修正「資通安全管理法施行細則」第六條、第七條、第十三條、「資通安全責任等級分級辦法」第五條、第六條、第七條及第十一條附表一至附表八、附表十、「資通安全事件通報及應變辦法」第六條、第十三條、第二十一條、「特定非公務機關資通安全維護計畫實施情形稽核辦法」第三條、第六條、第十條、「資通安全情資分享辦法」第三條、第十一條及「公務機關所屬人員資通安全事項獎懲辦法」第四條、第七條。
附修正「資通安全管理法施行細則」第六條、第七條、第十三條、「資通安全責任等級分級辦法」第五條、第六條、第七條及第十一條附表一至附表八、附表十、「資通安全事件通報及應變辦法」第六條、第十三條、第二十一條、「特定非公務機關資通安全維護計畫實施情形稽核辦法」第三條、第六條、第十條、「資通安全情資分享辦法」第三條、第十一條及「公務機關所屬人員資通安全事項獎懲辦法」第四條、第七條
院 長 蘇貞昌
資通安全管理法施行細則第六條、第七條、第十三條修正條文
第 六 條 本法第十條、第十六條第二項及第十七條第一項所定資通安全維護計畫,應包括下列事項:
一、核心業務及其重要性。
二、資通安全政策及目標。
三、資通安全推動組織。
四、專責人力及經費之配置。
五、公務機關資通安全長之配置。
六、資通系統及資訊之盤點,並標示核心資通系統及相關資產。
七、資通安全風險評估。
八、資通安全防護及控制措施。
九、資通安全事件通報、應變及演練相關機制。
十、資通安全情資之評估及因應機制。
十一、資通系統或服務委外辦理之管理措施。
十二、公務機關所屬人員辦理業務涉及資通安全事項之考核機制。
十三、資通安全維護計畫與實施情形之持續精進及績效管理機制。
各機關依本法第十二條、第十六條第三項或第十七條第二項規定提出資通安全維護計畫實施情形,應包括前項各款之執行成果及相關說明。
第一項資通安全維護計畫之訂定、修正、實施及前項實施情形之提出,公務機關經其上級或監督機關同意,得由其上級、監督機關或其上級、監督機關所屬公務機關辦理;特定非公務機關經其中央目的事業主管機關同意,得由其中央目的事業主管機關、中央目的事業主管機關所屬公務機關或中央目的事業主管機關所管特定非公務機關辦理。
第 七 條 前條第一項第一款所定核心業務,其範圍如下:
一、公務機關依其組織法規,足認該業務為機關核心權責所在。
二、公營事業及政府捐助之財團法人之主要服務或功能。
三、各機關維運、提供關鍵基礎設施所必要之業務。
四、各機關依資通安全責任等級分級辦法第四條第一款至第五款或第五條第一款至第五款涉及之業務。
前條第一項第六款所稱核心資通系統,指支持核心業務持續運作必要之系統,或依資通安全責任等級分級辦法附表九資通系統防護需求分級原則之規定,判定其防護需求等級為高者。
第 十三 條 本細則之施行日期,由主管機關定之。
本細則修正條文自發布日施行。
資通安全責任等級分級辦法第五條、第六條、第七條修正條文
第 五 條 各機關有下列情形之一者,其資通安全責任等級為B級:
一、業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理。
二、業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維運。
三、業務涉及區域性或地區性民眾個人資料檔案之持有。
四、業務涉及中央二級機關及所屬各級機關(構)共用性資通系統之維運。
五、屬公務機關,且業務涉及區域性或地區性之關鍵基礎設施事項。
六、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生嚴重影響。
七、屬公立區域醫院或地區醫院。
第 六 條 各機關維運自行或委外設置、開發之資通系統者,其資通安全責任等級為C級。
前項所定自行或委外設置之資通系統,指具權限區分及管理功能之資通系統。
第 七 條 各機關自行辦理資通業務,未維運自行或委外設置、開發之資通系統者,其資通安全責任等級為D級。
資通安全事件通報及應變辦法第六條、第十三條、第二十一條修正條文
第 六 條 公務機關知悉資通安全事件後,應依下列規定時間完成損害控制或復原作業,並依主管機關指定之方式及對象辦理通知事宜:
一、第一級或第二級資通安全事件,於知悉該事件後七十二小時內。
二、第三級或第四級資通安全事件,於知悉該事件後三十六小時內。
公務機關依前項規定完成損害控制或復原作業後,應持續進行資通安全事件之調查及處理,並於一個月內依主管機關指定之方式,送交調查、處理及改善報告。
前項調查、處理及改善報告送交之時限,得經上級或監督機關及主管機關同意後延長之。
上級、監督機關或主管機關就第一項之損害控制或復原作業及第二項送交之報告,認有必要,或認有違反法令、不適當或其他須改善之情事者,得要求公務機關提出說明及調整。
第 十三 條 特定非公務機關知悉資通安全事件後,應依下列規定時間完成損害控制或復原作業,並依中央目的事業主管機關指定之方式辦理通知事宜:
一、第一級或第二級資通安全事件,於知悉該事件後七十二小時內。
二、第三級或第四級資通安全事件,於知悉該事件後三十六小時內。
特定非公務機關依前項規定完成損害控制或復原作業後,應持續進行事件之調查及處理,並於一個月內依中央目的事業主管機關指定之方式,送交調查、處理及改善報告。
前項調查、處理及改善報告送交之時限,得經中央目的事業主管機關同意後延長之。
中央目的事業主管機關就第一項之損害控制或復原作業及第二項送交之報告,認有必要,或認有違反法令、不適當或其他須改善之情事者,得要求特定非公務機關提出說明及調整。
特定非公務機關就第三級或第四級資通安全事件送交之調查、處理及改善報告,中央目的事業主管機關應於審查後送交主管機關;主管機關就該報告認有必要,或認有違反法令、不適當或其他須改善之情事者,得要求特定非公務機關提出說明及調整。
第二十一條 本辦法之施行日期,由主管機關定之。
本辦法修正條文自發布日施行。
特定非公務機關資通安全維護計畫實施情形稽核辦法第三條、第六條、第十條修正條文
第 三 條 主管機關除因不可抗力因素外,應每年擇定受稽核之特定非公務機關(以下簡稱受稽核機關),並以現場實地稽核之方式,稽核其資通安全維護計畫實施情形。
主管機關擇定前項受稽核機關時,應綜合考量其業務之重要性與機敏性、資通系統之規模與性質、資通安全事件發生之頻率與程度、資通安全演練之成果、歷年受主管機關或中央目的事業主管機關稽核之頻率與結果或其他與資通安全相關之因素。
主管機關為辦理第一項稽核,應訂定稽核計畫,其內容包括稽核之依據與目的、期間、重點領域、稽核小組組成方式、保密義務、稽核方式、基準與項目及中央目的事業主管機關協助事項。
主管機關決定前項稽核之重點領域與基準及項目時,應綜合考量我國資通安全政策、國內外資通安全趨勢、過往稽核計畫之內容與稽核結果,及其他與稽核資源之適當分配或稽核成效相關之因素。
第 六 條 主管機關辦理第三條第一項之稽核,應依同條第二項所定考量因素,就各受稽核機關分別組成三人以上之稽核小組。
主管機關組成前項稽核小組時,應考量稽核之需求,邀請具備資通安全政策或該次稽核所需之技術、管理、法律或實務專業知識之公務機關代表或專家學者擔任小組成員,其中公務機關代表不得少於全體成員人數之四分之一。
主管機關應以書面與稽核小組成員約定利益衝突之迴避及保密義務。
第二項之公務機關代表或專家學者,有下列情形之ㄧ者,應主動迴避擔任該次稽核之稽核小組成員:
一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人,與受稽核機關或其負責人間有財產上或非財產上之利害關係。
二、本人、其配偶、三親等內親屬或家屬,與受稽核機關或其負責人間,目前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。
三、本人目前或過去二年內任職之機關(構)或單位,曾為受稽核機關之顧問,其輔導項目與受稽核項目相關。
四、其他情形足認擔任稽核小組成員,將對稽核結果之公正性造成影響。
第 十 條 本辦法之施行日期,由主管機關定之。
本辦法修正條文自發布日施行。
資通安全情資分享辦法第三條、第十一條修正條文
第 三 條 主管機關應就情資分享事宜進行國際合作。
主管機關應適時與公務機關進行情資分享。
公務機關應適時與主管機關進行情資分享。但情資已依前項規定分享或已經公開者,不在此限。
中央目的事業主管機關應適時與其所管之特定非公務機關進行情資分享。
特定非公務機關得與中央目的事業主管機關進行情資分享。
前項分享之情資,經中央目的事業主管機關認定足以防止其他機關資通安全事件之發生或降低其損害者,中央目的事業主管機關得予以獎勵。
第 十一 條 本辦法施行日期,由主管機關定之。
本辦法修正條文自發布日施行。
公務機關所屬人員資通安全事項獎懲辦法第四條、第七條修正條文
第 四 條 有下列情形之一者,予以懲處:
一、未依本法、本法授權訂定之法規或機關內部規範辦理下列事項,情節重大:
(一)資通安全情資分享作業。
(二)訂定、修正及實施資通安全維護計畫。
(三)提出資通安全維護計畫實施情形。
(四)辦理資通安全維護計畫實施情形之稽核。
(五)配合上級或監督機關資通安全維護計畫實施情形稽核結果,提出改善報告。
(六)訂定資通安全事件通報及應變機制。
(七)資通安全事件之通報或應變作業。
(八)提出資通安全事件調查、處理及改善報告。
二、辦理資通安全業務經主管機關、上級或監督機關評定績效不良,經疏導無效,情節重大。
三、其他違反本法、本法授權訂定之法規或機關內部規範之行為,情節重大。
四、對業務督導不力,致其屬員、所屬或所監督機關之人員有前三款情形之一。
第 七 條 本辦法之施行日期,由主管機關定之。
本辦法修正條文自發布日施行。
TOP