Transcript 如何實作電信事業資通安全管理手冊

國家通訊傳播委員會
如何實作「電信事業資通安全
管理手冊」？
主講人：睿明資通執行長兼首席顧問 鍾榮翰
中華民國102年10月8日
主辦單位：
國家通訊傳播委員會
電信事業資通安全管理要點
•中華民國102年8月27日通傳資技字第
10243030920號函修正
• 一、國家通訊傳播委員會（以下簡稱本會）為
辦理電信事業資訊通訊安全（以下簡稱資通安
全）管理作業，依本會組織法第三條第八款之
規定，特訂定本要點。
• 二、為執行電信事業資通安全管理作業，本會
應製作電信事業資通安全管理手冊（以下簡稱
本手冊）。
2
資通安全管理手冊編訂
• 本手冊應符合保障通信安全及維護使用者權益
之原則。其內容應包含下列各款事項：
–
–
–
–
–
–
（一）資通安全管理標準。
（二）資通安全等級評估。
（三）資通安全管理機制。
（四）資通安全教育訓練。
（五）資通安全應變通報。
（六）資通安全實施評鑑。
• 本手冊之研訂，應邀集相關業者、專家或機構
共同討論，並視實施情況檢討修正。
• 本手冊訂定或修正完成，應循文書作業程序簽
核並於本會網站公告。
3
• 三、為確保電信事業資料、系統及設備正
常運作，本會應依本手冊所定事項，定期
蒐集電信事業資通安全相關資訊，並適時
給予電信事業協助、建議或採行其他合宜
之輔導措施。
• 四、本會應提供「資通安全管理實施計畫
」範本予電信事業參考，以供其訂定「資
通安全管理實施計畫」。
4
行政檢查
• 五、本會執行電信事業資通安全管理，認有必要
時，得向電信事業索取文書、資料或物品，並得
通知其到場陳述意見或到場實施勘驗。
– 依前項規定實施勘驗時，應先以書面或其他適當方式
，通知勘驗場所之使用者或可為代表之人在場。實施
勘驗時，應作成紀錄，記載實施時間、處所及其他必
要事項，並由在場之人簽名、蓋章或按指印。
– 依第一項規定取得文書、資料或物品，如文書、資料
或物品之提供者表明文書、資料或物品於調查程序完
成應返還，應注意不得損及完整性；無需返還者，應
妥善保存或為其他適切之處理。
– 依第一項規定到場實施勘驗時，應維持勘驗物品及場
所之完整。
5
大陸地區投資
• 六、電信事業應於申請在大陸地區投資電信業務前或接
受大陸地區電信事業資金投資前，將其資通安全管理之
實施作業範圍報經本會核准後，向本會認可之資通安全
管理機制驗證機構，就核准之作業範圍申請驗證，並取
得符合ISO/IEC 27001標準及本手冊之ISO/IEC 27011增
項稽核表驗證合格證明。
• 電信事業依固定通信業務管理規則第七十條第一項第二
款或第七十二條之一，建置兩岸直接海纜通信網路者，
應於申請通信網路技術審驗前，向本會認可之資通安全
管理機制驗證機構，就核准之作業範圍申請驗證，並取
得符合ISO/IEC 27001標準及本手冊之ISO/IEC 27011增
項稽核表驗證合格證明。
6
驗證合格公布
• 七、本會應於網站公告業經本會認可之資通安全
管理機制驗證機構名單。
• 八、本會應於網站公布業經資通安全管理機制驗
證合格之電信事業名單。
7
通訊傳播事業之資安需求
電信事業
關
鍵
業
務
一類電信
二類電信
固定通信網路
業務
數據交換通信服務
網際網路接取服務
非E．1 6 4 網路電話服務
行動通信網路
業務
衛星固定通信
業務
支
援
業
務
行政
業務
E．1 6 4 網路電話服務
公司內部網路通信服務
語音會議服務
存取網路服務
視訊會議服務
二類電信
語音單純轉售服務
批發轉售服務
頻寬轉售服務
存轉網路服務
付費語音資訊服務
行動轉售服務
行動轉售及加值服務
人事、行政、總務
傳播事業
傳播事業
有線廣播電視
廣播電視
衛星廣播電視
傳播事業
廣播電視節目
供應事業
設備
擁
有
大
量
機
線
設
備
無
機
線
設
備
保護
重點
機密性
可用性
完整性
8
什麼是資(通)訊安全？
• 資訊安全(information security)
– 保存資訊的機密性、完整性及可用性； 此外， 亦能
涉及如鑑別性、可歸責性、不可否認性及可靠度等性
質。(CNS 17799)
• 機密性(Confidentiality)
– 使資訊不可用或不揭露給未經授權之個人、個體或過
程的性質。
• 完整性(Integrity)
– 保護資產的準確度(accuracy)和完全性
(completeness)的性質。
• 可用性（Availability）
– 經授權個體因應需求之可存取及可使用的性質。
9
資訊安全管理系統
• 資訊安全管理系統(Information Security
Management System, ISMS)
• 整體管理系統的一部分， 以營運風險導向(作法)
為基礎， 用以建立、實作、運作、監視、審查
、維持及改進資訊安全。
10
新木桶理論_資訊安全
資安事故通報應變機制
資訊安全領域
資安管理認、驗證機制
資訊安全管理系統
11
資通安全手冊編撰依據與目的
• 本手冊依傳播事業資通安全管理作業要點第二點規
定訂定之，主要為提供產業規範，輔導目的事業逐
漸落實資通安全管理機制。
• 基於保障資通安全及維護使用者權益原則，確保傳
播系統設備、資料及網路安全，本手冊包含下列要
項：
–
–
–
–
–
–
（一）資通安全管理標準。
（二）資通安全等級評估。
（三）資通安全管理機制及教育訓練。
（四）資通安全應變通報。
（五）資通安全實施評鑑。
（六）年度提報資料要求。
資通安全管理手冊請參閱講義附件一
12
資通安全管理標準
• 通訊傳播事業實施資通安全管理，建議參照下列
CNS國家標準或是ISO/IEC 27000系列國際標準，
建立目的事業之資通安全管理機制：
–
–
–
–
–
–
1、資訊安全管理系統要求事項：CNS/ISO/IEC 27001
2、資訊安全管理作業規範：CNS/ISO/IEC 27002
3、資訊安全管理系統實施指引：ISO/IEC 27003
4、資訊安全管理測量方法： ISO/IEC 27004
5、資訊安全管理風險管理：CNS/ISO/IEC 27005
6、電信事業資訊安全管理實作指引：ISO/IEC 27011
13
ISO/IEC 27000系列標準之關聯
規劃
建立
ISMS
行動
維持與改
進ISMS
ISO/IEC 27003實作指引
ISO/IEC 27001
執行
實施與操
作ISMS
ISO/IEC 27005風險評鑑
檢查
監控與審
查ISMS
ISO/IEC 27004安全測量
ISO/IEC 27002/27011(電信業）控制措施說明
11安全領域39控制目標133控制措施
14
ISO/IEC 27001要求事項 PDCA循環
附錄A
11安全領域39控制目標133控制
措施
Plan
規劃
4.2.1
建立ISMS
Act
8 ISMS改進
8.1 續改進
8.2預防措施
行動
4.2.4
維持與改
進ISMS
執行
4.2.2
實施與操
作ISMS
Do
5管理階層責任
5.1管理階層承諾
5.2資源管理
檢查
4.2.3
監控與審
查ISMS
Check
6 ISMS內部稽核
7 ISMS之管理階層審查
15
4.2.1 建立ISMS
• 組織應執行下列事項：
– (a) 依據營運、組織、其所在位置、資產及技術等特
性， 並納入該範圍內所有排除項目的細節和衡量理
由， 來界定ISMS 之範圍及諸邊界(參照第1.2 節)。
– (b) 依據營運、組織、其所在位置、資產及技術等特
性，界定ISMS 政策，其：
• (1) 包括用以設定目標之框架， 並建立方向之整體意識及關
於資訊安全之各項行動原則。
• (2) 考量營運與法律或法規要求， 以及契約的安全義務。
• (3) 與組織的策略性風險管理全景相校準，ISMS 在此全景中
建立及維持。
• (4) 建立可藉以評估風險之準則(參照第4.2.1 節(c))。
• (5) 由管理階層所核准。
16
界定組織的風險評鑑作法
• (c) 界定組織的風險評鑑作法。
– 識別適合ISMS 及已識別之營運資訊安全、法律與法
規要求的風險評鑑方法論。
– 發展風險接受的準則，並識別風險可接受的等級(參
照第5.1 節(f) )。
– 所選擇的風險評鑑方法應確保風險評鑑產生可比較與
可再產生的結果。
17
識別各項風險
• (d) 識別各項風險。
– 識別ISMS 範圍內之各項資產以及此等資產之擁有者(2
)。
– 識別對該等資產的各項威脅。
– 識別此等威脅可能利用之各項脆弱性。
– 識別對此等資產可能造成機密性、完整性及可用性之
損失的各項衝擊。
18
分析與評估各項風險
• (e) 分析與評估各項風險。
– 評鑑安全失效時可能造成對組織之營運衝擊， 並將
資產的機密性、完整性及可用性之損失的後果納入考
量。
– 根據最常見之威脅、脆弱性及與此等資產有關的衝擊
， 以及現行實作的控制措施， 來評鑑此種安全失效
發生的實際可能性。
– 估計各風險之等級。
– 決定風險是否可接受或要求使用第4.2.1 節(c)(2)所建
立之風險接受準則來處理。
19
風險處理之各項選項作法
• (f) 識別並評估風險處理之各項選項作法。可能
的措施包括：
– 採用適切的控制措施。(降低風險)
– 若其明顯的符合組織的政策與風險接受準則( 參閱第
4.2.1 節(c)(2))， 則知悉與客觀地接受此等風險。(接
受風險)
– 迴避風險。
– 轉移相關之營運風險至他者， 例如： 承保者、供應
者。(移轉風險)
20
風險處理方法
除硬體、個資外，不適
用於其他資訊資產類別
技術性控制措施
移轉風險
降低風險
接受風險
迴避風險
高
事
故
衝
擊
程
度
低
事故發生機率
操作性控制措施
高
21
選擇控制措施
• (g) 選擇各項風險之處理的控制目標與控制措施
• (h) 取得管理階層對所提議之各項剩餘風險的核
准。
• (i) 取得管理階層對實作和運作ISMS 的授權。
• (j) 擬定一份適用性聲明書。
22
適用性聲明書之內容
• 適用性聲明書之擬定應包括下列事項：
– 於第4.2.1 節(g)所選擇之各項控制目標與控制措施，
以及其選擇之理由。
– 目前已實作的各項控制目標與控制措施(參照第4.2.1
節(e)(2))。
– 所排除之所有附錄A 中之各項控制目標與控制措施及
其被排除的衡量理由。
• 備考： 適用性聲明書提供關於風險處理決策的
彙總。衡量排除項目， 採取交叉核對(crosscheck)使無控制措施被不慎省略。
23
ISO/IEC 27002 作業規範安全領域
11個安全控制領域、39個控制目標及133個控制措施
24
A.5 安全政策
A.5.1
資訊安全政策
目標： 依照營運要求及相關法律與法規， 提供管理階
層對資訊安全之指示與支持。
A.5.1.1 資訊安全政
策文件
控制措施：
資訊安全政策文件應由管理階層核准，
並公布傳達給所有員工與相關各外部團
體。
A.5.1.2 資訊安全政
策之審查
控制措施：
資訊安全政策應依規劃之期間或發生重
大變更時審查， 以確保其持續的適用性、
充分性及有效性。
CNS 27001 附錄A 控制目標與控制措施
請參閱講義附件二
25
A.6 資訊安全的組織
A.6.1 內部組織
A.6.1.1 管理階層對資訊安全
的承諾
A.6.1.2 資訊安全協調工作
A.6.1.3 資訊安全責任的配置
A.6.1.4 資訊處理設施的授權
過程
A.6.1.5 機密性協議
A.6.1.6 與權責機關的聯繫
A.6.1.7 與特殊利害相關團體
的聯繫
A.6.1.8 資訊安全的獨立審查
目標：於組織內管理資訊安全。
控制措施：
管理階層應在組織內藉由清楚的指示、展現的承諾、明
確的指派及對資訊安全責任的確認，主動地支持安全。
控制措施：
資訊安全活動應由組織內具有相關角色與工作功能之不
同部門的代表協調。
控制措施：
應明確界定所有資訊安全責任。
控制措施：
應定義與實作對新資訊處理設施的管理階層授權過程。
控制措施：
宜識別與定期審查反映組織對資訊保護之需求的機密性
或保密協議要求。
控制措施：
應與相關權責機關維持適當聯繫。
控制措施：
應與各特殊利害相關團體或其他各種專家安全性論壇及
專業協會維持適當聯繫。
控制措施：
應依所規劃的期間或當安全實作發生顯著變更時，獨立
審查組織對管理資訊安全的作法與其實作（例如： 資訊
安全的各項控制目標、控制措施、政策、過程及程序）。 26
ISO/IEC 27003 實作指引階段劃分
ISO/IEC 27003支援ISO/IEC 27001之Plan:如何建立ISMS
建立
ISMS
維持與
改進
ISMS
獲得管理階層的承諾，啟動ISMS專案
實施與
操作
ISMS
定義ISMS的範圍與政策
ISMS範圍與邊界
ISMS 政策
監控與
審查
ISMS
進行組織分析
資訊安全需求
資產評鑑
資訊安全評鑑結果
進行風險評鑑與風險處理規劃
管理者承諾備忘錄
選擇安全控制措施
風險處理計畫
設計ISMS
ISMS專案實施計畫
27
ISO/IEC 27005資訊安全風險管理過程
建立全景
風險評鑑
風險分析
風險識別
風
險
溝
通
風
險
監
控
與
審
查
風險預估
風險評估
決策點1
評鑑是否合意
否
是
風險處理
決策點2
處理是否合意
否
是
風險接受
資料來源：CNS 27005
28.
風險安全元件關係圖
風險(risk)：已知威脅利用資產的脆弱性，造成損害的程度及可能性
資產
資料來源：CNS 14929-1
29.
風險管理要素關聯圖
利用
威脅
防止
增加
增加
防護措施
(控制措施)
降低
防護需求
暴露
風險
指示
被滿足
脆弱性
資產
增加
有
價值
資料來源：CNS 14929-1
30.
資產價值 VS 資料價格
• 資訊資產：
– Confidentiality 機密性
– Integrality
完整性
– Availability
可用性
• 個資檔案：
– 可識別性、個資數量(Quantity)
– 特定目的、法定職務、外部利用、國際傳輸
– C.機密性 、I.完整性、 A.可用性
31.
風險評鑑所需之元素
以下哪些元素無法精確、客觀的度量？
已知資產
衝擊評鑑
風險
評鑑
Assets
已知威脅 Threat
已知脆弱性 Vulnerability
預判衝擊之結果 Impact
評估發生的
可能性
發生的可能性 Probability
32.
企業風險分析策略選項
資料來源：CNS14929-3
34
企業風險分析策略選項摘要說明
基準作法
• 對全部資訊系統均使用相同的基準作法，
不問系統的風險如何，且同意安全之等級
為永遠適當的
非正式作法
• 使用一非正式的作法以履行風險分析，且
專注於被察覺到已顯露出高風險的資訊系
統之上
詳細的風險
分析
• 對全部資訊系統，均使用正式作法，進行
詳細風險分析
組合式作法
• 實施「高階」風險分析以識別出各種已顯
露出高風險且對營運具關鍵性的資訊系統，
針對這些高風險系統進行詳細的風險分析，
而將基準安全作法應用至其他的資訊系統
35
CNS/ISO/IEC 27005附錄E
資訊安全風險評鑑作法
高階風險評鑑作法(High-Level Risk Assessment)
• 乃是組織基於各種人力、預算、時間或資源等理由或限制，
首先針對其內部所有資訊系統與資訊資產，進行初步的
「高階風險評鑑」，找出每個資訊系統在該組織的營運業
務價值以及「高階衝擊影響」開始，而不用從資產價值、
威脅、脆弱性與後果等系統化的詳細風險評鑑開始
詳細風險評鑑作法(Detailed Risk Assessment Approach)
• 組織針對其內部所有資訊系統與資訊資產，逐一詳查風險，
包含深入的識別資產與價值、對資產威脅與脆弱性的評鑑，
據以分析風險所造成的機密性、完整性、可用性衝擊及其
可能性，然後針對這些分析結果，評估與識別符合該組織
安全等級的防護控制措施
36
風險評鑑所需之元素
以下元素如何可以精確、客觀的度量？
已知資產
已知威脅
已知脆弱性
已知衝擊之結果
控制措施之有效性
發生的實際可能性
37.
資訊資產 VS 個人資料檔案
• 資訊資產：
– C機密性 、I完整性、 A可用性
• 個資檔案：
– C機密性 、I完整性、 A可用性
– 可識別性、個資數量、特定目的、
法定職務、法定義務、國際傳輸
38.
ISO/IEC 27011
900
800
700
600
500
400
300
200
100
0
通訊傳播 通訊傳播 電信事業 傳播事業 電信事業 傳播事業 通訊傳播
ISO
27002
個資保護
ISMS標
準
11
4
11
40
40
14
39
23
142
139
37
133
55
41
307
299
90
803
補充說明
25
19
新增指引
30
22
C級
B級
A級(增項)
A級(合計)
安全領域
8
11
9
8
11
安全目標
19
39
17
13
控制措施
29
131
33
實作指引
49
277
39
Can not measure,
will not control.
40.
傳播事業資通安全管理手冊
主辦單位：
國家通訊傳播委員會
41
資通安全等級評估
定義資通安全範圍與邊界
• 實施高階風險評鑑作法（High-Level Risk Assessment），評估資
通安全等級，以定義資通安全範圍與邊界，確定資通安全需求水
準，作為後續訂定風險處理優先順序之參考：
進行資產調查
• 依據執照核發之營業項目範圍內，調查電信事業營運所需之資產
群組，區分為以下三大類，分別進行資產群組之調查(若組織規模
龐大者，得區分為不同之事業體或部門)。
評估資通安全等級
• 依據每一資產群組失效後之「衝擊影響程度」，評估資通安全等
級，決定資通安全管理機制改善之優先順序
42
業務類別區分
關鍵業務類資產：
• 指電信事業之核心網路設備（交換、傳輸、網管等）、接取網
路設備、管線基礎設施等。
支援業務類資產：
• 指第二類電信轉售服務業務及支援電信事業營運所需之資訊處
理設施，但非屬關鍵業務者，例如：客服管理系統、帳務管理
系統，或是涉及客戶個人資料蒐集、處理及利用者。
行政業務類資產：
• 指電信事業內部輔助單位，例如：人事、行政、總務等之業務
資產。
43
傳播事業-業務類別區分
業務類別
說明
a.無線廣播或無線電視事業之發射設備、傳輸鏈路、主
控臺等。
b.有線廣播電視事業之信號源接收設備、頭端機房、分
關鍵業務
配線網路等。
c.衛星廣播電視事業之信號源（主控臺）、鎖碼系統、
傳送系統等。
指廣播電視節目供應業務及支援傳播事業營運所需之資
支援義務
訊處理設施，但非屬關鍵業務者，例如：客服管理系統、
帳務管理系統，或是涉及客戶個人資料蒐集、處理及利
用者。
行政業務
指傳播事業內部輔助單位之業務項目，例如：人事、行
政、總務等
44
資通安全等級自我評估彙整表
45
評定影響構面之資通安全等級
安全等級
A
B
C
影響構面
 系統故障對社  系統故障對社  系 統 故 障 對
會秩序、民生
會秩序、民生
社會秩序、
體系運作將造
體系運作將造
民生體系運
成非常嚴重影
成嚴重影響
作不致造成
1.影響
響，甚至危及  系統故障將造
影響或僅有
業務
國家安全
成關鍵業務執
輕微影響
運作  系統故障將造
行效能嚴重降
成關鍵業務執
低
行效能非常嚴
重降低，甚至
業務停頓
46
評定影響構面之資通安全等級
安全等級
A
B
C
影響構面
 機密性資料
 敏感性資料
 一般性資料
 資料若外洩或  資料若外洩或  資料若外洩或
遭竄改，將導
遭竄改，將導
遭竄改，不致
2.資料
致個人權益非
致個人權益嚴
影響個人權益
保護受
常嚴重受損、
重受損之資料
或僅導致個人
到損害
或造成極大規
權益輕微受損
模之個人權益
嚴重受損
47
評定影響構面之資通安全等級
安全等級
A
B
C
影響構面
3.法律
規章之
遵循
系統運作、資
料保護、資訊
資產使用等，
若未依循相關
規範辦理，將
導致機關從根
本上違反法律，
並導致嚴重不
良後果，如：
損害賠償、罰
金或是刑責
系統運作、資
料保護、資訊
資產使用等，
若未遵循相關
規範辦理，將
導致機關違反
法規命令，並
伴隨輕微後果，
如：行政處分
或罰鍰等
系統運作、
資料保護、
資訊資產使
用等，若未
遵循相關規
範辦理，不
會導致機關
違反法規命
48
A級者，視需要進行詳細風險評鑑
49
訂定資通安全管理實施計畫
獲得管理階層的承諾，啟動ISMS專案
定義ISMS的範圍與政策
ISMS 政策
ISMS範圍與邊界
進行組織分析
資訊安全需求
資產評鑑
資訊安全評鑑結果
進行風險評鑑與風險處理規劃
管理者承諾備忘錄
風險處理計畫
選擇安全控制措施
設計ISMS
ISMS專案實施計畫
資通安全管理實施計畫範本請參閱講義附件三
50
擬定資訊安全政策
• 機關應依據資訊安全相關法規(例如：廣播電視
法、有線廣播電視法、衛星廣播電視法、個人
資料保護法等)及機關業務需求，訂定機關之資
訊安全政策及資訊安全水準，
• 由權責主管人員核准後，以書面或其他方式告
知機關員工、及與機關業務往來之其他公私立
機關(構)和提供資訊服務之廠商，以利共同遵守
。
51
資訊安全政策內容
• 機關制訂之資訊安全政策文件，應說明機關對
資訊安全的要求，至少應涵蓋下列事項：
– 機關資訊安全之定義，包括資訊安全之整體目標與範
圍，以及資訊共享時其安全機制的重要性。
– 資訊安全政策之解釋及說明，資訊安全之原則、標準
及員工應遵守的規定，包括：
•
•
•
•
•
•
•
法規及契約對機關資訊安全的要求及規定。
資訊安全教育及訓練之要求。
電腦病毒防範或偵測之要求。
營運持續管理規劃之政策。
違反安全政策的處置措施。
執行機關資訊安全政策之組織權責及分工。
員工在資訊安全上應負的一般性及特定的資訊安全責任。
52
• 支援此一政策所需的參考文件，例如針對特定
資訊系統所律訂之更詳盡的安全要求事項和程
序之說明。
• 發生資訊安全事件之通報作業程序、作業流程
規定及說明。
53
實施計畫執行工作事項表
作業名稱
資訊處理設施
防護縱深
內容
推動方式
稽核方式
資安教育訓
練時數
等級
A
宜建置至少包括防毒閘道 以 通 過 資 訊 每 年 至 少 主 管 、 資 通
設備、網路型防火牆、入 安 全 管 理 系 執 行 一 次 訊 人 員 、 業
侵偵測防禦系統、網路型 統 第 三 方 驗 內部稽核 務 人 員 、 一
垃圾郵件過濾設備、網頁 證為目標
般人員，每
過濾管控設備、乙太網路
年至少達到3、
交換器、應用軟體控管設
12 、 6 、 3 小
備、網頁應用防火牆等取
時
得本會資通設備安全審驗
證明之進階型設備。
54
實施計畫執行工作事項表
作業名稱
資訊處理設施
防護縱深
內容
推動方式
稽核方式
資安教育訓
練時數
等級
B
宜建置至少包括防毒閘道 自 行 規 劃 並 每 年 至 少 主 管 、 資 通
設備、網路型防火牆、入 成 立 資 通 安 執 行 一 次 訊 人 員 、 業
侵偵測防禦系統、網路型 全 管 理 推 動 內部稽核 務 人 員 、 一
垃圾郵件過濾設備等取得 小組
般人員，每
本會資通設備安全審驗證
年至少達到3、
明之基礎型設備。
12 、 6 、 3 小
時
55
實施計畫執行工作事項表
作業名稱
資訊處理設施
防護縱深
內容
推動方式
稽核方式
資安教育訓
練時數
等級
C
宜建置至少包括防火牆、 加 強 資 通 安 每 年 至 少 主 管 、 資 通
入侵偵測防禦系統、防毒 全宣導
執 行 一 次訊 人 員 、 業
軟體、垃圾郵件過濾設備
內部稽核 務 人 員 、 一
等設備。
般人員，每
年至少達到3、
12 、 6 、 3 小
時
56
電信事業資通安全管理防護縱深檢查表
資安設備
資通安全等級
A
B
防毒閘道設備
◎
◎
網路型防火牆
◎
◎
網路型垃圾郵件過濾設備
◎
◎
入侵偵測防禦系統
◎
◎
網頁過濾管控設備
◎
乙太網路交換器
◎
應用軟體控管設備
◎
網頁應用防火牆
◎
C
檢查結果
符合 不符合 不適用
◎
防火牆
◎
防毒軟體
◎
垃圾郵件過濾設備
◎
57
傳播事業資通安全管理防護縱深檢查表
傳播事業資通安全管理防護縱深檢查表
資通安全等級
檢查結果
資安設備
A
B
C
◎
◎
防火牆
◎
◎
防毒軟體
◎
◎
垃圾郵件過濾設備
◎
◎
防毒閘道設備
◎
網路型防火牆
◎
網路型垃圾郵件過濾設備
◎
入侵偵測防禦系統
◎
符合 不符合 不適用
58
電信、傳播事業資通安全管理內部稽核
實作指引
補充說明
新增指引
30
25
增項稽核表
ISO/IEC 27011
內部稽核表
CNS/ISO/IEC 27002
277
277
252
傳播事業
電信事業
A級
A級
49
通訊、傳播 通訊、傳播
C級
B級
59
電信、傳播事業資通安全管理內部稽核表
檢查項目
資通安全等級
檢查結果
A級 B級 C級
符合 不符合 不適用
1.資訊安全政策
1.1 是否依據相關法律、法規及營運要求，訂定
◎
組織資訊安全政策？
◎
1.2 是否考量組織之整體業務活動及其相關風險，
◎
訂定資訊安全政策？
◎
1.3 是否識別違反資訊安全政策之後果及訂定處
◎
理程序？
◎
1.4 是否由管理階層核准資訊安全政策文件，正
◎
式發布且轉知所有員工與各相關外部團體？
◎
2.資訊安全之組織
2.1管理階層是否在組織內藉由清楚的指示、明
確的指派及確認資訊安全責任， 主動地展現承
諾以支持安全？
◎
◎
◎
60
電信事業ISO/IEC 27011增項稽核表
檢查項目
1.資訊安全之組織
1.1 電信事業對保密協議之內容，是否包含：對於通訊之
有無、對象、日期時間及內容等，且定期審視該協議內
容以確保不得有不當揭露之情事發生？
1.2 組織是否訂定司法、檢調或研究機關（構）請求提供
資訊時之控管程序，確認此申請係符合法規命令之合法
程序？
1.3是否於提供用戶服務前訂定清楚之協議內容，要求用
戶不得毀損電信設施或減低該設施之通訊服務能力？
2.資產管理
2.1 是否明確定義組織的電信設備，與其他組織相連結或
相關之部份的管理責任，並加以文件化？
2.2 電信事業是否對通訊之有無、對象、日期、時間及內
容等，加以標示，並確保資訊存取之可歸責性？
檢查結果
不符 不適
符合
合
用
61
資通安全事故通報
62
電信事業年度提報資料統計
區
分
內部稽核
外部驗證
外部驗證
CNS/ISO/IEC 27001
ISO/IEC 27011增項
附件一 電信事業資通安全等級自我評估彙整表
V
V
V
附件二 電信事業資通安全等級自我評估說明表
V
V
V
附件五 資通安全管理內部稽核表
V
附件六 ISO/IEC 27011增項稽核表
(A級)
附件八資通安全管理矯正／預防措施一覽表

附件九 資通安全管理矯正／預防措施單

附件十 內部稽核表檢查項目勾選不適用之說明

附件十一 增項稽核表檢查項目勾選不適用之說
明

(A級)

（附件五、六不符合者）

（附件五、六不符合者）


（附件六不適用者） （附件六不適用者）
備註：V 必須提報項目 視需要提報項目
63
傳播事業年度提報資料統計
區
分
內部稽核
外部驗證
CNS/ISO/IEC 27001
附件一 電信事業資通安全等級自我評估彙整表
V
V
附件二 電信事業資通安全等級自我評估說明表
V
V
附件五 資通安全管理內部稽核表
V
附件七 資通安全管理矯正／預防措施一覽表
附件八 資通安全管理矯正／預防措施單
附件九 內部稽核表檢查項目勾選不適用之說明

（附件五不符合者）

（附件五不符合者）

（附件五不適用者）
備註：V 必須提報項目 視需要提報項目
64
問題與討論
65