資安事件通報完整指南:流程、時限、常見問題解答【2025】
資安事件通報完整指南:流程、時限、常見問題解答
資安事件發生了,該怎麼辦?
除了技術處理,還有一件事很重要:通報。
資安法規定,特定機關發生資安事件必須通報。不報或晚報,可能面臨罰則。
這篇文章說明資安事件通報的完整流程。
讀完你會知道:什麼情況要報、多久內要報、怎麼報、報給誰。
什麼是資安事件?
💡 重點摘要:先定義清楚:什麼算「資安事件」?
資安事件的定義
根據資安法施行細則,資安事件是指:
系統、服務或網路狀態經鑑別後,顯示可能違反資通安全政策或保護措施失效,或先前未知而可能與安全相關的狀況。
白話說,就是:
- 系統被入侵或嘗試入侵
- 資料被竊取、外洩或竄改
- 服務中斷或異常
- 其他影響資訊安全的事件
常見資安事件類型
| 類型 | 舉例 |
|---|---|
| 惡意程式 | 勒索軟體、病毒、木馬 |
| 入侵攻擊 | 系統被駭、後門植入 |
| 資料外洩 | 個資外洩、機密資料被盜 |
| 服務中斷 | DDoS 攻擊、系統當機 |
| 帳號濫用 | 帳號被盜、權限濫用 |
| 網站竄改 | 網頁被置換、掛馬 |
| 釣魚詐騙 | 釣魚郵件成功攻擊 |
不一定要通報的情況
以下情況不一定構成通報義務:
- 被防火牆/防毒阻擋的攻擊
- 收到釣魚郵件但沒有點擊
- 弱點掃描發現漏洞(但還沒被利用)
- 系統維護造成的短暫中斷
但如果你不確定,建議還是通報。寧可多報,不要漏報。
資安事件通報義務
誰要通報?什麼情況要報?
通報義務人
依資安法,有通報義務的包括:
公務機關
所有公務機關發生資安事件都要通報。
特定非公務機關
被指定的特定非公務機關有通報義務。包括:
- 關鍵基礎設施提供者
- 公營事業
- 政府捐助的財團法人
通報對象
公務機關
向以下單位通報:
- 上級機關
- 數位發展部資通安全署
特定非公務機關
向中央目的事業主管機關通報。
例如:
- 金融業 → 金管會
- 電信業 → NCC
- 能源業 → 經濟部
什麼情況要通報?
簡單說:發現資安事件就要通報。
但有個前提:事件要達到一定影響程度。
一定要通報的情況
- 系統遭入侵
- 資料外洩
- 服務中斷超過一定時間
- 影響其他機關或民眾
看情況的狀況
- 輕微事件(如單一電腦中毒已清除)
- 未遂攻擊(被成功阻擋)
實務上,建議用「寧濫勿缺」原則。有疑慮就通報,讓主管機關判斷。
資安事件通報時限
通報有時限。錯過時限可能被罰。
事件等級與時限
資安事件分為四級,每級有不同的通報時限:
| 等級 | 定義 | 初步通報 | 詳細通報 |
|---|---|---|---|
| 第 4 級 | 影響其他機關或民眾 | 1 小時內 | 8 小時內 |
| 第 3 級 | 核心業務無法運作 | 8 小時內 | 24 小時內 |
| 第 2 級 | 核心業務受影響但可運作 | 24 小時內 | 72 小時內 |
| 第 1 級 | 非核心業務受影響 | 72 小時內 | 7 日內 |
如何判斷等級?
第 4 級(最嚴重)
特徵:
- 影響範圍超出組織
- 可能造成民眾權益損害
- 引發社會關注
例子:
- 大量個資外洩
- 關鍵服務癱瘓
- 涉及國安的攻擊
第 3 級
特徵:
- 核心系統無法運作
- 業務停擺
例子:
- 主要系統被勒索
- 關鍵資料庫損毀
- 長時間服務中斷
第 2 級
特徵:
- 核心系統受影響但還能用
- 效能下降但未停擺
例子:
- 部分系統遭入侵
- 機密資料可能外洩
- 服務間歇性中斷
第 1 級
特徵:
- 非核心系統受影響
- 影響範圍有限
例子:
- 單一電腦中毒
- 測試環境被入侵
- 輕微資料異常
時限起算點
時限從什麼時候開始算?
知悉時間
從「知悉事件」開始起算。
知悉 = 組織中任何人發現並確認是資安事件。
例如:
- IT 人員收到告警
- 員工回報異常
- 外部通報
不是發生時間
事件可能在兩週前就發生,但你今天才發現。時限從今天開始算。
延遲通報的後果
行政罰
未依規定時限通報:NT$30-500 萬。
可按次處罰(每次遲延都算)。
其他影響
- 主管機關關切
- 稽核加強
- 信譽損失
資安通報平台操作
實際上怎麼通報?
通報管道
公務機關
使用「政府資安事件通報平台」(G-ISAC)。
特定非公務機關
使用「國家資安資訊分享與分析中心」(N-ISAC)。
網址:https://www.nisac.nat.gov.tw
或向中央目的事業主管機關指定的管道通報。
通報流程
步驟 1:登入系統
用機關帳號登入通報平台。
(如果沒有帳號,要先向主管機關申請)
步驟 2:建立通報單
填寫通報表單,內容包括:
- 事件發生時間
- 發現時間
- 事件類型
- 影響範圍
- 初步描述
步驟 3:提交初報
完成初步通報。系統會給一個案件編號。
步驟 4:提交詳報
在規定時間內補充詳細資訊:
- 受影響系統
- 損害評估
- 處理狀況
- 技術細節
步驟 5:結案報告
事件處理完畢後,提交結案報告:
- 事件原因
- 處理方式
- 改善措施
- 經驗學習
通報內容要點
好的通報應包含:
基本資訊
- 聯絡人和聯絡方式
- 事件時間軸
- 初步判定等級
技術資訊
- 受影響的系統/服務
- 攻擊手法(如果知道)
- 可疑 IP、惡意程式特徵
影響評估
- 資料是否外洩
- 服務是否中斷
- 影響人數/範圍
處理狀態
- 已採取的措施
- 目前狀況
- 需要的支援
資安事件處理流程
通報只是其中一環。完整的事件處理流程如下:
階段 1:偵測與辨識
發現異常
可能的發現來源:
- 監控系統告警
- 員工回報
- 外部通報
- 異常日誌
確認事件
初步判斷:
- 這是真的攻擊還是誤判?
- 影響範圍多大?
- 事件等級是什麼?
階段 2:控制與遏止
阻止擴散
立即行動:
- 隔離受感染系統
- 封鎖惡意 IP
- 停用被盜帳號
- 保護關鍵資料
保存證據
不要急著清除:
- 保留系統日誌
- 保存惡意程式樣本
- 記錄處理過程
- 螢幕截圖
階段 3:通報
初步通報
在時限內完成初報:
- 基本事件描述
- 初步影響評估
- 處理狀態
詳細通報
補充詳細資訊:
- 技術細節
- 損害評估
- 處理進度
階段 4:調查與清除
調查原因
找出:
- 攻擊者如何進來?
- 利用什麼漏洞?
- 做了什麼事?
- 有沒有留後門?
清除威脅
- 移除惡意程式
- 修補漏洞
- 關閉後門
- 重設帳號密碼
階段 5:復原
系統復原
- 從備份還原
- 重建受損系統
- 驗證系統正常
服務恢復
- 逐步恢復服務
- 監控異常
- 確認穩定運作
階段 6:檢討與改善
事後檢討
- 還原事件經過
- 分析處理得失
- 識別改善點
改善措施
- 強化防護
- 更新政策
- 加強訓練
- 更新計畫
發生資安事件不知如何處理? 事件應變需要專業經驗。緊急聯繫,我們提供事件應變支援。
常見問題 FAQ
不確定是不是資安事件,要通報嗎?
建議通報。
你可以先通報為「疑似資安事件」,後續調查確認。
漏報的風險比誤報大。
事件已經處理好了,還要通報嗎?
要。
通報義務不會因為你處理好了就消失。
而且通報的目的之一是讓主管機關掌握態勢,即使你處理好了,這個情報仍有價值。
通報會不會被處罰?
通報本身不會被罰。
資安法處罰的是:
- 未依規定通報
- 未依規定時限通報
- 通報內容不實
主動通報是正確的行為,不會因此被罰。
可以匿名通報嗎?
正式通報不能匿名。需要填寫機關和聯絡人資訊。
但如果你是發現別人的資安問題,可以透過漏洞回報管道匿名提交。
通報資料會公開嗎?
不會公開。
通報資料是機密,只有主管機關和相關單位可以看。
但重大事件可能會被媒體報導(不是從通報系統洩漏)。
小公司也要通報嗎?
看你是否被指定為「特定非公務機關」。
如果沒有被指定,法律上沒有強制通報義務。
但如果涉及個資外洩,可能要依個資法通報。
事件發生在假日怎麼辦?
時限照算。
假日不是延長通報時限的理由。
建議事先規劃假日值班和通報流程。
可以請廠商幫忙通報嗎?
通報義務在你身上,不能完全委託。
但廠商可以協助:
- 填寫通報內容
- 提供技術資訊
- 協助處理事件
最後提交通報還是要你來做。
想了解更多資安法規,請參考 cybersecurity-law-guide。
下一步
資安事件通報是義務,也是保護自己的方式。
建議行動
事前準備
- 確認你的通報義務和對象
- 申請通報平台帳號
- 建立內部通報流程
- 指定負責人和代理人
- 進行通報演練
事件發生時
- 冷靜評估事件等級
- 在時限內完成初報
- 同時進行技術處理
- 持續更新通報內容
- 完成結案報告
相關資源
延伸閱讀:
- 資安完整指南:資安基礎知識
- cybersecurity-law-guide:法規詳細說明
- 資安健診服務指南:預防勝於治療
需要資安事件應變支援?
事件發生時分秒必爭。專業支援能讓你更快控制損害。
CloudSwap 提供:
- 事件應變諮詢
- 技術調查支援
- 通報協助
- 復原建議
緊急聯繫,我們協助你處理資安事件。