《資訊系統安全措施法》Information Systems Security Measures Act
(1)為保護中央、地方政府之資料庫中之資料與資訊資產,特立本法建立資訊系統之安全措施。
(2)資訊安全系統應涵蓋資安處理程序之規範、組織架構、物理和IT資安措施之解釋。
(3) 本法規不適用於處理國家機密之資訊系統安全性。
安全系統之施行應涵蓋依據三級資訊安全系統參考(以下簡稱ISKE)內之施行要則、施行情況對該資訊之資安要素進行審核,並訂定該資訊之安全等級,且以審查其對應安全措施之施行情形。
(1) 下列用詞適用本法之定義:
1)資料安全性分析:指為評定該資訊之安全等級,所進行之資料重要性評估、因缺乏資訊安全所造成之損害評估;
2)參考措施:指經分類、抽樣且標準化後之安全措施,其取決於其安全性和資訊處理系統之組成;
3)基準化:指為執行與維護資訊安全所實施之安全措施;
4)資訊系統:指處理、記錄或傳輸資料之技術系統,及其日常營運所需之方法、資源和程序;
5) 資訊安全:指建立、選擇和實施安全措施之處理過程;
5-1)資訊資產:指資訊,資料與資料技術應用、以及資料處理之技術;
6)安全措施:指為執行和維護資訊系統中資料之資訊安全性,而進行之組織架構性運作、資源、技術程序與技術方法之實施;
7)安全等級:指依其資料重要性所標定之資訊安全等級,劃分為四個等級與三個資訊安全要素所組成之三個安全等級;
8) 安全子等級:指為落實資訊安全所須之資訊安全等級,分為四級等級;其中三個資訊安全等級由三個資訊安全要素所組成。
(2) 本法內之用詞以EVS / ISO / IEC 2382(資訊技術-術語表),EVS ISO / IEC 13335第1-5章(資訊技術-資訊安全管理要則)和EVS ISO / IEC 17799(資訊技術-安全法則)準用之。
(1)為確保落實安全等級中所涵蓋之資安要素,資料庫中主資料處理者應組織資料庫中資料之安全性分析。
(2)資料庫中資料安全級別之指定,應參考該資料庫中為註冊所載明之技術文件,且應以《公共資訊法》第43-9條第1項第6款中所明定之程序更新其等級。調配資料庫時,須制定合適之符合其安全等級之安全措施。
(1) 控管者應根據資訊安全的目標和實現這些目標的重要性,組織確立獨立的安全層級,當作資料安全性分析的結果。
(2) 資料庫中處理的資料會被分配安全層級。 一個資料庫中不同類型的資料可能具有不同的安全層級。依據處理的資料,與安全等級相對應的安全措施應應用於資訊處理系統內或當中一部分。
(3) 安全層級是依據最需要保護的資料的資訊安全等級而訂的。
(4) 安全層級使用指定字母和等級編號(例如K2T3S1)來代表各個安全標的的名稱。
(1) 安全等級分為高(H)、中(M)或低(L)。
(2) 所需的安全等級是由資訊安全標的透過完整性、機密性和可用性參數所決定。
(3) 資料完整性是資料準確性、完備性、及時性、源頭真實性及未經授權的更改的保證。
(4) 資料機密性代表只有經過授權的人員或技術設施才能存取該資料。
(5) 資料可用性是指經授權的人員或技術設施在必要和要求的營業時間內有即時且易於存取可用資料的可能(亦即,在必要及要求的時間點,與在必要及要求的時間內)。
(1) 根據資料的可用性,從下列分級定義安全子等級:
1) K0—可靠性—不重要;性能—不重要;
2) K1—可靠性—90%(每週允許的總停機時間〜24h);在高峰負載時允許增加所需回應的時間—小時(1÷10);
3) K2—可靠性—99%(每週允許的總停機時間~2小時);在高峰負載時允許增加所需回應的時間—分鐘(1÷10);
4) K3—可靠性— 99.9%(每週允許的總停機時間〜10分鐘); 在高峰負載時允許增加所需回應的時間—秒(1÷10)。
(2) 基於資料完整性,應從以下分級確定安全層級:
1) T0—資訊的來源,其變更或破壞的可追溯性不相關; 無需驗證資訊的準確性、完備性和及時性;
2) T1—資料的來源,其修改和破壞必須是可識別的;在特定且合宜的情況下驗證資訊的準確性、完備性和及時性;
3) T2—資料的來源,其修改和破壞的事實必須是可識別的;需要定期驗證資料的準確性、完備性和及時性;
4) T3—資料的來源,其修改和破壞的事實必須具有證明價值; 需要即時驗證資料的準確性、完備性和及時性。
(3) 根據資料的機密性,應以下列安全層級規範之:
1. S0-公共資訊:不具存取資訊之限制(所有相關當事人皆有權存取,變更權則由完整性規範決定);
2. S1-內部使用資訊:請求存取者具正當理由時,得存取資訊;
3. S2-機密資訊:資訊僅限特定類型使用者使用,請求資訊者具正當理由時方得存取資訊;
4. S3-最高機密:資訊僅限特定使用者使用,請求資訊者具正當理由時方得存取資訊;
安全層級識別碼由子層級識別碼以安全要素(KTS)構成(例:K2T3S1)。
(1) 為保障處理資料庫資料之資訊系統的資訊安全目標,應採用與該資訊系統中維護之資料庫資料之安全層級相對應的安全措施。
(2) 安全措施之選擇,應對應安全層級並遵循 ISKE 施行要則。
(3) ISKE 實施規範應由經濟事務及通訊部批准,並於其網站上公布。
(1) 資料庫安全層級為「高」(H)之資料庫控管者,應每兩年對系統安全措施實施狀況進行一次獨立稽核。
(2) 資料庫安全層級為「中」(M) 之資料庫控管者,應每三年對系統安全措施實施狀況進行一次獨立稽核。
(3) 資料庫安全層級為「高」(L)之資料庫控管者,應每四年對系統安全措施實施狀況進行一次獨立稽核。
(4) 稽核系統安全措施實施狀況,應於處理資料庫資料之該資訊系統部分進行。稽核時應執行下列工作:
1) 驗證資訊資產清單之合規性;
2) 控制安全層級及安全水準的判別;
3) 控制即將採取安全措施的選擇;
4) 監督所有即將採取之安全措施的實施。
(5) 進行稽核時,資料庫控管者應確保稽核者於稽核當下,具備國際資訊系統稽核及控管協會授與之合格資訊系統稽核者 (Certified Information Systems Auditor, CISA) 認證、或英國標準協會 (British Standards Institute) 授與之 ISO 27001 領先稽核員認證(Lead Auditor Certificate)、或德國資訊安全局 (Bundesamt für Sicherheit in der Informationstechnik) 授與之 ISO 27001 IT基線保護稽核員認證。
(6) 稽核員遵循國際資訊系統稽核和管理協會的道德守則、標準、準則、程序和實踐。
(7) 稽核者必須獨立於接受稽核者。審查者須在審查期間兩年內不得接受相關單位之諮詢。審查者須簽署文件以保證其獨立性。
(8) 稽核者應在其職權範圍內,確保資訊的機密性。
(9) 在稽查結束的一個月內,資料庫控管者應透過國家資訊管理系統,將稽查者的評估報告上呈給經濟事務與通訊部。
(1) 經濟事務與通訊部應依第9-1條第4至8項之條件與要求,採適當手段安排地方政府資料庫進行稽核。
(2) 稽核結束1個月內,資料庫控管者應透過國家資訊管理系統,將稽查者的評估報告上呈給經濟事務與通訊部。
本法自 2008年1月1日起生效。
(1) 資料庫安全等級“H”之資料控管者,最晚應於2010年3月1日前開始進行安全措施系統實行之稽核。
(2) 資料庫安全等級“M”之資料控管者,最晚應於2010年12月1日前開始進行安全措施系統實行之稽核。
(3) 資料庫安全等級“L”之資料控管者,最晚應於2011年3月1日前開始進行安全措施系統實行之稽核。
