您的瀏覽器不支援JavaScript功能,若部份網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
友善列印 :
請利用鍵盤按住Ctrl + P開啟列印功能
字級設定 :
IE6請利用鍵盤按住ALT鍵 + V → X → (G)最大(L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小,
而IE7或Firefox瀏覽器則可利用鍵盤 Ctrl + (+)放大 (-)縮小來改變字型大小。
:::
我國重大資安政策進程

日期:103-02-25
資料來源:資通安全處

「行政院國家資通安全會報」自90年1月成立以來,積極推動政府機關對資通安全的重視,使政府機關資通安全奠基工作已具初步成效,惟因資通安全係一需要持續推動的重要工作,我國自90年開始,政府已陸續展開四個階段,各為期四年之重大資通安全計畫(詳如圖1所示),陸續完成階段性工作,有效提升我國資安完備度,其中第3期計畫已於101年底到期,鑒於大環境因素及資安問題仍層出不窮,需再訂定資安賡續發展計畫之必要,以落實各項資安推動方案之有效執行,現僅將各期計畫重點盧列如下。

我國重大資安政策發展進程圖

    

       圖1 我國重大資安政策發展進程

一、第一期機制計畫(90-93年)
為統籌並加速我國資通安全基礎建設,行政院於90年通過「建立我國通資訊基礎建設安全機制計畫(90-93年)」(以下簡稱第一期機制計畫),並成立「行政院國家資通安全會報」,積極推動我國資通安全基礎建設工作。

本期計畫主要致力推動全國3,713個重要政府機關(構)建立整體資安防護體系。在實務作業上,將政府機關區分為國防、行政、學術、事業1(水、電、石油、瓦斯)、事業2(交通、通信、網路、航管)、事業3(金融、證券、關貿)、事業4(醫療)等7個不同屬性類別,每項屬性類別下再區分為A級重要核心單位、B級核心單位、C級重要單位及D級一般單位等4個等級,針對不同等級提供不同的資安支援並訂定不同的工作要求,以期在有限資源下,做好全面的資通安全防護工作。

此外,針對20多個關鍵基礎設施的資訊系統實施資安管理方案,以推動實施資訊安全管理制度為首要工作,要求限期完成異地備援系統及通過國際資訊安全管理系統驗證。在資安認知推廣及教育訓練方面,訂定資訊人員及主管人員應接受必要之資安技術或管理課程訓練。此外,亦規劃建立資安監控中心(Security Operation Center,SOC)預警及通告機制等項目。

同一期間,數位台灣計畫於91年5月,經行政院核定為「挑戰2008:國家發展重點計畫」之一,其中「寬頻到家」項目下,包含「建置安全的資訊通信環境」、「自然人憑證發證計畫」、「建置及營運我國及跨國PKI(Public Key Infrastructure)互通機制」、「建置資安產品驗、認證機構或實驗室」等四個資通安全相關子計畫,目標為構築一個安全、免受駭客攻擊的資通安全環境,使我國在96年達到e-Taiwan的境界。

二、第二期機制計畫(94-97年)
第一期機制計畫對建立我國整體資安防護能力至為關鍵,因此行政院於93年通過第二期機制計畫(94-97年),復於96年2月核定修正,旨在因應環境變遷,持續落實各項資安作業。

延續前一期「確保我國擁有安全、可信賴的資訊通訊環境」之願景,本期計畫主要政策包含政府機關資訊安全長(Chief Information Security Officer,CISO)責任制度、國家資通安全防護管理平台(National Security Operation Center,NSOC)、強化資安稽核、強化資安責任等級分級作業與機密資訊保護、建構資安關鍵指標等,對強化政府機關之資安能力產生一定的影響。

政府機關資訊安全長責任制度之推動始於94年,目前行政院本部、37個部會與25個直轄市及縣市政府,均已由副首長兼任資訊安全長,負責督導「資通安全處理小組」,推動單位內之資通安全相關計畫。透過資訊安全長責任制度的落實,進而強化政府各單位本身資通安全防護與管理責任,影響所及不僅彰顯資通安全專責人員的重要性,也使得單位的資通安全工作更加受到重視。

N-SOC不僅提供一般監控與預警服務,且將重要核心政府機關納入防護範圍,依其業務需求,配置不同監控設施,如佈署入侵偵測系統、DNS(Domain Name System)警示系統、內部網路警示系統、使用者端警示系統等。除了強化通報應變網站功能、定期進行通報演練外,亦可適時針對資安聯絡人,發布系統漏洞、駭客訊息等資安警訊,有效提升整體通報應變之時效。

行政院國家資通安全會報稽核服務組(前行政院主計處電子處理資料中心主責)自90年起每年選擇20~30餘重要核心機關進行資安外部稽核,提供稽核建議,協助受稽單位落實資安防護工作之完整性與有效性,並於94年起推動主管機關進行內部稽核。

奠基於92年之資通安全責任等級分級作業,95年重新界定分級標準,並將實施範圍擴及教育體系,納管單位數由3,713個增加為6,797個。依行政院人事行政局發布行政院所屬各機關暨地方政府機關數,本項作業涵蓋率已達80%以上。

95年為預防使用者電腦遭駭客透過惡意電子郵件社交工程等方式攻擊,除規劃執行電子郵件社交工程演練外,行政院國家資通安全會報制定另一項重大資通安全政策,要求重要涉密機關,依需求評估採用經濟有效的實體隔離作法與加密保護措施,以有效保護機密資訊的安全,目前相關機關均已落實執行。
而為評估我國資安發展現況,俾利規劃相關政策措施,積極推動資安防護,本期計畫自95年起亦開始建構資安關鍵指標,透過量化的數據,標示近年來我國資通安全在認知與環境、整體防護能力、以及緊急應變功能上的表現。

三、國家資通訊安全發展方案(98-101年)
綜觀前兩期機制計畫實施以來,對於促使各機關重視資安與帶動民間投入具一定成效。然就現階段我國所面臨的資安問題,因為整體資源投入有限,實不利於正確評估資安風險,並將其有效地控制在可接受的範圍內。鑒於大環境因素及資安問題仍層出不窮,有訂定資安賡續發展計畫,加強實施各項資安作業有其必要性。

98年1月行政院訂頒「國家資通訊安全發展方案(98-101年)」,該方案考量資安政策延續性,以達成「安全信賴的智慧台灣,安心優質的數位生活」為願景,朝「強化整體回應能力」、「提供可信賴的資訊服務」、「優質化企業競爭力」及「建構資安文化發展環境」四大政策目標努力。
執行上,分別從「需求端」與「供應端」規劃符合政府、關鍵基礎建設及企業需要的5項資安措施、共20個行動方案;在「環境面」強化法制建設、認知宣導、創新合作及衡量指標等利於形塑資安文化的4項措施、共10個行動方案。

透過落實這30個行動方案,在101年底已達成增加資安資源投入、提高資安法規整備度、提升全民資安素養、強化整體資安防護能力、推升資安演練比率及降低事故損失程度等效益,已逐步將政府推動資安的經驗擴散至民間及企業。

隨著時代進步,數位技術的推廣及產業電子化持續推展,我國已邁向高度資訊化與數位化社會。根據行政院主計處電子資料處理中心100年10月所公布之「電腦應用概況報告」顯示,我國「個人電腦設置數達1,351.8萬台,平均每千人擁有582.0台」、「家庭部門電腦普及率為71.89%,每百戶家庭擁有103.2台,網際網路連線比率逾95.91%」,另外在我國資訊經費支出總金額為2,217.4 億元,其中以民營企業及公營事業機構之資訊總支出經費明顯成長,分別成長10.02%及5.54%;整個資訊總支出經費占國內生產毛額(GDP)之比率為1.6%。

從以上的資訊數據顯示,各國之相關資訊應用的整備度,已成為國際組織衡量國家競爭力的重要指標,而安全的議題更成為各國政府高度重視並積極構思強化的面向,尤其對於數位科技產品的運用及經費的成長,無論一般大眾或企業用戶,均已高度融入日常生活與業務維運過程中,而伴隨資訊便利而來的則是面臨高度資安風險,為能使我國國民、企業在安全無虞的環境下使用資訊所帶來的便利,在政府與民間充分合作下,共同打造安全信賴的資通訊環境,維護個人隱私、確保網路安全、建構資安產業發展條件,齊心營造安全安心的智慧化台灣實屬必要。 

 

四、國家資通訊安全發展方案(102-105年)
願景:「建構安全資安環境,邁向優質網路社會」。
隨著資通訊科技日益蓬勃發展,如何提供安全、安心、可靠的網際網路使用環境,創新資安服務價值,掌握雲端運算優勢,朝向虛擬整合化資安服務,已成為邁向優質網路社會的關鍵議題。我國已完成3期機制計畫或發展方案之推動,資通安全管理機制已日趨健全,個人資通安全意識亦日漸提升,然如何結合產、官、學、研各界資源與能量,讓網路社會朝向良性發展實屬重要。本方案以達成「建構安全資安環境,邁向優質網路社會」為願景,期經由前瞻政策引導,在政府與民間共同合作之下,透過國家整體資源力量,逐步推動並落實優質網路社會。
   
本方案將透過「推展資安基礎環境安全設定」、「加強資安防護管理二線監控機制及情蒐」、「強化資安應變功能及復原能力」及「建構資安專案管理(SPMO)機制」等相關行動方案,以落實我國優質網路社會願景,特提出4大策略目標如下:「強化國家資安政策,建立安全資安環境」、「完備資安防護管理,分享多元資安情報」、「奠基資安技術能量,整合科技實務應用」及「擴大資安人才培育,加強國際資安交流」。
目標一:強化國家資安政策,建立安全資安環境。
網際網路的快速發展已帶來政治、經濟、社會、文化、科技及軍事等各層面的資安威脅,我國要如何建立安全及可信賴的資通安全環境,保護個人、企業及政府各部門的資通安全,維護國家關鍵基礎設施,增進民眾的信心,確保經濟、社會及國家安全,乃政府必須優先處理的課題。在複雜的網際網路環境中,因為資通安全是全方位的工作,必須就適法性、外在競爭環境的變遷、資產風險評估原則、資產價值,以及相關資訊服務等因素擬訂資安策略,不斷精進國家資安政策,投入相當資源,強化自我資通安全防護能力,建構國家整體性的資通安全服務環境,才能有效杜絕資安危害,維護國家資通安全。
目標二:完備資安防護管理,分享多元資安情報。
為建立可信賴的資通安全環境,確保資料、設備及網路系統的安全,保障民眾權益,建置政府專屬G-ISMS (Government- Information Security Management System)體系,以提升政府機關資通安全管理作業,妥善保護各機關資訊之機密性、完整性與可用性並建立機關聯防機制,降低資安事故之風險至可接受之程度,並加強G-SOC (Government-Security Operation Center)資安防護管理二線監控機制及情蒐與分享之整合,透過資安技術服務雲端化,擴大資安監控範圍;另透過G-ISAC (Government -Information Sharing and Analysis Center)分享平台,建立具資安自動通報作業之平台。
目標三:奠基資安技術能量,整合科技實務應用。
加強與企業及學研機構之資安技術研發合作,發展新一代全方位資安整體技術解決方案,涵蓋資安弱點偵測、滲透測試、入侵威脅、網站應用程式(Web AP)安全、防火牆應用與事故通報管理等領域核心技術。同時在網路應用方面,研究新興資安科技應用及技術標準,掌握雲端、虛擬與行動資安防護等關鍵自主技術,提升資安威脅整合分析之鉅量資料運算能力,並進行新興資安技術實務之應用。
目標四:擴大資安人才培育,加強國際資安交流。
擴大資安科研人才培育合作,制訂政府資安人才引進與培育配套規劃,發展資安專業職能及相關認證機制,參考國際資安人才培訓經驗,建置資安人才訓練與實習之專業學習環境;積極佈建國際資安合作交流平台,參與國際資安組織相關活動,維護APCERT(Asia Pacific Computer Emergency Response Team)、APWG(Anti-Phishing Working Group)、AVAR(Association of anti-Virus Asia Researchers)、FIRST(Forum of Incident Response and Security Teams)等會員身分,掌握國際資安最新發展趨勢,並透過G-ISAC資安資訊分享機制,與國際資安組織包括日本JPCERT/CC(Japan Computer Emergency Response Team /Coordination Center)、馬來西亞MyCERT(Malaysian Computer Emergency Response Team)及韓國KrCERT/CC(Korea Computer Emergency Response Team /Coordination Center)等擴展國際資安相關合作計畫,以加強國際資安交流。
執行策略、行動方案、執行要點與績效指標:
本方案定位為我國未來四年(102~105年) 推動資安防護計畫之依據,作為貫通政府、產業與民眾資安防護之價值樞紐,爰透過宏觀的資安科技發展趨勢分析,進行資安整體性規劃,期透過資安防護資源之投入與執行,提升我國資安產業競爭力,作為資安防護與產業創新的關鍵推手,本方案每個目標有多個對應執行策略,而每個執行策略有多個對應行動方案,每個行動方案提出多個執行要點與績效指標,詳細內容請參閱「國家資通信安全發展方案(102-105年)」。

 
 
 
:::
通訊地址:10058臺北市中正區忠孝東路1段1號 google-map | 總機電話:02-3356-6500 更新日期:107-09-20
scroll-top
scroll-top