國立新營高工資訊安全內部控制緊急應變處理程序
93.01.29通過
一、參照「行政院及所屬各機關資訊安全管理要點」及本校「資訊安全管理要點」相關規定制定。
二、本校為有效掌握資通訊及網路系統遭受破壞、不當使用等危安或重大災害事件,能迅速通報及緊急應變處置,並在
最短時間內回復,以確保本校之正常運作,特訂定資訊安全事件緊急應變處理程序。
三、本程序適用對象及時機:
(一) 適用對象:運用本校資訊及網路系統,進行電子化作業之各單位。
(二) 適用時機:本校於發生重大資訊安全事件或其他災害涉及資訊安全事件時,應立即依本程序辦理。
四、本校設置資訊安全事件緊急應變處理,並由資訊安全長(教務主任)負責執行資訊安全預防、危機通報及緊急應變處理等相關措施。
五、資訊安全事件等級概分為四級:
(一) 『A』級:影響公共安全、社會秩序、人民生命財產。
(二) 『B』級:系統停頓,業務無法運作。
(三) 『C』級:業務中斷,影響系統效率。
(四) 『D』級:業務短暫停頓,可立即修復。
六、資訊安全事件危機通報作業注意事項:
(一) 本校成立常態任務編組之「資訊安全推動小組」,負責執行資訊安全預防及危機通報、緊急應變處理相關措施。
(二) 資訊安全事件影響層面如遇重大災害,且影響層面深廣、受損程度嚴重時(如外力入侵、資通訊網路系統骨幹中斷重大突發事件等,或水、火災、地震、天然災害等涉及資訊安全事件者),應儘速向國家資通安全應變中心危機通報分組(以下簡稱危機通報分組)通報;惟如屬一般性【D級(含)以下】,僅涉及單位內、受損程度輕微時(如內部危安、電腦病毒感染),則由本校自行處置,並逕行通報。
(三) 資訊安全事件危機通報作業程序(其流程詳附件一)如下:
1. 本校資訊用戶端於發生危安事故時,應立即(最遲不得超過三十分鐘)向本校之資訊安全長反應事實或請求支援,完成內部通報流程,再依據事故狀況,評估相關可能因素,藉由上網或資料庫等查詢方式,以尋求解決方案,儘速協助用戶端進行緊急應變處置。
2. 本校於發生危安事故時,應將事件發生之事實、可能影響之範圍、損失評估、判斷支援申請、採取之應變措施等事項,立即(最遲不得超過三十分鐘)填具「資通安全事件通報單」(如附表一),並透過上網、電話、傳真、國家資通安全應變中心(N-CERT)網頁或電子郵件等方式,通報至「國家資通安全應變中心」,並須同時以同一通報單影本副知主管機關「資通安全處理小組」,以便協助追蹤處理。技術服務團至發生資安事件單位協助解決資安問題後,於資通安全處理小組建立資安資料庫,並於二小時內向危機通報分組通報完成處理情形(附表二),並解除資安事件,本校須同時以同一通報單影本副知主管機關「資通安全處理小組」,以利彙整資安資料。
3. 本校如遇資訊安全事件,危及人員生命或設備遭到破壞等涉及民、刑事案件時,應即時通報檢調單位請求處理。
4. 如發生災損,有關通報單之災害損失評估內容包括如下:作業影響情況、設備或系統損害情況、作業延誤情況、資料受損項目、估算資通訊系統作業及資料回復所需時間及人員支援狀況等。
七、資訊安全事件緊急應變作業注意事項:
(一) 事前建置安全防護機制:
1. 建立人員安全管理、資產分類與控管、實體與環境安全管理、資訊與操作管理、系統開發與維護等安全機制。
2. 建立各項系統故障或中斷時之回復計畫程序。
(二) 事中主動預警緊急應變:
本校執行即時偵防、監測預警工作時,可藉由二十四小時之監測工具或『危機通報分組』通告等方式,以掌握最新的預警訊息,並適時對單位內發布警告訊息及控制發展趨勢,以降低受損程度。
八、資訊安全事件緊急應變措施如下:
(一) 就資訊安全危害事件之徵兆,查明事件原因、安全等級區分、判定可能影響範圍、評估可能損失、判斷是否需要支援申請等作業項目逐一檢討與處置;並保留被入侵或破壞等證據(如網頁置換等)。
(二) 透過系統弱點(病毒)資料庫、上網站、技術支援單位(或廠商)等方式,查詢獲得解決方案(如下載漏洞修補程式、解毒程式等);或依既定之緊急應變計畫,實施災害緊急應變搶修處置(如保護、救援、回復運轉等),並持續性主動積極之監控與追蹤管制。
(三) 視災損程度啟動備援計畫等應變措施。
(四) 如屬新生(以往未發生過)無法解決之危害事件,應迅速向『危機通報分組』反映,請求提供相關技術支援。
(五) 執行其他災害應變及防止事件擴大之措施。
九、資訊安全事件分類應變步驟如下:
(一) 內部危安事件:發現(或疑似)遭人為惡意破壞毀損、作業不甚等危安事件時,應迅速查明事件影響狀況、受損程度等,啟用備分資料、程式或啟動備援計畫相關措施,期儘速回復正常運作。
(二) 外力入侵事件:
1. 病毒感染事件:病毒入侵後,隨時掌握電腦病毒感染最新動態,隔離病毒避免疫情擴散;同時儘速取得所需病毒清除程式,並按病毒修護程序,完成病毒清除及修護復原工作。
2. 駭客攻擊(或非法入侵)事件:
(1) 發現(或)被入侵時,立即隔離受入侵系統及拒絕入侵者任何存取動作,如切斷入侵者之實體連線或調整防火牆設定等,以阻絕駭客進一步入侵,並迅速啟動備援系統或程序。
(2) 如入侵者已被嚴密監控暨不危害內部(含DMZ 非軍事區)網路安全下,可考慮讓入侵者作有條件的連接,適度允許其繼續動作,以利追查入侵者IP 位置;並利用稽核檔案或系統指令、聯合ISP 公司等方式,追蹤入侵者行蹤。惟一旦入侵者危害到內部(含DMZ 非軍事區)網路安全,則立即切斷入侵者之實體連線。(3) 全面檢討網路安全措施、修補安全漏洞或修正防火牆之設定等具體改善補救措施,以防止類似入侵或攻擊情事再度發生。
(4) 正式紀錄入侵情形、被駭統計分析及損失評估等資料,以供防護與預警之參考,並向主管機關或檢警單位反映。
3. 天然災害或重大突發事件:
(1) 如遇颱風、水災、地震等天然災害或火災、爆炸、核子事故、重大建築災害等重大意外事件,應迅速攜帶重要資料及程式等離開現場,以利爾後系統重置復原。
(2) 如遇資通訊網路系統骨幹(主幹頻寬)中斷事件,應立即查明障礙點、影響區間及範圍,啟動應變機制,緊急調撥備援系統或替代路由,實施流量控管,執行搶修作業。
十、事後復原追蹤鑑識偵查:
(一) 本校資訊室速依應變(回復)計畫,實施災後復原重建。
(二) 本校資訊室執行災後復原工作,首先檢驗資訊安全環境及硬體設備是否可以正常運作,並執行環境重建、系統復原及掃描作業,其步驟包含軟硬體設備重新取得建置、重置作業系統及應用系統,以及運轉測試等;並俟運作正常後即進行安全備份檔案下載、資料回復、資料重置等相關事宜。
(三) 當危機解除後,本校資訊室應將災害應變處置復原過程相關完整紀錄(如事件原因分析及檢討改善方案、防止類似事件再次發生之具體方案、稽核軌跡及蒐集分析相關證據等資料),予以建檔管制(如建立資訊安全事件資料庫或列入更新解決方案資料庫等),以利爾後查考使用。
(四) 本校資訊室如有需要,應保留事件發生之線索,向技術服務中心或檢警單位申請追蹤鑑識、偵查支援,藉研析稽核紀錄或入侵活動偵測等相關資料,以釐清事件發生的原因與責任;並找出防護系統之漏洞,尋求補強保護方法,避免事件再度發生。
十一、 本緊急應變處理程序經校長核定後實施,修正時亦同。
