資訊系統分級與資安防護基準作業規定.docVIP

資訊系統分級與 作業規定 行政院 中華民國年月 目錄 一、 目的 1 二、 適用範圍 1 三、 處理程序 1 四、 處理步驟說明 2 五、 安全等級設定原則 4 (一) 影響構面「機密性」 4 (二) 影響構面「完整性」 6 (三) 影響構面「可用性」 7 (四) 影響構面「法律遵循性」 8 六、 防護基準選取 9 附件1：安全等級評估表 23 附件2：資訊系統清冊 24 附件3：安全等級評估表參考範例 25 (一) 停車管理系統 25 (二) 全球資訊網 26 (三) 人事管理系統 27 (四) 會計管理系統 28 目的 旨在鑑別資訊系統安全等級，協助機關掌握重點保護標的，並促使機關進行風險評鑑、有效用資源，採行適當安全控制措施，以確保資訊之安全水準。 適用範圍 本適用於。 處理程序如圖1所示，包含(設定影響構面等級、(檢視、(設定資訊系統安全等級等個處理步驟。 (：依大構面，分別評估對各資訊之影響衝擊，並設定影響構面等級。 (：，檢視。 (：。 圖1：資訊系統分級處理程序 須依循處理程序填寫「安全等級評估表」範本附件由確保程序須承辦人、主管、資訊主管等關人會辦，資訊安全長核定安全等級。 本協助機關資訊系統安全等級重點保護標的辦理風險評 另外，已通過資訊安全管理驗證（例如：ISO/IEC 27001、CNS 27001等）機關，準用已採行之風險評鑑方法，須將資訊系統衝擊評估結果轉換為本規定之【普】、【中】、【高】三個安全等級。 處理步驟 處理步驟說明如下表依步驟填寫「安全等級評估表」安全等級評估表 套裝軟體、作業系統或防毒系統、防火牆系統、入侵偵測/防禦系統、弱點掃瞄系統、網頁/郵件內容過濾系統等屬資安防護處理相關控制措施，均不需進行資訊系統分級。 處理 工作項目 輸入：資訊系統 輸入資訊系統 承辦單位主管或其授權人員 步驟(：設定影響構面等級 由承辦人評估、法律遵循影響構面衝擊，並參照「、安全等級設定原則」填寫影響構面等級，等級區分為普、、三級，對於不適用之影響構面，等級以NA表示。 之安全等級大影響構面等級最高者 業務承辦人 步驟(： 2.檢視等級 由檢視等級。 資訊系統依其業務屬性分為： 。 。 本步驟所進行各項異動均須記錄。 主管或其授權人員 步驟(：定資訊系統安全等級 (不需填安全等級)，彙整至「資訊系統清冊」，資訊系統安全等級經相關主管確認後，最後由資訊安全長核定。。 本步驟所 資訊安全長、主管 輸出：資訊系統安全等級 本程序所之資訊系統安全等級，為之 資訊系統安全等級列【高】者，可考量進一步實施詳細風險評鑑，俾利進行風險管理。 安全等級設定原則 安全等級分為普、、三級，由機關依影響構面，分別考量資訊系統於可能造成衝擊資訊，據以評估設定安全等級。 資訊系統時，影響影響影響影響構面造成任何危害，則該影響構面等級以NA表示不適用 各影響構面安全等級設定原則說明如下： 影響構面「」 事資料遭竄改。 「」影響構面等級設定原則如下： 安全等級 說　明 普 一般性資料；資料外洩不致影響權益 中 未經授權的資訊揭露，在機關營運、資產或信譽等方面，造成可預期之嚴重負面影響，如： 敏感性資料；資料外洩將導致權益受損 涉及個人出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、聯絡方式、財務情形、社會活動及其他得以直接或間接識別個人之資料。 未經授權之資訊揭露，在機關營運、資產或信譽等方面，造成可預期之非常嚴重或災難性負面影響，如： 機密性資料；資料外洩將危及國家安全、導致機關權益嚴重受損 凡涉及國家安全之外交、情報、國境安全、財稅、經濟、金融、醫療等重要機敏系統。 特殊屬性之個人資料（如：臥底警員、受保護證人、人等資料），資料外洩可能會使相關個人身心受到危害、社會地位受到損害、或衍生財物損失等情形。 涉及個人之醫療、基因、性生活、健康檢查、犯罪前科等資料，資料外洩將使個人權益嚴重受損。例如：醫療資訊系統、刑案資訊整合系統等。 涉及個人出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、聯絡方式、財務情形、社會活動及其他得以直接或間接識別個人之資料。例如：戶役政資訊系統、護照管理系統等。 影響構面「」 「」影響構面等級設定原則如下： 安全等級 說　明 普 之 資料遭竄改不致影響權益 中 未經授權之 資料遭竄改將導致權益受損 高 未經授權之 資料遭竄改將危及國家安全、導致機關權益嚴重受損 影響構面「」 機關評估本影響構面安全等級時，應考量資訊系統可容許中斷時間、服務受影響程度等。一般而言，行政類系統（例如：人事管理系統、會計系統等）等，於系統故障時通常不致造成機關業務執行效能嚴重降低或業務中斷。 「」影響構面等級設定原則如下：