一、為確保資通安全管理法（以下簡稱本法）納管之公務機關及特定非公
    務機關（以下簡稱各機關）於發生資通安全事件時，依本法及資通安
    全事件通報及應變辦法相關規定即時通報及應變，迅速完成損害控制
    或復原作業，降低資通安全事件對各機關業務之衝擊影響，並確保資
    通安全事件發生時之跡證保存，特訂定本程序。

二、各機關應成立資通安全事件通報及應變小組（以下簡稱通報應變小組
    ），於平時進行演練，並於發生資通安全事件時，依事件等級進行通
    報及應變作業。
    通報應變小組組成建議如圖一，各分組代表如表一，其任務如下：
（一）事件指揮官
      為通報應變小組總召集人，綜理全般業務，直接督導各單位聯絡人
      員及機關新聞官／組。
（二）新聞官／組
      視事件需要由事件指揮官或其授權人員擔任新聞官或分組代表，資
      通安全事件對外發布新聞或說明之單一窗口，綜整與定期更新訊息
      及擬定溝通計畫。
（三）執行秘書
      為事件指揮官幕僚，負責督辦通報應變小組各項業務。
（四）情資及計畫組
      1.本分組負責辦理下列事宜：
     （1）資通安全事件通報及情資分享：透過資通安全監控中心（SOC
          ）、防毒軟體及系統釐清事件影響，並清查各單位受影響情形
          ，據以完成資通安全事件各階段通報，分享惡意程式 IoC  等
          。
     （2）應變策略及計畫研擬：於發生重大資通安全事件時，依據事件
          情況研擬損害控制、復原作業及跡證保存計畫。
      2.本分組由機關資通安全專責人員、資訊人員及委外廠商或外部專
        家組成，上級機關、中央目的事業主管機關或相關機關，亦應視
        情況或納入政風單位派員參與，以提供必要之支援協助。
（五）應變執行組
      1.本分組負責辦理下列事宜：
     （1）執行損害控制：依據情資及計畫組研擬之應變策略及計畫，調
          度資訊及資通安全人員執行災害搶救及損害管制，防止次波攻
          擊及損害擴散。
     （2）復原作業：依據情資及計畫組研擬之復原作業，完成系統重建
          、弱點掃描或漏洞修補等事宜。
     （3）跡證保全及留存：確保受害系統與相關系統及網路設備事件日
          誌之保存及管理。
      2.本分組由機關資通安全專責人員、資訊人員、業務單位及委外廠
        商組成，上級機關、中央目的事業主管機關或相關機關得於機關
        申請支援時派員參與。
（六）後勤調度組
      1.本分組負責辦理下列事宜：
     （1）事件根因查找：依據系統保存跡證，完成鑑識分析，並追查防
          堵惡意中繼站。
     （2）提出改善建議：依據事件調查根因，提出短、中、長期改善建
          議。
     （3）彙整改善報告。
     （4）撰寫調查、處理及改善報告。
     （5）追蹤管考：針對機關單位已結案或未結案事項，如有未盡改善
          事宜，將另案追蹤管考。
      2.本分組由機關資通安全專責人員、資訊人員及委外廠商或外部專
        家組成，上級機關、中央目的事業主管機關或相關機關得於機關
        申請支援時派員參與。
（七）財務行政組
      本分組視事件需要由機關財務或秘書單位組成，負責辦理預算調撥
      及提供行政支援事宜。
    各機關得以現有分組為基礎，依各機關編制及業務分工，經機關資通
    安全長同意後調整通報應變小組組成及各分組代表，另得視資通安全
    事件或機關資通環境需要調整各分組任務。

三、各機關之資通安全事件通報及應變程序，應包含通報資通安全事件、
    組成通報應變小組與召開事件應變會議、損害控制或復原作業、事件
    根因分析及改善追蹤等項目（如圖二），並依本法施行細則第六條第
    一項第九款規定納入資通安全維護計畫中，各項程序如下：
（一）通報資通安全事件
      1.各機關應依本法及資通安全事件通報及應變辦法規定，由情資及
        計畫組依主管機關或中央目的事業主管機關指定方式完成事件通
        報。
      2.第三級或第四級資通安全事件，各機關除依前目規定通報外，應
        另以電話或其他適當方式通知上級機關或中央目的事業主管機關
        ，無上級機關者，應通知主管機關；數位發展部資通安全署就第
        三級或第四級資通安全事件，依國土安全緊急通報作業規定轉報
        行政院國土安全辦公室。
（二）組成通報應變小組與召開事件應變會議
      各機關於完成第三級或第四級資通安全事件之初步損害控制後應召
      開事件應變會議，會議形式不拘，由事件指揮官主持討論下列事項
      ，並得視情況邀請上級機關、中央目的事業主管機關或主管機關出
      席：
      1.資通安全事件概況。
      2.評估受影響範圍。
      3.其他必要之討論事項。
（三）損害控制或復原作業
      1.由應變執行組執行損害控制或復原作業，並辦理下列事項：
     （1）確認具體受害範圍，並優先恢復對外服務及核心資通系統運作
          ，防止次波攻擊及擴散情形。
     （2）評估各系統是否於可容忍中斷時間內恢復服務及對利害關係人
          之影響，決定是否對外公告事件之相關內容。
     （3）於完成損害控制或復原作業後，依主管機關或中央目的事業主
          管機關指定之方式完成通知作業。
      2.第三級或第四級資通安全事件，除依前目規定辦理外，並應辦理
        下列事項：
     （1）定時向事件指揮官、通報應變小組成員、上級機關或中央目的
          事業主管機關回報控制措施成效；無上級機關者，應回報主管
          機關。
     （2）倘涉及個人資料外洩，應評估通知當事人之適當方式，依個人
          資料保護法第十二條規定辦理。
（四）事件根因分析
      由後勤調度組執行，依資通安全事件等級，建議辦理事項如下：
      1.依第四點跡證保存之規定保存相關跡證，惡意程式建議得請防毒
        軟體或資安服務公司檢測，並上傳至 Virus Check  網站（http
        s://viruscheck.tw/）分析，以更新或強化相關偵測及聯防機制
        ，不宜上傳至其他平臺。
      2.除設備故障外，後勤調度組應依據前目保存跡證，由組長督導委
        外廠商或外部專家進行根因調查，並提出紀錄分析；如發現惡意
        程式，應提出惡意程式分析。
      3.依據事件調查根因分析結果，機關應評估短、中、長期資安管理
        改善策略，其內容如下：
     （1）短期：完成可立即性修補項目之調整，例如更換密碼或修補程
          式弱點等。
     （2）中期：依據事件根因提出三至六個月內完成之強化作為，例如
          盤點機關老舊設備，並訂定汰換期程。
     （3）長期：依據事件受害情形，視需要提出二年內完成之管理改善
          建議，例如培養機關資安人員能力。
      4.由執行秘書將事件調查根因及改善策略提報事件指揮官裁處，並
        由機關資通安全專責人員彙整送交上級機關或中央目的事業主管
        機關；無上級機關者，應送交主管機關。
（五）改善追蹤
      各機關進行事件改善追蹤時，應視需要召開會議，並據以辦理下列
      事項：
      1.評估改善作為期程。
      2.評估執行成效，並據以調整改善策略。
      3.配合上級機關、中央目的事業主管機關或主管機關辦理相關改善
        作為。
      4.第三級或第四級資通安全事件，應由執行秘書將各階段改善措施
        執行成效定期回報事件指揮官至完成各項改善措施為止，並由機
        關資通安全專責人員彙整送交上級機關或中央目的事業主管機關
        ；無上級機關者，應送交主管機關。
      5.依主管機關或中央目的事業主管機關指定之方式，送交調查、處
        理及改善報告；第三級或第四級資通安全事件，應另以密件公文
        將該報告送交主管機關及上級或監督機關。
      6.機關送交調查、處理及改善報告後，相關改善事項應納入機關現
        行定期追蹤管考機制。

四、跡證保存
    為確保資通安全事件發生時，各機關所保有跡證足以進行事件根因分
    析，各機關依資通安全事件等級，建議辦理下列事項，並應視事件情
    形辦理其他必要之跡證保存事項：
（一）各機關於日常維運資通系統時，應依自身資通安全責任等級保存日
      誌（log） ，並建議定期備份至與原稽核系統不同之實體系統，其
      保存範圍及項目如表二。
（二）發生資通安全事件時，機關應依下列原則進行跡證保存：
      1.機關進行跡證保存時，應優先採取隔離機制，包含設備關機、網
        路連線中斷或隔離、關閉服務、限制連線、限制權限、有限度修
        補漏洞等方式，以降低攻擊擴散。
      2.若系統無備援機制，應備份受害系統儲存媒介（例如硬碟、虛擬
        機映像檔）後，以乾淨儲存媒介重建系統，於完成系統測試後提
        供服務。
      3.若系統有備援機制，應將服務切換至備援系統提供服務，並保留
        受害系統及設備，於完成事件根因分析或完整備份後重建系統，
        經系統測試後切換至原系統提供服務。
      4.若備援設備亦為受害範圍，於重建受害系統時應以維持最低限度
        對外運作為原則，保存受害跡證。
（三）各機關於簽訂資通系統或服務之委外契約時，應依前二款規定於契
      約中明定紀錄保存及備份規定。