Transcript 電信事業導入資訊安全管理系統（ISMS）訪談會議

電信事業導入資訊安全管理系統
（ISMS）訪談會議
技術管理處
科長：蘇思漢
100年10月14日
簡報大綱
壹、政府資通安全發展緣起
貳、本會資通安全職掌
參、本會資通安全法規發展
肆、本會資安通報系統建置
伍、資通安全管理作業要點與手冊簡介
陸、結語
1
壹、政府資通安全發展緣起
• 電腦化以追求行政效能
– 減少人力、物力、財力投資
– 實現便民、利民目標
• 防止國家機密外洩、網路犯罪及不良言論散播
– 國安會89年5月研提「建立我國通資訊基礎建設安
全機制」建議書。
– 89年8月30日總統核定後轉送行政院規劃。
– 行政院90年1月核定第一期資通安全機制計畫。
– 成立「國家資通安全會報」積極推動我國資通安全
基礎建設工作。
2
壹、政府資通安全發展緣起
• 行政院自90年至97年頒布第一期及第二期資通
安全機制計畫
– 各部會及地方政府努力執行，達成「建立整體資安
防護體系、健全資安防護能力」階段目標。
– 推動數位經濟，須面對全球複雜多變資安環境，及
日益嚴重資安威脅。
– 持續精進與落實各項資安防護工作，發展我國資安
產業。
3
壹、政府資通安全發展緣起
• 行政院98年1月頒布「國家資通訊安全發展方
案（98年至101年）」
– 持續推動我國重要資通安全工作
– 98年8月召開「資安產業科技策略會議」--「塑造資
安文化、推升資安產值」為主題，融合各界智慧與
建言，提升台灣競爭力。
4
貳、本會資通安全職掌(1/4)
5
貳、本會資通安全職掌(2/4)
• NCC負責之大組及分組
– 資通訊環境安全組（通傳會）
• 網路內容安全分組（通傳會）
– 政府資通安全組（行政院研考會）
• 通訊傳播分組（通傳會）
– 標準規範組（經濟部）
• 技術規範分組（通傳會）
6
貳、本會資通安全職掌(3/4)
一、行政院國家資通安全會報設置要點
– 第2點第7款【資通訊環境安全組】：由國家通訊傳播委員會
主導，負責促進網路內容安全，防制網路犯罪，強化關鍵工業
控制系統安全，建立資通訊基礎建設安全信賴機制。
二、國家通訊傳播委員會組織法
– 第3條第8款：本會掌理資通安全之技術規範及管制。
三、國家通訊傳播委員會處務規程
– 第10條第6款：技術管理處掌理資通技術安全認證、驗證體系
之建置、監督及管制。
7
貳、本會資通安全職掌(4/4)
我國資訊分享與分析中心（ISAC）架構圖
我國ISAC領域：
政府、內政、外交、國防、經濟
（電力、油氣、自來水）、交通、
電信、金融、醫療、學術等
CERT
目的事業
主管機關
政府機關(構)
行政院國家資通
安全會報（NICST）
通報應變組
（行政院研考會）
NCERT
ISAC
民生基礎建設
ISAC
政府ISAC
(G-ISAC)
技術服務中心
（ICST）
NSOC
SOC
民生基礎建設
業者
NSOC
8
參、本會資通安全法規發展(1/4)
一、網際網路不當內容為顯性，直接呈現在網頁，供不特定人瀏覽
。由於事證明確，可進行notice & take down。
二、網際網路駭客攻擊行為屬隱性，依現行電信法第8條第2項：「
以提供妨害公共秩序及善良風俗之電信內容為營業者，電信業
者得停止其使用。」該攻擊行為是否適用前揭之「電信內容」
，仍待商榷。
三、資安事件行為多樣化，用戶端可能為受害者或攻擊者。相關事
證保存是否完整、法源依據是否明確，將影響IASP因應網際網
路駭客攻擊行為，進行IP阻斷、終止用戶服務之意願。
四、為確保電信事業系統設備、資料及網路之安全，保障民眾通信
權益，應於電信法增訂資通安全相關條文。
五、為處理網際網路用戶資安事件，因事涉人民通訊權利，業者須
增訂服務契約之資安條款。
9
參、本會資通安全法規發展(2/4)
增訂電信法第五十六條草案
為確保電信事業系統設備、資料及網路之安全，保障民眾通信權益，電信
事業應辦理下列事項：
一、建立資通安全管理機制。
二、建立資通安全防護及偵測設施。
三、建立資通安全聯防及資通安全事件之通報、處理、回報等資通安全應變
措施。
前項系統設備包括核心網路設備、傳輸網路設備、接取網路設備、網路管
理系統設備及其他重要電信設備。
電信事業處理資通安全事件時，得要求用戶及通信服務使用人配合辦理資
通安全有關措施；其屬重大資通安全危害事件者，必要時得暫停或終止服務之
一部或全部。
電信事業應於其營業規章及服務契約，將前項之規定意旨，以顯著方式告
知其用戶及其他通信服務使用人。
電信事業資通安全管理機制之查核項目與程序、適用之驗證標準與範圍、
資通安全之防護與偵測、聯防與應變，重大資通安全危害事件範圍及其他應遵
行事項之管理辦法，由主管機關定之。
10
參、本會資通安全法規發展(3/4)
電信法尚未修正通過前
– 修訂
• 電信事業資訊通訊安全管理作業要點
– 訂定
• 國家通訊傳播委員會資通訊環境安全應變作業要點
• 網際網路資通安全情報處理作業要點
– 含網際網路資通安全情報處理手冊
– 要求ISP業者，將網際網路資通安全情報處理手冊提供之用戶服
務契約資安條款範本，納入用戶服務契約。
電信法修正通過後
– 整合前述作業要點，並提升為管理辦法
11
參、本會資通安全法規發展(4/4)
用戶服務契約資安條款範本
– 本公司為維護網際網路之安全性及合法性，用戶租用本業務
，有下列情形之一者，本公司有權暫時封鎖用戶IP位址、暫
停或終止用戶所有網際網路服務帳號、移除用戶設置於接取
業者平臺上之網頁、或終止用戶所有網際網路服務契約，並
由用戶負一切法律責任；且於停權期間未滿時，拒絕提供用
戶所有網際網路服務：
•
•
•
•
•
•
入侵、竊取、更改、破壞他人電腦或資訊者。
有危害通信或影響其他用戶權益者。
提供網頁資訊內容為釣魚（Phishing）網頁或具連結至該等網頁者。
擷取非經所有者正式開放或授權之資源者。
影響系統運作或加重系統負擔者。
其他違反相關法令者。
12
肆、建置資安通報系統(1/4)
一、依據：「塑造資安文化、推升資安產值產業科技
策略會議」關鍵推動方案(99年~102年)
推動
主軸
塑造
資
安
文
化
政策目標
推動措施
行動計畫
主(協)辦
單位
提升網路環境
安全：
鼓勵電信事業
導入資訊安全
管理系統、強
化回應能力
1.推動電信事業 1-1推動資訊安
導入資訊安全
全管理系統
管理系統
計畫
（ISMS）
通傳會
2.建立電信事業 2-1網際網路反
資通安全通報
駭客偵測與
及聯防能力
資安通報系
統建置計畫
通傳會
（研考會）
推動資通設備
安全檢測，降
低資安風險
3.推動資通安全 3-1資通設備安
設備驗證
全檢測試辦
計畫
通傳會
（研考會、工程會）
13
肆、建置資安通報系統 (2/4)
二、經費：
行政院科技顧問組「系統安全保證及反駭客控制技術
研究計畫」，本會申請科發基金經費1200萬，建置「
網際網路反駭客偵測及資安通報系統」。
三、期程：
99年12月已完成系統建置，啟動國家通訊傳播委員會
電腦危機處理中心(NCC-CERT)，以有效處理IASP業者
所屬網段的用戶資安事件。
14
肆、建置資安通報系統 (3/4)
15
肆、建置資安通報系統 (3/4)
適用範圍
–電信事業資通訊基礎建設之資安事件。
–電信事業網際網路用戶之資安事件。
資安通報應變系統
軟硬體設備
資安事件
應變小組
資安通報
平臺
資安危機處理中心
（NCC-CERT）
分享分析
平臺
資訊分享與分析中心
（NCC-ISAC）
佈點主機
資安監控中心
（NCC-SOC）
16
肆、建置資安通報系統 (4/4)
四、 緃向資安防護及橫向資安資訊分享
（一）於5大IASP業者（即中華電信、台灣固網、新世紀資通、
台灣碩網及亞太電信）機房安裝佈點主機。
（二）藉由國家資通安全會報技術服務中心之後端偵測分析平台
進行偵測及分析駭客攻擊行為，將資安情報匯入至本會資安通
報系統，再通報至對應之IASP業者。
（三）目前通報對象，包括29家IASP業者（具有50個Class C IP
網段）、行動通信業者。
（四）本系統為兼具CERT、ISAC、SOC多功能之平台，可作為
IASP業者、G-ISAC與A-ISAC資安聯防的通報及橫向資訊分享
中心。
17
伍、資通安全管理作業要點與手冊簡介
電信事業資訊通訊安全管理作業要點
電信事業資通安全管理手冊
18
陸、結語
• 資安工作人人有責
• 修正電信法第56條，賦予業者落實資安之責任。
• 強化資安晚做不如早做，保護用戶亦保障企業。
• 政府與民間攜手合作，聯合防禦資安威脅。
19
簡報完畢
20