動通信業者。
(四)本系統為兼具CERT、ISAC、SOC多功能之平台,可作為
IASP業者、G-ISAC與A-ISAC資安聯防的通報及橫向資訊分享
中心。
17
伍、資通安全管理作業要點與手冊簡介
電信事業資訊通訊安全管理作業要點
電信事業資通安全管理手冊
18
陸、結語
• 資安工作人人有責
• 修正電信法第56條,賦予業者落實資安之責任。
• 強化資安晚做不如早做,保護用戶亦保障企業。
• 政府與民間攜手合作,聯合防禦資安威脅。
19
簡報完畢
20