臺中市政府主管法規共用系統-法規內容-臺中市政府衛生局資訊安全事件緊急應變處理程序

法規內容

法規名稱：	臺中市政府衛生局資訊安全事件緊急應變處理程序
公發布日：	民國 100 年 04 月 22 日
發文字號：	中市衛企字第1000200212號函
法規體系：	臺中市法規/衛生類/行政規則
圖表附件：	臺中市政府衛生局資訊安全事件緊急應變作業流程.doc 臺中市政府衛生局資訊安全事件緊急應變處理程序.doc

	一、本處理程序依「行政院及所屬各機關資訊安全管理要點」及臺中市政府衛生局（以下簡稱本局）「資訊安全處理小組設置要點」訂定。
	二、本局為有效掌握資訊通訊及網路系統遭受破壞、不當使用等危安或重大災害事件，能迅速通報及緊急應變處置，並在最短時間內回復，以確保本局之正常運作，特訂定資訊安全事件緊急應變處理程序。
	三、本程序適用對象及時機： (一)適用對象：本局及各區衛生所資訊及網路系統。 (二)適用時機：本局於發生重大資訊安全事件或其他災害涉及資訊安全事件時，應立即依本程序辦理。
	四、本局設置之「資訊安全處理小組」，負責資訊安全事件緊急應變處理，並由執行秘書負責危機通報，執行幹事執行資訊安全預防、緊急應變處理等相關措施。
	五、資訊安全事件等級概分為普、中、高三級，由機關依資料保護受到損害、影響業務運作、影響法律規章遵循、人員傷亡、損害組織信譽及其他等六大影響構面，分別考量資訊系統於發生資訊安全事故時可能造成的衝擊，即衡量資訊系統資料外洩、資料遭竄改、系統故障等情事時，可能造成的後果嚴重程度，並據以評估、設定安全等級。
	六、資訊安全事件危機通報作業注意事項： (一)本局成立常態任務編組之「資訊安全處理小組」，負責執行資訊安全預防及危機通報、緊急應變處理相關措施。 (二)資訊安全事件影響層面如遇重大災害，且影響層面深廣、受損程度嚴重時（如外力入侵、破壞重大突發事件等，或水、火災、地震、天然災害等涉及資訊安全事件者），應儘速向國家資通安全應變中心危機通報分組通報。 (三)資訊安全事件危機通報作業程序如下： 1. 本局「資訊安全處理小組」於發生危安事故時，應將事件發生之事實、可能影響之範圍、損失評估、判斷支援申請、採取之應變措施等事項，立即（最遲不得超過一小時）填具「資通安全事件通報單」（如附件一），並透過上網通報至「國家資通安全應變中心」。 2. 本局如遇資訊安全事件，危及人員生命或設備遭到破壞等涉及民、刑事案件時，應即時通報檢調單位請求處理。 3. 如發生災損，有關通報單之災害損失評估內容包括如下：作業影響情況、設備或系統損害情況、作業延誤情況、資料受損項目、估算資通訊系統作業及資料回復所需時間及人員支援狀況等。
	七、資訊安全事件緊急應變作業注意事項： (一)事前建置安全防護機制： 1. 建立人員安全管理、資訊、操作管理及維護等安全機制。 2. 建立各項系統故障或中斷時之回復計畫程序。 (二)事中主動預警緊急應變：本局「資訊安全處理小組」掌握最新的資安訊息，並適時對單位內發布警告訊息及控制發展趨勢，以降低受損程度。
	八、資訊安全事件緊急應變措施如下： (一)就資訊安全危害事件之徵兆，查明事件原因、安全等級區分、判定可能影響範圍、評估可能損失、判斷是否需要支援申請等作業項目逐一檢討與處置；並保留被入侵或破壞等證據。 (二)透過衛生署全國醫療資訊網服務中心（Service Center，SC）執行即時偵防、監測預警工作時，藉由二十四小時之監測工具（如入侵偵測系統IDS等）以掌握最新的預警訊息，及獲得解決方案（如下載漏洞修補程式、解毒程式等）；或依既定之緊急應變計畫，實施災害緊急應變搶修處置（如保護、救援、回復運轉等），並持續性主動積極追蹤管制。
	九、資訊安全事件分類應變步驟如下： (一)內部危安事件：發現（或疑似）遭人為惡意破壞毀損、作業不慎等危安事件時，應迅速查明事件影響狀況、受損程度等，啟用備分資料、程式或啟動備援計畫相關措施，儘速回復正常運作。 (二)外力入侵事件： 1. 病毒感染事件：病毒入侵後，隨時掌握電腦病毒感染最新動態，隔離病毒避免疫情擴散；同時儘速取得所需病毒清除程式，並按病毒修護程序，完成病毒清除及修護復原工作。 2. 駭客攻擊（或非法入侵）事件：　　　　(1) 全面檢討網路安全措施、修補安全漏洞或修正防火牆之設定　　　　　　等具體改善補救措施，以防止類似入侵或攻擊情事再度發生。　　　 (2) 正式紀錄入侵情形、入侵統計分析及損失評估等資料，以供防護與預警之參考，並向主管機關或檢警單位提報。 3. 天然災害或重大突發事件： (1) 如遇颱風、水災、地震等天然災害或火災、爆炸、核子事故、重大建築災害等重大意外事件，應保存備份資料，以利爾後系統重置復原。 (2) 如遇資通訊網路系統骨幹（主幹頻寬）中斷事件，應立即查明障礙點、影響區間及範圍，啟動應變機制，緊急調撥備援系統，實施流量控管，執行搶修作業。
	十、事後復原追蹤鑑識偵查： (一)本局資訊安全處理小組依應變（回復）計畫，實施災後復原重建。 (二)本局資訊安全處理小組執行災後復原工作，首先檢驗資訊安全環境及硬體設備是否可以正常運作，並執行環境重建、系統復原及掃描作業，其步驟包含軟硬體設備重新取得建置、重置作業系統及應用系統，以及運轉測試等；並俟運作正常後即進行安全備份檔案下載、資料回復、資料重置等相關事宜。 (三)當危機解除後，本局資訊安全處理小組應將災害應變處置復原過程相關完整紀錄（如事件原因分析及檢討改善方案、防止類似事件再次發生之具體方案），予以建檔管制，以利爾後查考使用。 (四)本局資訊安全處理小組如有需要，應保留事件發生之線索，向技術服務中心或檢警單位申請追蹤鑑識、偵查支援，藉研析稽核紀錄或入侵活動偵測等相關資料，以釐清事件發生的原因與責任；並找出防護系統之漏洞，尋求補強保護方法，避免事件再度發生。

	一、本處理程序依「行政院及所屬各機關資訊安全管理要點」及臺中市政府衛生局（以下簡稱本局）「資訊安全處理小組設置要點」訂定。
	二、本局為有效掌握資訊通訊及網路系統遭受破壞、不當使用等危安或重大災害事件，能迅速通報及緊急應變處置，並在最短時間內回復，以確保本局之正常運作，特訂定資訊安全事件緊急應變處理程序。
	三、本程序適用對象及時機： (一)適用對象：本局及各區衛生所資訊及網路系統。 (二)適用時機：本局於發生重大資訊安全事件或其他災害涉及資訊安全事件時，應立即依本程序辦理。
	四、本局設置之「資訊安全處理小組」，負責資訊安全事件緊急應變處理，並由執行秘書負責危機通報，執行幹事執行資訊安全預防、緊急應變處理等相關措施。
	五、資訊安全事件等級概分為普、中、高三級，由機關依資料保護受到損害、影響業務運作、影響法律規章遵循、人員傷亡、損害組織信譽及其他等六大影響構面，分別考量資訊系統於發生資訊安全事故時可能造成的衝擊，即衡量資訊系統資料外洩、資料遭竄改、系統故障等情事時，可能造成的後果嚴重程度，並據以評估、設定安全等級。
	六、資訊安全事件危機通報作業注意事項： (一)本局成立常態任務編組之「資訊安全處理小組」，負責執行資訊安全預防及危機通報、緊急應變處理相關措施。 (二)資訊安全事件影響層面如遇重大災害，且影響層面深廣、受損程度嚴重時（如外力入侵、破壞重大突發事件等，或水、火災、地震、天然災害等涉及資訊安全事件者），應儘速向國家資通安全應變中心危機通報分組通報。 (三)資訊安全事件危機通報作業程序如下： 1. 本局「資訊安全處理小組」於發生危安事故時，應將事件發生之事實、可能影響之範圍、損失評估、判斷支援申請、採取之應變措施等事項，立即（最遲不得超過一小時）填具「資通安全事件通報單」（如附件一），並透過上網通報至「國家資通安全應變中心」。 2. 本局如遇資訊安全事件，危及人員生命或設備遭到破壞等涉及民、刑事案件時，應即時通報檢調單位請求處理。 3. 如發生災損，有關通報單之災害損失評估內容包括如下：作業影響情況、設備或系統損害情況、作業延誤情況、資料受損項目、估算資通訊系統作業及資料回復所需時間及人員支援狀況等。
	七、資訊安全事件緊急應變作業注意事項： (一)事前建置安全防護機制： 1. 建立人員安全管理、資訊、操作管理及維護等安全機制。 2. 建立各項系統故障或中斷時之回復計畫程序。 (二)事中主動預警緊急應變：本局「資訊安全處理小組」掌握最新的資安訊息，並適時對單位內發布警告訊息及控制發展趨勢，以降低受損程度。
	八、資訊安全事件緊急應變措施如下： (一)就資訊安全危害事件之徵兆，查明事件原因、安全等級區分、判定可能影響範圍、評估可能損失、判斷是否需要支援申請等作業項目逐一檢討與處置；並保留被入侵或破壞等證據。 (二)透過衛生署全國醫療資訊網服務中心（Service Center，SC）執行即時偵防、監測預警工作時，藉由二十四小時之監測工具（如入侵偵測系統IDS等）以掌握最新的預警訊息，及獲得解決方案（如下載漏洞修補程式、解毒程式等）；或依既定之緊急應變計畫，實施災害緊急應變搶修處置（如保護、救援、回復運轉等），並持續性主動積極追蹤管制。
	九、資訊安全事件分類應變步驟如下： (一)內部危安事件：發現（或疑似）遭人為惡意破壞毀損、作業不慎等危安事件時，應迅速查明事件影響狀況、受損程度等，啟用備分資料、程式或啟動備援計畫相關措施，儘速回復正常運作。 (二)外力入侵事件： 1. 病毒感染事件：病毒入侵後，隨時掌握電腦病毒感染最新動態，隔離病毒避免疫情擴散；同時儘速取得所需病毒清除程式，並按病毒修護程序，完成病毒清除及修護復原工作。 2. 駭客攻擊（或非法入侵）事件：　　　　(1) 全面檢討網路安全措施、修補安全漏洞或修正防火牆之設定　　　　　　等具體改善補救措施，以防止類似入侵或攻擊情事再度發生。　　　 (2) 正式紀錄入侵情形、入侵統計分析及損失評估等資料，以供防護與預警之參考，並向主管機關或檢警單位提報。 3. 天然災害或重大突發事件： (1) 如遇颱風、水災、地震等天然災害或火災、爆炸、核子事故、重大建築災害等重大意外事件，應保存備份資料，以利爾後系統重置復原。 (2) 如遇資通訊網路系統骨幹（主幹頻寬）中斷事件，應立即查明障礙點、影響區間及範圍，啟動應變機制，緊急調撥備援系統，實施流量控管，執行搶修作業。
	十、事後復原追蹤鑑識偵查： (一)本局資訊安全處理小組依應變（回復）計畫，實施災後復原重建。 (二)本局資訊安全處理小組執行災後復原工作，首先檢驗資訊安全環境及硬體設備是否可以正常運作，並執行環境重建、系統復原及掃描作業，其步驟包含軟硬體設備重新取得建置、重置作業系統及應用系統，以及運轉測試等；並俟運作正常後即進行安全備份檔案下載、資料回復、資料重置等相關事宜。 (三)當危機解除後，本局資訊安全處理小組應將災害應變處置復原過程相關完整紀錄（如事件原因分析及檢討改善方案、防止類似事件再次發生之具體方案），予以建檔管制，以利爾後查考使用。 (四)本局資訊安全處理小組如有需要，應保留事件發生之線索，向技術服務中心或檢警單位申請追蹤鑑識、偵查支援，藉研析稽核紀錄或入侵活動偵測等相關資料，以釐清事件發生的原因與責任；並找出防護系統之漏洞，尋求補強保護方法，避免事件再度發生。