您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。 跳到主要內容
:::

法律彙編

考量資訊科技的蓬勃發展,資通安全威脅與相關議題日趨複雜、多元,本中心除針對我國資安法制及相關規範進行研議外,亦持續深入研究各項新興科技與應用之資安法制與政策議題。同時,為協助公務機關及各界瞭解資安法制議題之最新趨勢與管理作法,十餘年來,本中心持續蒐整國內外資安與資訊相關案例,並從法制與管理的角度,對案例進行分析,並提出因應建議與可行作法,供機關與各界參考。

請以左右鍵切換精選案例(最左邊)、自我評量(左邊)、評量解析(右邊)、下載專區(最右邊)之頁籤

類別:資訊保護【案號:S11006】上士入侵軍用電腦竊取少校前夫兵資 從重判刑

【焦點話題】

陳姓少校發現其於部隊遭懲處之資料被邱姓男子公布於網路,軍方查知,陳姓少校前妻郭姓上士與陳男有婚姻紛爭,郭女利用陳男帳號密碼入侵軍用公務電腦,取得陳男受懲處之相關資料,交由邱男公布,檢方偵辦後,認為郭女有無故取得公務機關電腦電磁紀錄及洩漏國防以外應秘密消息犯意,依法起訴。地院則認為郭女行為恐造成軍方人員身分保密破口,對軍隊內部管理及國防秘密保護影響重大,從重以公務員利用職務上機會,無故取得公務機關電腦電磁紀錄罪論處。

【參考資料來源:自由時報,109/12/27】

【重點摘要】

  1. 公務員因職務之便利,侵入電腦並洩漏或交付關於中華民國國防以外應秘密之文書、圖畫、消息或物品者,可能違反包括刑法洩漏國防以外之秘密罪,以及公務員利用職務上機會,無故取得公務機關電腦電磁紀錄罪等罪名,並應從重依無故取得公務機關電腦電磁紀錄罪論斷。
  2. 資料儲存於資通系統內,於判斷資通系統所需之控制措施時,可依資通安全責任等級分級辦法附表九之資通系統防護需求分級原則,以機密性、完整性、可用性與法規遵循性作為判斷標準,區分其防護需求等級,再參考附表十之資通系統防護基準判斷所需進行之控制措施。

【法律觀點】

公務人員若利用職務之便利,未經授權進入公務機關電腦,取得電磁紀錄,或有洩漏、交付國防以外應秘密之文書、圖畫、消息或物品之情形者,可能違反刑法第358條[1]、第359條[2]、第132條[3]等罪名,以處罰最重之第359條來說,最高可處5年以下有期徒刑,亦可併科60萬以下罰金;如一行為同時觸犯上述數罪名而從重處斷時,即應論以第359條之罪。

本案中,郭女利用其身分職務之便,利用陳男之帳號密碼無故入侵公務電腦後並取得其資料,即屬刑法第358條規定之「無故輸入他人帳號密碼…而入侵他人之電腦或其相關設備者」;其入侵後並洩漏陳男電子資料予他人,致生損害於陳男及公務機關對於資訊管控之機密安全性,則可能進一步構成刑法第132條之「公務員洩漏或交付關於中華民國國防以外應秘密之文書」,及第359條規定之「無故取得…他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人」之情形。

【管理Tips】

公務人員或一般民眾因職務之便所導致之資料洩漏事件時有所聞,資通安全責任等級分級辦法對於系統之防護規定則可參考作為管理控制之手段。除資安法之納管對象以及具備自行或委外開發資通系統者外,組織亦可參照該辦法附表九之資通系統防護需求分級原則,以機密性、完整性、可用性與法規遵循性之防護需求等級作為判斷標準,區分系統防護需求等級,再依附表十之資通系統防護基準判斷所需進行之控制措施,藉以開列系統開發或採購時之需求。以身分驗證一項來說,採用多重認證技術,即可更有效降低假借他人密碼即可登入系統之情形。

【相關標準】 

ISO 27001:2013(CNS 27001)

  1. A.8.2.1  資訊之分級
  1. 標準內容:
資訊應依法律要求、價值、重要性急對未經授權揭露或修改之敏感性分級。
  1. 適用說明:
資訊分級應考量限制資訊之營運需要,而組織在考量資訊安全之資訊分級時,可參考資通安全責任等級分級辦法,透過機密性、完整性、可用性以及法規遵循性加以分級,並給予適當保護。

ISO 27001:2013(CNS 27001)

  1. A.9.4.1 資訊存取限制
  1. 標準內容:
應依存取控制政策,限制對資訊及應用系統功能之存取。  
  1. 適用說明:
組織應規範並落實各資通系統之不同使用權限,就各該系統僅允許具使用權之使用者進行系統登入存取。  
關鍵字 刑法、資通安全責任等級分級辦法、資料機密性
       
類別:資訊保護【案號:S11007】美國FCC禁華為、中興等中企產品

【焦點話題】

美國聯邦傳播委員會(Federal Communications Commission, FCC)將5家中國企業列入國安威脅清單。FCC於2021年3月列出「對國家安全構成威脅的通信設備和服務清單」,禁止接受聯邦政府補貼、資助之網路營運商購買該清單上公司生產之設備與器材,並呼籲未接受聯邦政府資金之營運商將所有不受信任電信設備排除在美國市場之外。當時該清單上有5家中國企業,包含:華為、中興通訊、海能達通信、杭州海康威視及浙江大華技術。FCC代理主席羅森沃賽爾表示不安全的網路設備可能會破壞美國5G網絡發展,使外國行為者能夠獲取通訊內容、在網路植入病毒和惡意軟體、竊取私人資訊、從事智財權盜竊以及監視公司與政府機構等惡意活動。

【參考資料來源:新頭殼,110/06/18】

【重點摘要】

  1. 政府或民間在採購資通訊設備時,應留意避免使用來自受敵意勢力控制之公司所生產之產品。

【法律觀點】

政府或民間企業之資通設備及服務,若由不受信任之供應商或敵意勢力所控制,該供應商或敵意勢力很可能藉以破壞我國網路安全、竊取個人資訊、進行間諜活動、網路攻擊破壞關鍵基礎設施等。因此美國於2021年3月12日所列出之「對國家安全構成威脅的通信設備和服務清單」,認定含華為、中興通訊、海康威視、海能達和浙江大華等五家中國企業[4]對於美國國家安全和公民安全構成不可接受之風險。

就我國而言,為達維護資通安全之目的,政府或民間在採購及使用資通訊技術設備及服務[5]時,為避免公務及機敏資料遭不當竊取,導致機關機敏資訊外洩或造成國家資通安全危害風險,組織應落實資產盤點、對供應商之可靠性進行評估。尤其受資通安全管理法所規範之機關,更應落實採購安全來源之資通產品,以維護機關資通安全。

【管理TIPS】

在採購資通安全產品時,應對供應商之可靠性進行評估,落實採購安全來源之資通產品,以維護機關資通安全。

政府單位在採購資通安全產品時,可將下列事項納入考量範圍,以避免採購到具資安風險之非本國產品[6]

  1. 是否屬國內研發、設計或製造之產品(含硬體及軟體產品)。
  2. 是否為具我國國籍之自然人或依我國法律設立登記之法人、機構或團體在國內提供之服務,且在臺附加價值率達百分之三十五者。
  3. 是否為我國政府電子採購網共同供應契約中原產地標示為臺灣之資通安全產品。

【相關標準】 

ISO 27001:2013(CNS 27001)

  1. A.18.1.1 適用之法規及契約的要求事項之識別
  1. 標準內容:
對每個資訊系統及組織,應明確識別、文件化及保持更新所有法律、法令、法規及契約要求事項,以及組織未符合此等要求之作法。
  1. 適用說明:
當組織屬於中央與地方機關(構)、公立學校、公營事業及行政法人時,應依照政府採購之相關規範進行選商,並進行後續管理。

ISO 27001:2013(CNS 27001)

  1. A. 15.1.3 資訊及通訊技術供應鏈
  1. 標準內容:
與供應者之協議,應包含因應與資訊及通訊技術服務及產品供應相關聯之資訊安全風險的要求事項。
  1. 適用說明:
組織在進行外部採購時,除應以合約議定相關基礎事項外,協議亦應將資訊安全風險要求事項納入。且應對供應鏈是否具備滿足需求之必要條件且可信賴,進行相對應的背景調查,以降低其不適用之風險。

 

關鍵字 資通安全自主產品採購原則
類別:資訊保護【案號:S11008】假網站釣個資銀行用戶遭詐

【焦點話題】

近期傳出數起假冒銀行簡訊之詐騙案件,在誘導民眾點入假頁面輸入帳戶資訊後,再持竊取之帳密資料登入真實銀行頁面,將款項轉出。

主管機關提醒,民眾使用網路銀行及行動銀行比率上升,對近期發生的新詐騙手法,提醒民眾務必注意資訊安全。

主管機關說明,近期傳出詐騙個案,銀行都已在第一時間做出相應處理,受害民眾已向警政單位報案,全案進入調查程序,主管機關並已提醒銀行在官網、網路銀行及行動銀行介面強化客戶交易安全宣導,並應主動提醒客戶不要點選不明簡訊連結,銀行若發現假冒網站,也應立刻通知警政單位。

【參考資料來源:中央通訊社,110/02/09】

【重點摘要】

  1. 以詐術之不正手法,使第三人誤信簡訊內容為銀行所寄發之資料而輸入個人資料,並於取得受害人資料進而利用已取得受害人銀行帳戶之財產,可能觸犯刑法第339-3條第1項不正利用電腦或其相關設備取財罪。
  2. 金融資安行動方案提出強化資安監理、深化資安治理、精實金融韌性及發揮資安聯防等四大予資安相關之策勵方向,並據此提列36項執行措施,並以此方向修訂資安自律規範,使金融機構有所遵循。

【法律觀點】

本案係民眾收到詐騙簡訊,對方假冒金融機構於簡訊中提供假網站之超連結,使民眾誤認所連結之網頁係銀行所有,進而主動輸入其銀行之帳號及密碼,當對方取得其銀行之帳號及密碼後,遂利用相關資訊侵入民眾銀行帳戶,此係犯罪者利用社交工程攻擊藉以入侵他人電腦、帳戶等行為,已觸犯刑法第358條[7]無故入侵他人電腦罪。同時,犯罪者意圖為自己不法之所有,利用從民眾騙取而來之網路銀行帳號及密碼,轉出受害民眾帳戶內之財產,則觸犯刑法第339之3條第1項[8]不正利用電腦或其相關設備取財罪,上開二罪最重可處七年以下有期徒刑。

另,依個人資料保護法第27條之規定,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏[9],且中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法[10],非公務機關應予遵行。

今金融中央目的事業主管機關為金融監督管理委員會,其已針對:金融控股公司、銀行業、證券業、期貨業、保險業、電子票證業、電子支付機構、其他經金融監督管理委員會公告之金融服務業、金融監督管理委員會主管之財團法人等九類非公務機關[11],規定應依其業務規模及特性,衡酌經營資源之合理分配,配置管理人員及資源,以規劃、訂定、修正與執行其個人資料檔案安全維護計畫及業務終止後個人資料處理方法。

隨著資安威脅日益嚴峻,金融主管機關為各金融機構及公會之資安防護訂定金融資安行動方案,作為各金融機構及公會檢討資安策略、管理制度及防護技術等遵循之指引[12]

金融資安行動方案中多項執行措施係參考資通安全管理法及其相關子法,包括就資通系統訂定防護基準分級管理;就資通訊環境訂定並要求政府機關導入組態基準,以及因應資訊系統委外風險於防護基準納入系統發展生命週期管理各階段控制措施[13];委外辦理資通訊系統之建置、維運或資通服務之提供,於選任及監督受託者時應注意事項[14];要求機關應導入資通安全管理標準,並透過第三方獨立機構驗證資安管理之有效性[15];引導金融機構重視資安人員之資格能力等事項,均係參考資通安全管理法進行調整[16]

除此之外,金融資安行動方案亦要求一定規模金融機構或純網銀設置資安長,並由副總經理兼任之[17],並鼓勵金融機構建置資安監控機制,且透過資安攻防演練以實證其因應攻擊之防禦能量與應變能力[18]。更建立資安情資關聯分析平台[19],提供金融機構早期預警與防護建議,另透過建立金融資安事件應變體系[20],以有效因應資安事件,並發揮資安聯防的功能。

【管理Tips】

面對社交工程可由兩種角度加以觀察,第一,就組織角度而言,組織應對權限加以分級控管,非屬各單位執掌之事務,不應掌握帳號、密碼等特殊權限;安裝防毒軟體,設定個人防火牆,並定期更新病毒碼;針對電腦系統及應用程式隨時更新修補程式;強制設定安全密碼;判定資料等級並予以加密,且可定期辦理社交工程演練[21]。第二,就個人角度而言,應隨時具備危機意識,對於不明來源之可疑電子郵件不予開啟;再次確認訊息來源確為可信任之通知人始可開啟點閱,檢視後仍須保持警覺並勿輕易點擊連結網址或下載檔案;如有下載檔案必要,先將附件檔案另存新檔並以防毒軟體掃描;如有疑似社交工程之行為,應立即回報相關管理單位,並進行事件記錄。

【相關標準】  

ISO 27001:2013(CNS 27001)

  1. A. 6.1.3 與權責機關之聯繫
  1. 標準內容:
應維持與相關權責機關之適切聯繫。
  1. 適用說明:
組織針對與資安相關事項,均應有與權責主管機關聯繫之管道,透過積極溝通,或可得到包括資安情資分享,提供金融機構早期預警與防護建議。

ISO 27001:2013(CNS 27001)

  1. A. 16.1.1 責任及程序
  1. 標準內容:
應建立管理責任及程序,以確保對資訊安全事故做迅速、有效及有序之回應。
  1. 適用說明:
組織應建立自身的對應程序,並以確保資通安全事故發生時,組織人員能依循該文件化的程序進行後續處理。

ISO 27001:2013(CNS 27001)

  1. A. 16.1.2 通報資訊安全事件
  1. 標準內容:
應循適切之管理管道,儘速通報資訊安全事件。
  1. 適用說明:
公務機關與特定非公務機關於資通安全事件發生時,負有通報主管機關或目的事業主管機關之義務,且該通報應依資通安全事件通報及應變辦法加以處理。

 

關鍵字 個資洩漏、金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法、金融資安行動方案
類別:資訊保護【案號:S11009】中國駭客疑似鎖定我國重要機關組織 須嚴加防範

【焦點話題】

根據美國資安威脅資料分析公司Recorded Future在7月8日所發布之消息,疑似由中國政府資助之駭客攻擊組織(Threat Activity Group 22, TAG-22)利用GlassFish伺服器軟體的漏洞,部署Cobalt Strike類型滲透測試工具,後續再透過植入ShadowPad、Spyder、Winnti等惡意軟體來進行控管、攻擊。而Recorded Future公司旗下的Insikt Group團隊,基於網路流量資料分析結果,找到TAG-22入侵活動鎖定之具體目標,其中即包含我國某財團法人。依據該發布消息所揭露之部分,該財團法人尚未受到實質侵害,而其亦表示,其資安小組將持續關注此案發展,嚴密監控內部資安環境與資安控管,並持續滾動式調整,以保護重要資產資訊安全[22]

【參考資料來源:iThome新聞,110/7/11】

【重點摘要】

  1. 境外駭客攻擊我國企業或法人團體網路或電腦系統的行為,可能構成刑法第358條與營業秘密法第13-1條等罪,而企業或法人團體得藉由依循或參考資通安全管理法第17條第1項、資通安全管理法施行細則第6條與資通安全責任等級分級辦法附表十之資通系統防護基準等相關防護及控制措施,防免該等攻擊行為。
  2. 為防範境外駭客攻擊,應建立資通安全完整防護機制、定期進行各種惡意活動檢視、弱點檢測與滲透測試,以及相關社交工程演練。

【法律觀點】

關於本案境外駭客攻擊我國企業或法人團體網路或電腦系統之行為,可自下列幾個部分判斷可能適用之法律為何。

本案利用GlassFish伺服器軟體的漏洞,部署Cobalt Strike類型滲透測試工具入侵的行為,雖尚未成功竊取資料,但仍有可能構成刑法第358條無故破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者之罪。

依據該分析消息指出,該攻擊活動很有可能是針對某財團法人所進行相關高科技研發之成果。如該等研發之成果,符合營業秘密之要件(即具有秘密性與經濟價值性並已採取合理保密措施)而可能為營業秘密時[23],若遭駭客竊取,則該竊取行為將可能構成營業秘密法第13-1條竊取營業秘密罪[24]。且由於該駭客組織疑似來自於大陸地區,如後續將竊取所得之營業秘密用於大陸地區,另應適用營業秘密法第13-2條之加重處罰規定[25]

而本案財團法人屬於政府捐助之財團法人,即為資安管理法所規範之特定非公務機關,因此在資安相關法令義務,除依據資通安全管理法第17條第1項[26]與資通安全管理法施行細則第6條[27],訂定包括資通安全防護及控制措施,與資通安全事件應變機制在內之資通安全維護計畫外,尚應依據資通安全責任等級分級辦法附表十之資通系統防護基準,定期確認資通系統之相關漏洞並加以修復,或監控資通系統,以偵測相關攻擊與未授權之連線。透過相關安全防護措施的控管,降低遭到駭客成功攻擊之風險。

【管理Tips】

本案除利用伺服器漏洞加以攻擊,並透過特製後門程式作為長期存取目標的手段,更進一步會透過假檔名的方式,將惡意程式的執行檔偽裝成履歷文件的Office文件檔案,引誘接收者開啟,進而滲透遭受攻擊的單位[28]。在管理上可採取下列方式,因應上述攻擊行為:

  1. 建置資通安全完整防護機制,包含防毒軟體、網路防火牆、應用程式防火牆、入侵偵測及防禦機制、進階持續性威脅攻擊防禦措施,持續防範可能的惡意程式攻擊。
  2. 為即時發現可能的攻擊行為,定期進行網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢視等,如有對外網站或核心資通系統,並定期辦理網站安全弱點檢測與系統滲透測試。當發現高風險弱點時,應即時修復。
  3. 為避免遭到偽裝的檔案攻擊,應定期執行社交工程宣導、教育訓練及演練,分享最新社交工程案例。

【相關標準】  

ISO 27001:2013(CNS 27001)

  1. A.7.2.2 資訊安全認知、教育及訓練
  1. 標準內容:
組織所有員工及相關之承包者,均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練,並定期更新。
  1. 適用說明:
機關或組織應提供適當的教育訓練,使同仁均了解常見的入侵手法,例如惡意程式可能偽裝於工作文件或信件內,避免因誤開啟而遭受攻擊。

ISO 27001:2013(CNS 27001)

  1. A. 12.2.1 防範惡意軟體之控制措施
  1. 標準內容:
應實作防範惡意軟體之偵測、預防及復原控制措施,並合併適切之使用者認知。
  1. 適用說明:
應部署惡意程式防護軟體,對於偽裝文件所包含的惡意程式可加強防護,即便偽裝文件被開啟,仍可即時攔截或避免重要系統被攻擊。

ISO 27001:2013(CNS 27001)

  1. A.12.6.1  技術脆弱性管理
  1. 標準內容:
應及時取得關於使用中之資訊系統的技術脆弱性資訊,並應評估組織對此等脆弱性之暴露,且應採取適當措施以因應相關風險。
  1. 適用說明:
對組織系統定期弱點偵測或透過流量監控,預防可能的攻擊,如本案中Recorded Future結合被動的DNS資料,以及敵對C2偵測手法,以此探查Winnti、ShadowPad、Spyder等後門程式動態。並基於網路流量資料分析結果,能找到TAG-22入侵活動鎖定的具體目標。
關鍵字 境外駭客攻擊、營業秘密、定期漏洞掃描、紅隊模擬測試工具  
       
類別:資訊保護【案號:S11010】美國NASCIO發布採購指引整合資安需求
【焦點話題】

美國州際資安長協會(National Association of State Chief Information Officers, NASCIO)於2021年4月發布了將資安整合於採購程序之指引[29]。考量多數的IT採購都在最後階段才讓資安部門加入評估,提供資安保護的程度十分有限,因此本指引強烈建議將從採購最初階段便應納入資安評估,使其成為整體採購程序之一環。本指引特別指出在IT環境中,設備或系統使用者需適當地使用與保護相關資源,而管理者必須妥善管理,資安團隊應定義並監控相關系統,最後採購部門負責人員應將安全性納入採購程序考量,並依此產出相關契約。

【參考資料來源:StateTech,110/5/21】

【重點摘要】

  1. 進行資訊設備採購之機關,除得依政府採購法授權之辦法於招標文件內就廠商資格訂定限制條件以維護採購時之資安需求外,並應依據行政院相關函令,對於可能導致機敏公務資訊外洩或造成資通安全危害風險之資通訊產品進行妥善的評估與管理,包括不與公務環境介接,並進行汰換等。
  2. 對於資訊設備或系統之採購,應於採購初期便納入資安考量,並由各個利害關係人組成共同團隊為之,以降低後續所產生之資安風險。可採用的優良實務做法如對採購過程之參與者,進行資安重要性與潛在的風險之教育、以契約要求供應商採用符合需求程度的資安措施、定期審核供應商之資安水準等。

【法律觀點】

目前各國已開始注意到供應鏈之安全性風險問題。為全面性掌握採購之風險,2021年2月拜登總統簽署了14017號「保障美國的關鍵供應鏈」行政命令[30],該行政命令要求聯邦政府各機關應對各該領域之關鍵產業提出風險識別報告與風險處理建議政策,以確保美國之供應鏈不受干擾。如商務部對應半導體製造與先進封裝供應鏈、能源部對應高容量電池與電動車電池供應鏈、衛生及公共服務部對應藥物與活性藥物成分供應鏈等。

而我國目前關於政府機關採購資訊產品之資安相關規定,首先,政府採購法第17條第4項規定:「機關辦理涉及國家安全之採購,有對我國或外國廠商資格訂定限制條件之必要者,其限制條件及審查相關作業事項之辦法,由主管機關會商相關目的事業主管機關定之。」行政院公共工程委員會基於此一授權,發布了「機關辦理涉及國家安全採購之廠商資格限制條件及審查作業辦法」,使採購機關得於招標文件內就廠商資格訂定限制條件,限制投標廠商之國籍或其股東國籍或資金來源。又,依行政院臺護長字第1090201804A號函,要求公務機關使用資通訊產品之原則如下:(一)公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體。(二)個人資通訊設備不得處理公務事務,亦不得與公務環境介接。(三)各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理,且不得與公務環境介接。此外,並應儘速完成汰換所使用或採購大陸廠牌資通訊產品(含硬體、軟體及服務)作業。因此為維護機關的供應鏈安全,從採購、使用與管理都有更多需要機關注意及落實的部分。

【管理Tips】

除以法令明文禁止採購標的外,亦可參考前述美國相關指引中所述,成功的大規模科技採購,需要各部門的專業知識與共同投入,相關角色應包括:請購單位的代表人、資訊長辦公室、資安長辦公室、技術專家、風險管理專員(含隱私管理專員)、法律顧問與採購專員等。而此種類型採購應以專案管理方式為之,而非視為傳統單一採購案,並建立專案人員之角色與專案目標,以及應於專案中進行相關風險之評估與處理。

而具體作法方面,該指引建議各州政府在整合採購與資安時,可落實下列作法:

  1. 採購程序設計方面
    在採購程序初始即納入資安考量並規劃其預算,並確保採購程序與政府資安標準與架構的一致性。
  2. 採購合約規定方面
    在採購合約中要求供應商或承包商提供其符合政府資安實際措施的證明,透過契約條款與專案管理規劃與執行,建立嚴格的第三方(供應商)的評估與問責體系。並能建立相關流程可定期監督已在合約關係中之第三方所採取之安全措施。
  3. 風險管理方面
    密切注意供應鏈風險管理,實施採購目標供應鏈風險評估以辨識並減低供應鏈風險。透過市場調查以辨識風險、企業趨勢與採購最佳實務做法。基於風險考量來磋商契約條款,盡可能保持彈性。並應關注政府命令或指引已禁用之產品或軟體。
  4. 教育訓練方面
    教育各利害關係人確保其了解資安的概念、優先性與目標等,並教育採購單位與使用單位關於政府採行的風險評估與處理框架,此外也培育預算單位認知關於資安的重要性與潛藏之風險。

 

此外,技服中心所發布之「政府資訊作業委外資安參考指引」[31],依照資訊委外生命週期,從計畫作業階段、招標階段、決標階段、履約管理階段、驗收階段、保固作業階段,亦有相關建議可供參考利用。

【相關標準】  

ISO 27001:2013(CNS 27001)

  1. A. 7.2.2 資訊安全認知、教育及訓練
  1. 標準內容:
組織所有員工及相關之承包者,均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練,並定期更新。
  1. 適用說明:
應教育資訊設備或系統之採購、預算、使用單位與利害關係人,關於採購過程中資安之重要性,以及相關風險管理程序。

ISO 27001:2013(CNS 27001)

  1. A. 15.1.3 資訊及通訊技術供應鏈
  1. 標準內容:
與供應者之協議,應包含因應與資訊及通訊技術服務及產品供應鏈關聯之資訊安全風險。
  1. 適用說明:
在採購合約中,應要求供應商證明其安全性,並要求其接受管控或定期稽核,同時應納入風險考量訂定契約條款。

ISO 27001:2013(CNS 27001)

  1. A. 12.6.1 供應者服務之監視及審查
  1. 標準內容:
組織應定期監視、審查及稽核供應者服務交付。
  1. 適用說明:
應建立相關流程,以定期監督設備與服務供應商之資安措施或產品標準。

 

關鍵字 IT採購、資訊採購、供應商監督、資安採購標準

[1] 刑法第358條:「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。」

[2] 刑法第359條:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」

[3] 刑法第132條第1項:「公務員洩漏或交付關於中華民國國防以外應秘密之文書、圖畫、消息或物品者,處三年以下有期徒刑。」

[4] PUBLIC SAFETY AND HOMELAND SECURITY BUREAU ANNOUNCES PUBLICATION OF THE LIST OF EQUIPMENT AND SERVICES COVERED BY SECTION 2 OF THE SECURE NETWORKS ACT (網址:https://docs.fcc.gov/public/attachments/DA-21-309A1.pdf ,最後瀏覽日:110年8月25日)

[5] 資通安全管理法第3條第1、2款:「一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務」

[6] 資通安全自主產品採購原則二。

[7] 刑法第358條:「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。」

[8]刑法第339之3條第1項:「意圖為自己或第三人不法之所有,以不正方法將虛偽資料或不正指令輸入電腦或其相關設備,製作財產權之得喪、變更記錄,而取得他人財產者,處七年以下有期徒刑。」

[9] 個人資料保護法第27條第1項。

[10] 個人資料保護法第27條第2項。

[11] 金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法第2條第1項。

[12] 金管會推動「金融資安行動方案」,追求安全便利不中斷的金融服務目標 (網址:

https://www.fsc.gov.tw/ch/home.jspid=96&parentpath=0,2&mcustomize=news_view.jsp&dataserno=202008060003&aplistdn=ou=news,ou=multisite,ou=chinese,ou=ap_root,o=fsc,c=tw&dtable=News ,最後瀏覽日110年11月1日)

[13] 金融資安行動方案執行措施彙總表2.1說明。

[14] 金融資安行動方案執行措施彙總表2.3說明。

[15] 金融資安行動方案執行措施彙總表5.1說明。

[16] 金融資安行動方案執行措施彙總表7.1說明。

[17] 金融資安行動方案執行措施彙總表1.1(1),事實上,此部份亦參考資通安全管理法第11條規定,惟該法第11條係針對公務機關,對特定非公務機關並無強制要求設置資安長。

[18] 金融資安行動方案執行措施彙總表9.1。

[19] 金融資安行動方案執行措施彙總表 11.1。

[20] 金融資安行動方案執行措施彙總表12。

[21] 資通安全事件通報及應變辦法第18條:「公務機關應配合主管機關規劃、辦理之資通安全演練作業,其內容得包括下列項目:一、社交工程演練。二、資通安全事件通報及應變演練。三、網路攻防演練。四、情境演練。五、其他必要之演練。」

[22] 遭中國駭客鎖定?工研院:資安小組已嚴控資訊安全(網址:https://ec.ltn.com.tw/article/breakingnews/3599163 ,最後瀏覽日:110年9月1日)

[23] 營業秘密法第2條:「本法所稱營業秘密,係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,而符合左列要件者:一、非一般涉及該類資訊之人所知者。二、因其秘密性而具有實際或潛在之經濟價值者。三、所有人已採取合理之保密措施者。」

[24] 營業秘密法第13-1條:「意圖為自己或第三人不法之利益,或損害營業秘密所有人之利益,而有下列情形之一,處五年以下有期徒刑或拘役,得併科新臺幣一百萬元以上一千萬元以下罰金:一、以竊取、侵占、詐術、脅迫、擅自重製或其他不正方法而取得營業秘密,或取得後進而使用、洩漏者。」

[25] 營業秘密法第13-2條:「意圖在外國、大陸地區、香港或澳門使用,而犯前條第一項各款之罪者,處一年以上十年以下有期徒刑,得併科新臺幣三百萬元以上五千萬元以下之罰金。」

[26] 資通安全管理法第17條:「關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。」

[27] 資通安全管理法施行細則第6條:「本法第十條、第十六條第二項及第十七條第一項所定資通安全維護計畫,應包括下列事項:…八、資通安全防護及控制措施。九、資通安全事件通報、應變及演練相關機制。…」

[28] Recorded Future, Chinese State-Sponsored Activity Group TAG-22 Targets Nepal, the Philippines, and Taiwan Using Winnti and Other Tooling(網址: https://www.recordedfuture.com/chinese-group-tag-22-targets-nepal-philippines-taiwan/,最後瀏覽日:110年9月6日)

[29] NASCIO, (網址: https://www.nascio.org/wp-content/uploads/2021/04/NASCIO_NASPO_CIS_CybersecurityAquisition_2021.pdf,最後瀏覽日:110年9月16日)

[30] White House Briefing Room, Executive Order on America’s Supply Chains, (網址: https://www.whitehouse.gov/briefing-room/presidential-actions/2021/02/24/executive-order-on-americas-supply-chains/,最後瀏覽日:110年9月21日)

[31] 技服中心,網址:https://www.nccst.nat.gov.tw/CommonSpecification?lang=zh(最後瀏覽日:110年10月29日)

自我評量

是非題:(每題十分)

  1. ( ) 如我國公務員因職務或業務知悉或持有我國國防以外應秘密之文書、圖畫、消息或物品且進而洩漏或交付,將構成刑法公務員洩漏國防以外秘密罪。【資訊保護S11006】
  2. ( ) 公務機關使用資通訊產品時,宜審慎評估產品之來源。【資訊保護S11007】
  3. ( ) 金融資安行動方案提出金融改革與便民服務為主軸之四大精進方向。【資訊保護S11008】
  4. ( ) 非一般涉及該類資訊之人所知之方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊為營業秘密之範疇。【資訊保護S11009】
  5. ( ) 各機關應依照分級辦法所分類的資通安全等級A級至E級的公務與非公務機關,在管理面、技術面、認知與訓練面,應當依照該辦法附表一至附表八規定之事項辦理。【資訊保護S11010】

選擇題:(每題十分)

  1. ( ) 請問下列何者行為未涉及犯罪?(1)傳送不明連結之簡訊後入侵他人手機致使其個資外洩。(2)藉由隨機寄送含病毒電子郵件入侵他人電腦並竄改其檔案。(3)開啟Wifi供人使用。(4)入侵校園考試系統取得學生成績資料。資訊保護S11006
  2. ( ) 政府機關採購資通安全產品宜考量之內容,下列何者錯誤?(1)資通安全產品是否有共同供應契約可供訂購。(2)評估供應商之可靠性。(3)宜採購大陸廠牌之產品。(4)政府採購法相關規定。【資訊保護S11007
  3. ( ) 請問關於個人資料保護法下列何者內容為非?(1)非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。(2)中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。(3)非公務機關之個人資料檔案安全維護計畫及處理方法之標準等相關事項之辦法,由各機關依其機關特性定之。(4)前項所稱之適當之安全措施應依個人資料保護法施行細則第12條第二項內容訂之。【資訊保護S11008
  4. ( ) 請問下列何種情形下違反營業秘密法之規定?(1)以竊取、侵占、詐術、脅迫、擅自重製或其他不正方法而取得營業秘密,或取得後進而使用、洩漏者。(2)知悉或持有營業秘密,未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密者。(3)持有營業秘密,經營業秘密所有人告知應刪除、銷毀後,不為刪除、銷毀或隱匿該營業秘密者。(4)以上皆是。【資訊保護S11009
  5. ( ) 下列敘述何者錯誤?(1)依美國州資安長協會之建議,採購應從最初階段便納入資安評估。(2)進行資安評估時,宜由各利害關係人組成共同團隊為之,以利降低資安風險。(3)進行資安評估時,宜由各利害關係人組成共同團隊為之,以利降低採購成本。(4)美國總統拜登已簽署關於供應鏈資安之行政命令,以確保美國之供應鏈不受干擾,我國亦宜強化供應鏈資安。【資訊保護S11010

評量解析

是非題:(每題十分)

  1. (O) 如我國公務員因職務或業務知悉或持有我國國防以外應秘密之文書、圖畫、消息或物品且進而洩漏或交付,將構成刑法公務員洩漏國防以外秘密罪。【資訊保護S11006】

解析:根據刑法第132條規定:「公務員洩漏或交付關於中華民國國防以外應秘密之文書、圖畫、消息或物品者,處三年以下有期徒刑。因過失犯前項之罪者,處一年以下有期徒刑、拘役或九千元以下罰金。」故答案為正確。

  1. (O) 公務機關使用資通訊產品時,宜審慎評估產品之來源。【資訊保護S11007】

解析:為避免公務及機敏資料遭不當竊取,導致機關機敏資訊外洩或造成國家資通安全危害風險,公務機關之資通設備及服務,宜採用受信任之供應商或非敵意勢力所控制者,並避免採購具資安風險之產品。故答案為正確。

  1. (X) 金融資安行動方案提出金融改革與便民服務為主軸之四大精進方向。【資訊保護S11008】

解析:依照金管會推動「金融資安行動方案」,金融資安行動方案係提出強化資安監理、深化資安治理、精實金融韌性及發揮資安聯防等四大策勵方向,據此提列36項執行措施,並以此方向修訂資安自律規範,使金融機構有所遵循,故答案為錯誤。

  1. (O) 非一般涉及該類資訊之人所知之方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊為營業秘密之範疇。【資訊保護S11009】

解析:依照營業秘密法第2條規定:「本法所稱營業秘密,係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,而符合左列要件者:一、非一般涉及該類資訊之人所知者。二、因其秘密性而具有實際或潛在之經濟價值者。三、所有人已採取合理之保密措施者。」故答案為正確。

  1. (O) 各機關應依照分級辦法所分類的資通安全等級A級至E級的公務與非公務機關,在管理面、技術面、認知與訓練面,應當依照該辦法附表一至附表八規定之事項辦理。【資訊保護S11010】

解析:依照資通安全責任等級分級辦法第11條規定:「各機關應依其資通安全責任等級,辦理附表一至附表八之事項。」而附表一至附表八中,資通安全等級A級到C級分公務機關及特定非公務機關,各有不同應辦事項,則等級D級與E級為各機關適用之應辦事項,故答案為正確。

選擇題:(每題十分)

  1. (3) 請問下列何者行為未涉及犯罪?(1)傳送不明連結之簡訊後入侵他人手機致使其個資外洩。(2)藉由隨機寄送含病毒電子郵件入侵他人電腦並竄改其檔案。(3)開啟Wifi供人使用。(4)入侵校園考試系統取得學生成績資料。資訊保護S11006
  2. 解析:依照刑法第359條規定:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」選項(1)、(2)、(4)均係違反刑法第359條之行為,故選項(3)為正確答案。

  3. (3) 政府機關採購資通安全產品宜考量之內容,下列何者錯誤?(1)資通安全產品是否有共同供應契約可供訂購。(2)評估供應商之可靠性。(3)宜採購大陸廠牌之產品。(4)政府採購法相關規定。【資訊保護S11007
  4. 解析:考量資安即國安之政策方向,政府之資通設備及服務,若由不受信任之供應商或敵意勢力所控制,該供應商或外國勢力很可能藉以破壞我國網路安全、竊取資訊、進行間諜活動、網路攻擊破壞關鍵基礎設施等,故不宜採購大陸廠牌之產品。選項(3)為錯誤。

  5. (3) 請問關於個人資料保護法下列何者內容為非?(1)非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。(2)中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。(3)非公務機關之個人資料檔案安全維護計畫及處理方法之標準等相關事項之辦法,由各機關依其機關特性定之。(4)前項所稱之適當之安全措施應依個人資料保護法施行細則第12條第二項內容訂之。【資訊保護S11008
  6. 解析:依照個人資料保護法第27條規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。  中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。  前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。」;個人資料保護法施行細則第12條第一項:「本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。」非公務機關之個人資料檔案安全維護計畫及處理方法之標準等相關事項之辦法,應由中央目的事業主管機關定之,故選項(3)為錯誤。

  7. (4) 請問下列何種情形下違反營業秘密法之規定?(1)以竊取、侵占、詐術、脅迫、擅自重製或其他不正方法而取得營業秘密,或取得後進而使用、洩漏者。(2)知悉或持有營業秘密,未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密者。(3)持有營業秘密,經營業秘密所有人告知應刪除、銷毀後,不為刪除、銷毀或隱匿該營業秘密者。(4)以上皆是。【資訊保護S11009
  8. 解析:依照營業秘密法第13-1條第1項規定:「資意圖為自己或第三人不法之利益,或損害營業秘密所有人之利益,而有下列情形之一,處五年以下有期徒刑或拘役,得併科新臺幣一百萬元以上一千萬元以下罰金:一、以竊取、侵占、詐術、脅迫、擅自重製或其他不正方法而取得營業秘密,或取得後進而使用、洩漏者。二、知悉或持有營業秘密,未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密者。三、持有營業秘密,經營業秘密所有人告知應刪除、銷毀後,不為刪除、銷毀或隱匿該營業秘密者。四、明知他人知悉或持有之營業秘密有前三款所定情形,而取得、使用或洩漏者。」選項(1)(2)(3)為正確,故選擇選項(4)。

  9. (3) 下列敘述何者錯誤?(1)依美國州資安長協會之建議,採購應從最初階段便納入資安評估。(2)進行資安評估時,宜由各利害關係人組成共同團隊為之,以利降低資安風險。(3)進行資安評估時,宜由各利害關係人組成共同團隊為之,以利降低採購成本。(4)美國總統拜登已簽署關於供應鏈資安之行政命令,以確保美國之供應鏈不受干擾,我國亦宜強化供應鏈資安。【資訊保護S11010
  10. 解析:有關宜由相關利害關係人進行資安評估,主要係為確保各層面之風險均受到考量,而非以降低採購成本為出發點。故選項(3)為錯誤。

 

自我評量檢測成果評分說明

得分

溫馨提醒

100分

資安小博士非您莫屬

80分~90分

小粗心,別灰心

60分~70分

釐清觀念,滿分到手

40分~50分

再接再厲,繼續努力

20分~30分

牛刀小試,再來一次


2022/5/3 下午 03:00:01