information security是一種防止、偵測並更正任何未經授權而存取、使用、竊取、竄改、破壞資訊系統活動,目的在於防止資料外洩(私密性)、非法變更(完整性),保護服務與資料不會中斷(可用性),所進行一切控制與降低風險的過、程序與技術。
財政部國有財產局資訊安全政策,中華民國100年10月19日財政部國有財產局臺財產局資字第1007000187號函修正發布全文十二點:
貳、目的
為強化資訊安全管理,建立安全及可信賴之電子化政府,確保資料、系統、設備、及網路安全,保障民眾權益,訂定本政策
參、資訊安全定義。
所謂資訊安全係採行安全防護手段、措施或機制,避免各項資訊資產遭不當使用、洩漏、竄改、竊取、破壞等事故威脅,以確保業務持續運作,並降低事故影響及危害業務運作之損害程度。
肆、資訊安全目標
一、確保業務資訊之機密性、完整性及可用性。
二、確保資訊業務運作之有效性及持續性。
三、確保資安措施符合政策及法令要求。
四、建立「資訊安全人人有責,資安防護由我開始,運用資訊安全第一」之觀念。
法務部資訊安全管理文件規範,民國 103 年 10 月 29 日,第1點:
為有效管理法務部資訊安全管理制度(Information Security Management System ,以下簡稱 ISMS) 文件,使文件達到一致性,並提升文件品質及管理功能,特訂定此管理文件規範以為依循。
互連網路空間(cyber space)是指不受距離或其他實體限制的概念性電子空間,特別是指網際網路的線上世界,所以資通安全(cyber security)定義是旨在保護數位資訊透過互連網路空間時,避免遭受各種未經授權的存取或任何攻擊,特別是保護電腦程網路系統免於遭受數位犯罪影響的一切措施。
貳、目的
為強化資通安全管理,建立安全及可信賴之電子化政府,確保資料、系統、設備、及網路安全,保障民眾權益,訂定本政策。
肆、資通安全定義
指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
伍、資通安全目標
一、確保業務資訊之機密性、完整性及可用性。
二、確保資訊業務運作之有效性及持續性。
三、確保資安措施符合政策及法令要求。
四、確保個人資料資訊之妥善保護及利用。
五、建立「資通安全人人有責,資安防護由我開始,運用資通安全第一」之觀念。
六、資通安全事件每年發生次數不得超過3次。
七、每人每年應接受3小時以上之資通安全通識教育訓練。
國家安全法,民國 111 年 06 月 08 日,第四條:
國家安全之維護,應及於中華民國領域內網際空間及其實體空間。
Article 4
The maintenance of national security shall extend to the cyberspace and its physical space within the territory of the Republic of China.
*** 新聞:立院三讀/ 防中駭入 網路納入國安規範
*** 新聞:國安法第2-2條網路主權主張的適用
資通安全管理法,民國 107 年 06 月 06 日,第三條第3款:
資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
Article 3
3.Cyber security: That refers to such effort to prevent information and communication system or information from being unauthorized access, use, control, disclosure, damage, alteration, destruction or other infringement to assure the confidentiality, integrity and availability of information and system.
中華人民共和國網路安全法,2017年6月1日,The Cybersecurity Law of the People’s Republic of China,第一條:
第一條 為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。
Network Security是資通安全的一個子集。網路安全單純強調防止和監視任何未經授權存取、濫用、修改或阻絕電腦網路和網路資源所探用的一切政策和實務。網路安全就是保護組織的IT基礎設施免受各種線上威脅,主要涉及企業的網路基礎設施,為資料在計算節點之間移動時提供保護(data in motion)。
實驗研發專用電信網路設置使用管理辦法,民國 109 年 07 月 09 日,第十六條:
技術實驗研發專用電信網路依核定之建設時程完成建設者,申請人應檢具網路安全自評測試報告,向主管機關申請核發網路審驗合格證明。
Article 16
Where the technical experiments and research and development telecommunications network is established according to the approved development schedule, the applicant shall submit a network security self-evaluation and test report to the competent authority for the application for network examination approval certificate.
三者間的關係如下:
樓霙,資訊安全(上),109年10初版,自印,頁1-1~1-5
