政府資安責任分級

行政院國家資通安全會報，為明確規範政府機關（構）資通安全責任等級，期配合 ... 分級原則. 政府機關層級。

涉及外交、國防、國土安全、財政、經濟、警政等重要業務。

Sidebar × 政府資安責任分級 詳細內容 法規遵循  列印  Email 行政院國家資通安全會報，為明確規範政府機關（構）資通安全責任等級，期配合資訊安全長(CISO)責任制度及資通安全管理機制，妥適防範各機關(構)潛在資安威脅，特於93年訂定「政府機關（構）資訊安全責任等級分級作業施行計畫」。

為因應當前資通安全威脅情勢，進而提升國家資安防護水準，乃參考資通訊科技發展與網路攻防演練、政府機關(構)資安健診、稽核等結果，進行計畫研修，並將名稱調整為「政府機關（構）資通安全責任等級分級作業規定」。

詳細內容請參閱「政府機關（構）資通安全責任等級分級作業規定」。

  資料來源: 資通安全辦公室 分級原則  政府機關層級。

涉及外交、國防、國土安全、財政、經濟、警政等重要業務。

涉及能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、高科技園區等關鍵資訊基礎設施業務或營運。

涉及全國、區域性或地區性個人資料檔案。

  一、政府機關（構）資安責任等級 A級 總統府、國安會、立法院、司法院、考試院、監察院、行政院及直轄市政府。

立法院、司法院、考試院、監察院及行政院等所屬二級機關、相當二級機關之獨立機關（以下合稱二級機關）。

但其業務或組織單純者，得報經其上級機關核准，調整為B級或C級。

凡涉及外交、國防、國土安全，及掌理全國財政、經濟、警政等重要業務之機關，如外交部領事事務局、內政部警政署刑事警察局等。

負責能源、水資源、通訊傳播、交通、金融、緊急救援、高科技園區等關鍵資訊基礎設施之營運機關，如交通部民用航空局飛航服務總臺等。

保有全國性個人資料檔案之機關，如勞動部勞工保險局、衛生福利部中央健康保險署等。

B級 縣（市）政府。

凡涉及社會秩序及人民財產業務之機關，如地方政府警察局、地方政府地政事務所等。

保有區域性或地區性個人資料檔案之機關，如財政部各地區國稅局、地方政府戶政事務所等。

C級 其他政府機關及地方政府民意機關。

    二、學術機構 A級 凡涉及各相關機關委託研究具國家安全機密性或敏感性之學校。

B級 各大學。

臺灣學術網路各區域網路中心暨各直轄市、縣（市）教育網路中心。

C級 各學院、專科學校及高級中等以下學校。

教育部所屬研究機構。

  三、國（公）營事業、醫療機構及其他 A級 國（公）營事業與特許機構，處理涉及能源、水資源、通訊傳播、交通、金融等關鍵資訊基礎設施業務者，如台灣電力公司、臺灣港務股份有限公司、臺灣證券交易所等。

由政府委託民間興建營運後轉移之關鍵資訊基礎設施之營運單位，如遠通電收股份有限公司、台灣高速鐵路股份有限公司、高雄捷運股份有限公司等。

醫學中心，如國立臺灣大學醫學院附設醫院、臺北榮民總醫院等。

保有全國性個人資料檔案之機構，如中華郵政股份有限公司等。

B級 國（公）營事業涉及全國或地方民生資源等業務，如台灣糖業股份有限公司等。

區域醫院，如臺北市立聯合醫院、衛生福利部桃園醫院、國立臺灣大學醫學院附設醫院雲林分院等。

保有區域性或地區性個人資料檔案之機構。

C級 其他國（公）營事業機構，如金門酒廠實業股份有限公司、福建省連江縣馬祖日報社等。

地區醫院，如臺北市立關渡醫院、國立成功大學醫學院附設醫院斗六分院、臺北榮民總醫院新竹分院等。

  依其資安等級，應辦理事項分為三級：A級、B級、C級   作業名稱 A級 資訊系統分類分級 1.完成資訊系統分級(104年底前)  2.完成資訊系統資安防護基準要求(105年底前) ISMS推動作業 1.全部核心資訊系統完成ISMS導入(105年底前)  2.全部核心資訊系統通過第三方驗證(106年底前) 資安專責人力 指派資安專責人力2人 稽核方式 每年至少2次內稽 業務持續運作演練 每年至少辦理1次核心資訊系統持續運作演練 防護縱深 1.防毒、防火牆、郵件過濾裝置  2.IDS/IPS、Web應用程式防火牆  3.APT攻擊防禦 監控管理 SOC監控(104年底前) 安全性檢測 1.每年至少辦理2次網站安全弱點檢測 2.每年至少辦理1次系統滲透測試 3.每年至少辦理1次資安健診 資安教育訓練(一般主管、資訊人員/資安人員、一般使用者戶 1.每年資安人員(資訊人員)至少2人次須接受12小時以上資安專業課程訓練或資安職能訓練  2.每年一般使用者與主管至少須接受3小時資安宣導課程並通過課程評量 專業證照 每年維持至少2張國際資安專業證照與2張資安職能訓練證書之有效性   作業名稱 B級 資訊系統分類分級 1.完成資訊系統分級(104年底前)  2.完成資訊系統資安防護基準要求(105年底前) ISMS推動作業 1.至少2項核心資訊系統完成ISMS導入(106年底前)  2.至少2項核心資訊系統通過第三方驗證(107年底前) 資安專責人力 指派資安專責人力1人 稽核方式 每年至少1次內稽 業務持續運作演練 每2年至少辦理1次核心資訊系統持續運作演練 防護縱深 1.防毒、防火牆、郵件過濾裝置  2.IDS/IPS    3.Web應用程式防火牆(機關具有對外服務之核心資訊系統) 監控管理 SOC監控(105年底前) 安全性檢測 1.每年至少辦理1次網站安全弱點檢測  2.每2年至少辦理1次系統滲透測試  3.每2年至少辦理1次資安健診 資安教育訓練(一般主管、資訊人員/資安人員、一般使用者戶 1.每年資安人員(資訊人員)至少1人次須接受12小時以上資安專業課程訓練或資安職能訓練  2.每年一般使用者與主管至少須接受3小時資安宣導課程並通過課程評量 專業證照 每年維持至少1張國際資安專業證照與1張資安職能訓練證書之有效性   作業名稱 C級 資訊系統分類分級 依各主管機關規定 ISMS推動作業 自行成立推動小組規劃作業) 資安專責人力 依各主管機關規定 稽核方式 依各主管機關規定 業務持續運作演練 依各主管機關規定 防護縱深 1.防毒 2.防火牆 3.郵件過濾裝置(機關具有郵件伺服器) 監控管理 依各主管機關規定 安全性檢測 依各主管機關規定 資安教育訓練(一般主管、資訊人員/資安人員、一般使用者戶 1.依各主管機關規定資安人員(資訊人員)資安專業課程訓練或資安職能訓練要求    2.每年一般使用者與主管至少須接受3小時資安宣導課程並通過課程評量 專業證照 依各主管機關規定     相關文件下載 1. 政府機關_構_資通安全責任等級分級作業規定.pdf 相關連結  如貴單位有依循告資法規需求服務，更進一步詳細客製需求，請聯繫Email住址會使用灌水程式保護機制。

你需要啟動Javascript才能觀看它 聯絡我們