資訊安全通報程序
一、資訊安全事件之管理
(一)、應建立資訊安全事件之處理作業程序,並賦予相關人員必要責任,以便迅速有效處理資訊安全事件。
(二)、除正常應變計畫,資訊安全事件之處理程序,應視需要納入下列事項:
1、導致資訊安全事件原因之分析。
2、防止類似事件再發生之補救措施。
3、電腦稽核軌跡及相關證據之蒐集。
4、與受影響之使用者進行溝通及說明。
(三)、電腦稽核軌跡及相關證據應以適當方法保護,以利下列管理作業:
1、作為分析問題之依據。
2、作為分析是否違反契約或資訊安全規定之證據。
3、為與委外廠商協商如何補償之依據。
(四)、應依據「EMB-07資訊安全事件通報與應變作業流程」處理資訊安全事件。 相關作業程序應注意下列事項:
1、考量單位資源,於最短的時間內,確認恢復後之系統及相關安全控制是否完整及正確。
2、向管理階層報告處理情形,並檢討、分析資訊安全事件。
3、限定僅授權之人員可使用恢復後正常作業之系統及資料。
(五)、緊急處理步驟應詳實記載,以備日後查考。
二、通報程序
(一)、疑似資訊安全事件發生時,發現人員應依事件歸屬通 報權責單位。
|
性質 等級 |
預定完成日期 |
機密性 |
完整性 |
可用性 |
|
4 |
三天 |
醫院機密資料遭洩漏。 |
醫院重要資訊基礎建設系統或資料遭竄改。 |
醫院重要資訊基礎建設運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。 |
|
3 |
二天 |
密級或敏感資料遭洩漏。 |
核心業務系統或資料遭嚴重竄改。 |
核心業務運作遭影響或系統效率降低,於可容忍中斷時間內回復正常運作。 |
|
2 |
一天 |
非屬密級或敏感之核心業務資料遭洩漏。 |
核心業務系統或資料遭輕微竄改。
|
核心業務運作遭影響或系統效率降低,於可容忍中斷時間內回復正常運作。 |
|
1 |
一天 |
非核心業務資料遭洩漏。
|
非核心業務系統或資料遭竄改。
|
非核心業務運作遭影響或短暫停頓。 |
|
0 |
|
無資料遭洩漏。
|
無系統或資料遭竄改。 |
無系統運作受影響。 |
(二)、權責單位於收到通知後,研判是否為資訊安全事件。若:
1、判定為非資訊安全事件時,則將結果回覆予發現人員。
2、判定為資訊安全事件時,初估事件處理時間,並通知資訊組。
3、依資安事件對機密性、完整性及可用性之影響,取其最大者為代,
資訊安全事故等級概分為1至4級,資訊安全事件為0級。
三、權責單位於發生資訊安全事件時,應立即填具「EMR-02-12資訊安全事件報告單」,但以下狀況因屬常態性事件,亦無影響院內資訊安全之風險,只需填寫「EMR-02-06資訊系統工作委託單」,資訊安全相關處理需在規定期限內完成。
|
項次 |
資產大類 |
事件名稱 |
|
一 |
電腦 |
個人電腦非人為原因損壞。 |
|
二 |
印表機 |
印表機非人為原因損壞。 |
|
三 |
其他 |
其他資訊類產品非人為原因損壞。 |
四、決策處理:
(一)、當事件影響較低、衝擊性較小,或僅涉及單位內部、受損程度輕微時(如:電腦病毒感染),由權責單位自行處理,並將 處理後狀況通知單位主管及資訊組。
(二)、處理過程中如發現造成之影響大於原先判定事件,權責單位應即向機房管理人員報告,重新執行事件分析辨識。
(三)、機房管理人員應參考『EMR-07資訊安全事件通報與應變作業流程』,並依據權責單位所提報之事件影響報告,決定是否向上級主管單位通報。若需要通報,應由單位主管確認後執行。
五、危機處理程序
本單位資訊安全危機處理包括事前建置安全防護機制、事中主動預警與緊急應變,及事後復原追蹤鑑識偵查等步驟。
(一)、事前建置安全防護機制:
1、建置資訊安全管理系統及整體防護架構。
2、彙整及備妥資訊安全相關文件。
(二)、事中主動預警與緊急應變:
1、事件辨識:辨識事件之歸屬及採取之對策,如內部資安事件、外力入侵事件、天然災害或重大突發事件等,並決定處理的方法與程序。
2、事件控制:依據各類事件危機處理之程序,進行事件傷害控制,降低影響的程度及範圍。
3、問題解決:事件處理權責單位或負責人須將問題解決。 必要時,應向資訊組提出建議方案。
4、恢復作業:問題解決後,系統需恢復至事件發生前之正常運作狀態。
(三)、事後復原追蹤鑑識偵查:
1、後續復原追蹤為檢討相關資訊安全事件是否會重複發生,並審視現有環境漏洞,透過分析相關資料,以釐清事件發生之原因與責任。
2、受損單位依復原程序實施災後復原重建。
3、重大資訊安全事件應保留事件發生之線索,如有需要得向國家資通安全會報技術服務單位或檢警單位申請數位鑑識(電腦、網路鑑識)。
六、緊急應變演練
為維護資訊系統持續運作,確保病患就醫資料與病人醫療程序不間斷,維護病人安全;並確認資安通報程序可正常運作施行,每年底進行緊急應變訓練及演練,並將演練結果於會議中檢討改善。