國家通訊傳播委員會 全球資訊網 關於本會 新聞公告 法令查詢 業務統計 政府資訊公開 業務申辦 服務與推廣 國家通訊傳播委員會 全球資訊網 關於本會 新聞公告 法令查詢 業務統計 政府資訊公開 業務申辦 服務與推廣 國家通訊傳播委員會 全球資訊網 關於本會 新聞公告 法令查詢 業務統計 政府資訊公開 業務申辦 服務與推廣 國家通訊傳播委員會 全球資訊網 關於本會 新聞公告 法令查詢 業務統計 政府資訊公開 業務申辦 服務與推廣 國家通訊傳播委員會 全球資訊網 關於本會 新聞公告 法令查詢 業務統計 政府資訊公開 業務申辦 服務與推廣 國家通訊傳播委員會 全球資訊網 關於本會 新聞公告 法令查詢 業務統計 政府資訊公開 業務申辦 服務與推廣 國家通訊傳播委員會 全球資訊網 關於本會 新聞公告 法令查詢 業務統計 政府資訊公開 業務申辦 服務與推廣 國家通訊傳播委員會 全球資訊網 關於本會 新聞公告 法令查詢 業務統計 政府資訊公開 業務申辦 服務與推廣 國家通訊傳播委員會 全球資訊網 關於本會 新聞公告 法令查詢 業務統計 政府資訊公開 業務申辦 服務與推廣 國家通訊傳播委員會 全球資訊網 關於本會 新聞公告 法令查詢 業務統計 政府資訊公開 業務申辦 服務與推廣
進入內容區塊

NCC國家通訊傳播委員會

NCC督導通傳事業辦理資通安全防護之年度推動情形

一、明訂資安法規規範,俾利業者遵循

(一)為提高電信事業之資安防護能量,本會已分別於103年8月22日、104年11月13日及106年5月22日修正第二類電信事業管理規則、固定通信業務管理規則、行動寬頻業務管理規則及第三代行動通信業務管理規則,增訂資通安全管理專章,強化電信事業之資通安全、電信設備機房及網路資料中心機房安全管理,並配合國家安全機關對使用電信設備安全考量等管理需要,針對委外進行資通系統軟體設計及系統維運暨測試作業,限制不得委託有國安疑慮人員辦理,並明確規定電信設備機房應以原則禁止例外許可方式管制人員進出,以全面提升電信事業重要通訊網路設施資通安全。

(二)為強化行動寬頻系統資通安全,本會復於108年9月起陸續完備「行動寬頻業務管理規則」及「行動寬頻系統審驗技術規範」,明定行動寬頻業者應擬定及落實資安維護計畫的資安防護義務,藉由法遵確保其在規劃、建設、開臺、營運等階段均納入資安防護,為我國實踐數位國家、促進產業轉型與升級,及邁向智慧社會等奠下基礎。

(三)同時為引導業者擬妥前述資安維護計畫,以因應5G網路面臨之資安威脅,本會並參考國際標準,研提資通安全參考框架以供業者參用。

(四)電信管理法頒布施行後,本會亦於109年7月9日公布「電信事業資通安全管理辦法」,明確規範電信事業之資通安全管理相關要求,同時規定本會督導業者計畫實施情形之稽核程序,以精進電信事業之資安防護作為。

二、辦理查核及演練,強化業者防護能量

(一)辦理電信機房安全行政查核

為督導電信事業落實機房安全管理,降低業者資安事件發生可能性,以保障消費者通訊權益,本會自於104年度起,每年針對不同網路類型之電信事業,辦理電信機房行政檢查。

104年針對用戶數大於10萬戶且具電信機房之網際網路接取業者實施機房安全進行行政檢查;105年度查核對象為對經營第二類電信事業網際網路接取服務,且用戶數為1萬戶至10萬戶之業者;106年度查核對象為105年度列為一、二級共52座關鍵基礎設施及105年度盤點之網路資料中心機房;107年查核對象為行動寬頻通信業務經營者;108年度查核對象為固定通信事業。上述查核結果皆符合機房安全管理相關規定。

去(109)年度選定行動寬頻業務經營者,抽查機房計20座,結果亦全數合格。本(110)年度回歸第二類電信事業,辦理機房行政檢查,並因應COVID-19疫情防疫措施,改採書審及輔以視訊方式,持續督導業者落實機房安全管理相關規定。

(二)辦理電信事業資安防護演練

  1. 為驗證電信事業網路域名伺服器(Domain Name Server,DNS)之安全防護機制及應變處置程序,發掘風險管理潛在問題,並藉由演練精進應變指揮協調要領,提升電信事業DNS設施安全防護能量,確保服務提供及持續營運,本會於106年度辦理1場次電信事業DNS防護情境演練及實兵演練,演練對象為針對設置DNS伺服器及暫存伺服器(Cache DNS)合計5部以上共10家之較大型域名服務業者,以提升業者重視並透過演練督促業者審視現有防禦機制。107年持續辦理電信事業DNS演練,再針對建置5部以上DNS伺服器之8家域名服務業者,辦理DNS防護之情境及實兵演練,俾持續督促業者重視網路資安攻擊防護,熟稔緊急應處及相關通報程序。108年則選定設置DNS主機伺服器及DNS Cache伺服器合計3部以上且未曾參與DNS防護演練之業者合計7家辦理演練,驗證業者網路DNS之安全防護機制及應變處置程序,發掘風險管理潛在問題;同時,藉由演練精進應變指揮協調要領,提升電信事業DNS設施安全防護能量,確保服務提供及持續營運。
     
  2. 鑑於BGP Hijacking日趨嚴重,為提升網際網路接取服務業者BGP Router安全防護機制,發掘潛在安全問題,及檢視網際網路接取服務業者基礎網路的可靠性,本會於109年擇定5家電信關鍵基礎設施提供者辦理BGP協定惡意攻擊防護演練,驗證業者是否具備攻擊偵測及應處作業之成熟度。

 

108年度電信事業DNS防護演練綜合檢討會議

108年度電信事業DNS防護演練綜合檢討會議

109年度BGP路由器防護演練實兵攻擊演練

109年度BGP路由器防護演練實兵攻擊演練