阿摩線上測驗
5. 身為該醫療中心的資安長(CISO),情境在發現勒索軟體活動的當下,根據台灣《資通安全管理法》 的規定,您的團隊第一小時內最優先的法定應辦事項為下列何項?
(A)立即支付勒索贖金以最快速度回復系統,避免影響病患照護
(B) 全面斷開醫院對外網路,阻止威脅擴散並進行內部損害評估
(C) 依據事件分級,完成初步損害評估與判斷,並於一小時內通報主管機關
(D) 召集所有資訊人員,優先搶救被加密的電子病歷資料庫
統計: A(1), B(16), C(76), D(0), E(0) #3536991
詳解 (共 2 筆)
正確答案是 ✅ (C) 依據事件分級,完成初步損害評估與判斷,並於一小時內通報主管機關。
?依據法源
依《資通安全管理法》第18條與**行政院資通安全處頒布之〈資通安全事件通報及應變辦法〉**規定:
-
關鍵基礎設施提供者(Critical Infrastructure Provider)發生資通安全事件時,應依事件等級(重大、嚴重、一般)進行初步損害評估與判斷。
-
若屬「重大事件」或「疑似重大事件」,應於發現後1小時內通報主管機關(中央目的事業主管機關或資安處)。
-
此為法定義務行動,優先於修復或技術性處置。
?選項解析
| 選項 | 說明 | 是否正確 |
|---|---|---|
| (A) 立即支付勒索贖金 | 違反政府資安原則及事件通報流程,不得擅自支付贖金 | ❌ |
| (B) 全面斷開醫院對外網路 | 可作為應變措施之一,但非法定首要義務 | ⚠️ 次要 |
| (C) 依事件分級,於1小時內通報主管機關 | 依《資通安全管理法》及其子法為首要法定義務 | ✅ |
| (D) 優先搶救被加密資料 | 屬後續復原工作,非第一小時法定義務 | ❌ |
✅ 最正確答案:C
第一小時最優先行動:事件分級判斷 + 向主管機關通報。
?一、資安「通報」≠「停止救火」
很多人以為「通報」就要寫報告、拖時間,其實不是。
?法規要求的「一小時內通報」是平行進行的第一步,不是取代技術應變。
換句話說:
技術團隊(例如SOC、IR Team)同時在滅火、封鎖、隔離。
而資安長(CISO)或資安通報窗口則負責同步完成初步通報。
這就像醫院急診室一邊搶救病人、一邊打電話通知主治醫師與衛福部防疫單位──
「通報」的目的是讓上級機關能即時啟動聯防機制,不是拖慢救援。
?二、為何法定要「先通報」:三個關鍵理由
| 理由 | 說明 |
|---|---|
| 1. 防止事件擴大 | 關鍵基礎設施(像題目中的醫療中心)牽涉到民生與國安。主管機關需即時掌握狀況,協助封鎖外部連線、跨機構威脅情資共享。 |
| 2. 強化跨機構應變 | 若有多家醫院同時遭攻擊,中央資安處能統一協調ISP、警政署、數位部或健保署等資源。 |
| 3. 留存法律依據 | 一小時內通報可證明組織「依法即時應變」。若事後追查延誤或隱匿,可能違反《資通安全管理法》第20條(罰則)。 |
?三、實務流程建議(「救火」與「通報」如何並行)
在真正的SOC或CISO作業中,會這樣分工:
| 時間 | 動作 | 負責單位 |
|---|---|---|
| 0–5 分鐘 | 偵測異常、隔離受害主機、暫停遠端連線 | SOC / IR 團隊 |
| 5–20 分鐘 | 事件初判(疑似勒索、DDoS、資料外洩等) | IR 組長 / 資安長 |
| 20–40 分鐘 | 填寫初步事件通報表(含等級、影響範圍) | CISO / 資安窗口 |
| 40–60 分鐘 | 上傳通報平台 / 通知主管機關 | 通報責任人 |
| 同步進行 | 持續防護、鑑識、復原、內部通報 | 技術單位 |
?四、結論
?法律的用意是「救火與報警同時進行」,不是「救火前先報警」。
?CISO負責通報,技術團隊繼續滅火——兩條線並行。
✅ 總結一句話:
「技術應變止血,通報建立聯防」——這才是《資安法》的一小時原則精神。