一、臺北市政府（以下簡稱本府）為確保本府所屬公務機關、學校及受監 督行政法人於發生資通安全事件時，依資通安全管理法（以下簡稱本 法）、資通安全事件通報及應變辦法及各機關資通安全事件通報及應 變處理作業程序等相關規定，即時通報及應變，迅速完成損害控制或 復原作業，降低資通安全事件對各機關業務之衝擊影響，並確保資通 安全事件發生時之跡證保存，特訂定本作業程序。

二、本作業程序適用對象（以下簡稱各機關）如下： （一）依臺北市政府組織自治條例第六條至第八條規定設置之局、處、委 員會、區公所，及該等機關所轄機關、機構。 （二）臺北市依自治條例設置之行政法人。

三、本作業程序之名詞定義如下： （一）資通安全事件：指發生於各機關之系統、服務或網路狀態，經鑑別 可能有違反資通安全政策或保護措施失效之狀態，影響資通系統機 能運作，構成資通安全政策威脅之事件。 （二）資訊主管人員：指依臺北市政府各機關資訊組織及人力管理作業要 點，各機關資訊業務專責一級單位主管、資訊業務專責二級單位主 管、資訊推動任務編組主管或資訊業務主辦單位主管人員；與行政 法人指定之主管人員。 （三）資訊業務人員：指依臺北市政府各機關資訊組織及人力管理作業要 點，各機關資訊業務專責一級單位、資訊業務專責二級單位、資訊 推動任務編組內，實際從事資訊業務之正式編制公務人員、約聘人 員、約僱人員、約用人員及臨時人員；與行政法人實際從事資訊業 務之編制人員、約聘人員、約僱人員、約用人員及臨時人員。

四、各機關資通安全事件通報及應變程序，應包含通報資通安全事件、組 成資通安全事件通報及應變小組（以下簡稱通報應變小組）與召開事 件應變會議、損害控制或復原作業、事件根因分析及改善追蹤等項目 ，並依本法施行細則第六條第一項第九款規定納入資通安全維護計畫 中，資通安全事件通報及應變程序如附件一。

五、各機關應指定資通安全事件通報窗口（以下簡稱通報窗口），納入通 報應變小組成員，處理通報及聯繫相關事宜，並於機關知悉資通安全 事件時，協助完成資通安全事件等級判斷，至數位發展部資通安全署 （以下簡稱資安署）國家通報應變網站（以下簡稱通報應變網站）， 於規定時限內完成通報。

六、各機關依資通安全等級分級辦法應設置資通安全專責人員者，通報窗 口應由該專責人員擔任；未設置資通安全專責人員或從缺者，應由機 關首長或資通安全長指定適任人員擔任通報窗口，不得由委外廠商人 員擔任。

七、臺北市政府資訊局（以下簡稱資訊局）應建立通報窗口間通知及聯繫 機制，各機關應確保通報窗口如實運作，維持聯絡管道全天暢通。

八、各機關通報窗口人員名單應提交資訊局登錄，通報窗口如有異動，應 於異動生效日前，以電話或公務雲（TaipeiON）通知資訊局，配合完 成資料更新。

九、各機關之通報窗口因故無法執行職務時，機關應指定熟悉相關法令、 作業及系統操作程序之人員擔任代理人，並事先完成使用權限或通訊 群組成員設定之申請及生效。

十、各機關知悉資通安全事件，應立即通知機關通報窗口，會同相關權責 人員，完成資通安全事件等級判斷，經資通安全長或其授權人員核可 ，於知悉資通安全事件後一小時內至通報應變網站，由通報窗口完成 通報。

十一、各機關知悉資通安全事件，如因網路或電力中斷等事由，致無法依 前點方式進行通報者，應於知悉資通安全事件後一小時內以電話或 其他適當方式，將該次資通安全事件應通報之內容及無法依規定方 式通報之事由，告知資安署所指定或認可之人員，並於事由解除後 ，依原方式補行通報。

十二、各機關知悉資通安全事件，如認該事件之影響涉及其他機關或應由 其他機關依其法定職權處理時，應於知悉資通安全事件後一小時內 ，以電話或公務雲（TaipeiON）通知該機關之通報窗口。

十三、各機關如將部分或全部資通業務委託其他機關（構）或廠商辦理時 ，應與受託機關（構）或廠商約定，於知悉資通安全事件時，應即 向機關權責人員，以電話或其他雙方事先約定之方式進行通報，並 依機關指示提供相關之紀錄或資料。

十四、以中央機關為資通安全事件通報對象之各機關，應於完成資通安全 事件通報日（含）起三天內，將通報及最新處置內容副知資訊局。

十五、資訊局應於各機關完成資通安全事件通報後之下列時限內，完成資 通安全事件等級審核： （一）通報為第一級或第二級之資通安全事件者，於接獲通報後八小時 內。 （二）通報為第三級或第四級之資通安全事件者，於接獲通報後二小時 內。

十六、資訊局進行審核時，得要求通報之各機關提供級別判斷所需之資料 或紀錄，資訊局依規定於通報應變網站完成資通安全事件等級之審 核，並提供審核依據相關資訊。

十七、資通安全事件等級如有變更，應於通報應變網站提出等級變更申請 。

十八、各機關知悉資通安全事件，應於下列時限內，完成通報應變小組組 成： （一）通報為第一級及第二級資通安全事件者，於知悉資通安全事件三 小時內。 （二）通報為第三級及第四級資通安全事件者，於知悉資通安全事件一 小時內。

十九、通報應變小組之組成如附件二，其成員及任務如附件三。各機關得 因應組織規模、人力及事件狀況予以調整。

二十、各機關於完成資通安全事件之初步損害控制後應召開事件應變會議 ，會議形式不拘，由事件指揮官主持，就下列事項進行討論，第三 級或第四級資通安全事件並得視情形邀請上級機關、監督機關或資 訊局出席： （一）資通安全事件概況。 （二）評估受影響範圍。 （三）其他必要之討論事項。

二十一、各機關知悉資通安全事件後，應於下列時間內完成損害控制或復 原作業，並於通報應變網站完成通知或登錄： （一）通報為第一級及第二級資通安全事件者，於知悉資通安全事件 七十二小時內。 （二）通報為第三級及第四級資通安全事件者，於知悉資通安全事件 三十六小時內。

二十二、損害控制或復原作業內容包括但不限於下列事項，應留存作業相 關電子或書面紀錄： （一）確認具體受害範圍，並優先恢復對外服務及核心資通系統運作 ，防止次波攻擊及擴散情形。 （二）評估各系統是否於可容忍中斷時間內恢復服務及對利害關係人 之影響，決定是否對外公告資通安全事件之相關內容。

二十三、發生第三級或第四級資通安全事件之各機關，除依前點規定辦理 外，並應辦理下列事項： （一）損害控制或復原作業完成時，向各機關之事件指揮官、通報應 變小組成員及上級機關、監督機關與資訊局回報控制措施成效 。 （二）倘涉及個人資料外洩，應評估通知當事人之適當方式，依個人 資料保護法第十二條規定辦理。

二十四、各機關於日常維運資通系統時，應保存全部核心資通系統與相連 之資通及防護設備最近六個月之日誌紀錄，並建議定期備份至與 原系統不同之實體系統，上開日誌保存項目包括但不限於下列項 目：作業系統日誌（OS event log）、網站日誌（Web log） 、 應用程式日誌（AP log）、登入日誌（logon log） 。

二十五、各機關知悉資通安全事件，應依下列原則進行跡證保存： （一）各機關進行跡證保存時，應優先採取隔離機制，包含網路連線 中斷或隔離、關閉服務、限制連線、限制權限、有限度修補漏 洞等方式，以降低攻擊擴散。 （二）若系統無備援機制，應備份受害系統儲存媒介（如硬碟、虛擬 機映像檔）後，以乾淨儲存媒介重建系統，於完成系統測試後 提供服務。 （三）若系統有備援機制，應將服務切換至備援系統提供服務，並保 留受害系統及設備，於完成事件根因分析或完整備份後重建系 統，經系統測試後切換至原系統提供服務。 （四）若備援設備亦為受害範圍，於重建受害系統時應以維持最低限 度對外運作為原則，保存受害跡證。

二十六、各機關於簽訂資通系統或服務之委外契約時，應依前二點規定於 契約中明定保存及備份規定。

二十七、依跡證保存之規定保存相關跡證，相關採證與可疑之惡意程式應 交付至本府指定之鑑識採證檔案交換區，另如有惡意程式應配合 資安署規定上傳至 Virus Check 網站（https://viruscheck.tw /） 分析，以更新或強化相關偵測及聯防機制，不宜上傳至其他 平臺。

二十八、除設備故障外，應依據前點保存跡證，督導委外廠商或外部專家 進行根因調查，並提出紀錄分析；如有發現惡意程式，應提出惡 意程式分析。

二十九、各機關應依據資通安全事件調查根因分析結果，研擬短、中、長 期資安管理改善策略，其內容如下： （一）短期：完成可立即修補項目之調整。 （二）中期：依據事件根因提出三至六個月內完成之強化作為，例如 ：盤點各機關老舊資通系統或設備，並訂定汰換期程。 （三）長期：依據事件受害情形，視需要提出二年內完成之管理改善 建議，例如：培養各機關資安人員能力或納入風險議題，進行 風險管控措施。

三十、資通安全事件調查根因及改善策略應提報各機關事件指揮官裁處， 並彙整送交上級機關、監督機關及資訊局。

三十一、各機關進行資通安全事件改善追蹤時，應視需要召開會議，辦理 下列事項： （一）評估改善作為期程。 （二）評估執行成效，並據以調整改善策略。 （三）配合上級機關、監督機關及資訊局辦理相關改善作為。 （四）第三級或第四級，或上級機關、監督機關、資訊局指定之資通 安全事件，應將各階段改善措施執行成效定期回報事件指揮官 至完成各項改善措施為止，並彙整送交上級機關、監督機關及 資訊局。 （五）依會議決議，於知悉該事件後一個月內至通報應變網站完成結 報作業。 （六）各機關完成結報作業後，相關改善事項應納入本府資安管考系 統與各機關現行定期追蹤管考機制，並於府級資通安全長會議 定期檢討改善。 （七）如係由資訊局支援資通安全事件之調查與鑑識者，應於事件調 查完成後將報告檢送請求支援機關，內容包含事件發生時間、 來源與目標 IP 、駭客所在位置、攻擊方法、路徑與影響分析 ，以及系統復原、事件排除、修補、防禦等措施（含：系統重 新安裝與設定、系統隔離修護、調整防火牆、更新系統安全或 防毒軟體修正檔、弱點修補或新增防禦設備等建議），各機關 得參考本報告製作調查、處理及改善報告。

三十二、各機關應將資通安全事件之通報與應變作業之執行、事件影響範 圍與損害程度以及其他通報應變之執行情形，留存完整之紀錄， 相關紀錄並應經承辦之權責人員、資通安全長簽核。

三十三、各機關於完成資通安全事件之通報及應變程序後，應依據實際處 理之情形，於必要時對人力配置或其他相關事項進行修正或調整 。

三十四、各機關處理資通安全事件應依資通安全情資分享辦法，按資安署 與本府指定之情資分享方式分享資通安全情資。 前項所稱資通安全情資，指包括下列任一款內容之資訊： （一）資通系統之惡意偵察或情蒐活動。 （二）資通系統之安全漏洞。 （三）使資通系統安全控制措施無效或利用安全漏洞之方法。 （四）與惡意程式相關之資訊。 （五）資通安全事件造成之實際損害或可能產生之負面影響。 （六）用以偵測、預防或因應前五款情形，或降低其損害之相關措施 。 （七）其他與資通安全事件相關之技術性資訊。

三十五、各機關應依下列規定參與或辦理社交工程演練： （一）使用資訊局建置之市府公務電子信箱者，每年至少兩次統一參 與本府辦理之社交工程演練。 （二）未使用資訊局建置之市府公務電子信箱，自建或使用其他電子 信箱系統者，得依第一款規定辦理或每年至少兩次自行或參與 上級機關、監督機關辦理之社交工程演練；未參與本府社交工 程演練之機關，應於完成演練後一個月內，將執行情形及成果 報告送資訊局備查。

三十六、各機關之社交工程演練結果未符合資訊局所定標準者，資通安全 長應召開檢討會議，並提出檢討報告送資訊局備查；機關如連續 兩次以上均未符合標準時，除加強教育訓練外，並得視其情節提 報府級資通安全長會議報告。 各機關之人員未符合資訊局所定標準者，應參與一小時之資通安 全強化教育訓練，並以實體課程為原則，由機關聘請符合資訊局 所定資格之講師，自行辦理之。

三十七、資通安全事件通報及應變演練分準備、執行及檢討改善等三個階 段： （一）準備階段：調集相關人力及資源，並完成資通安全事件通報及 應變演練規劃。 （二）執行階段：由演練主持人下達情境指令，依據演練流程進行推 演，過程中各參與應變人員可相互討論、激盪，交流出最適當 的應變行動並執行之，過程中應詳細紀錄所有情境或突發狀況 下達、人員執行應變行動等時序，提供作為檢討座談會使用。 （三）檢討改善階段：演練結束後，由主持人召集所有參與人員舉行 檢討座談會，針對流程一一檢視是否應變得宜，及如何再精進 ，人員並藉由檢討座談會，從中學習及調整。

三十八、資通安全事件通報及應變演練方式，得視對於作業影響程度及實 際作業需要，採實際作業演練或兵棋推演。 前項所稱兵棋推演，指利用桌上及紙上作業模擬資通安全事件發 生情境，藉此訓練應變人員面對各種情境之判斷能力及應變效率 。

三十九、府級資通安全事件通報及應變演練規定如下： （一）本府每年至少辦理一次府級資通安全事件通報及應變演練。 （二）府級資通安全事件通報及應變演練辦理時，各機關應按資通安 全事件等級，依規定完成資通安全事件通報及審核、通報應變 小組組成、事件應變會議召開及其他應變措施。 （三）各機關如未符合資訊局所定之標準者，本府得於三個月內對該 機關重新進行演練，至符合標準為止。

四十、各機關得視需要自行辦理資通安全事件通報及應變演練。

四十一、學校資通安全事件通報及應變程序應依「臺灣學術網路各級學校 資通安全通報應變作業程序」辦理，並準用本作業程序第六點至 第九點、第十二點至第十四點、第二十三點第二款及第二十四點 至第二十六點規定。 「臺灣學術網路各級學校資通安全通報應變作業程序」如與資安 署法令不一致者，應依資安署法令規定辦理。