資通安全管理法第 三 章 特定非公務機關資通安全管理

1. 中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後，指定關鍵基礎設施提供者，送由主管機關報請行政院核定，並以書面通知受核定者。
2. 關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求，設置資通安全專職人員，並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及實施資通安全維護計畫。
3. 關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
4. 中央目的事業主管機關應綜合考量所管關鍵基礎設施提供者業務之重要性與機敏性、資通系統之規模、性質、資通安全事件發生之頻率、程度及其他與資通安全相關之因素，定期稽核其資通安全維護計畫之實施情形。
5. 關鍵基礎設施提供者之資通安全維護計畫實施情形有缺失或待改善者，應向中央目的事業主管機關提出改善報告。
6. 中央目的事業主管機關應依指定之方式將稽核結果及改善報告送交主管機關。

1. 關鍵基礎設施提供者以外之特定非公務機關，應符合其所屬資通安全責任等級之要求，設置資通安全專職人員，並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及實施資通安全維護計畫。
2. 中央目的事業主管機關得要求所管前項特定非公務機關，提出資通安全維護計畫實施情形。
3. 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形，發現有缺失或待改善者，應限期要求受稽核之特定非公務機關提出改善報告。
4. 中央目的事業主管機關應依指定之方式將稽核結果及改善報告送交主管機關。

前二條資通安全維護計畫之必要事項、實施情形之提出、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他應遵行事項之辦法，由中央目的事業主管機關擬訂，報由主管機關核定。

特定非公務機關應置資通安全長，由特定非公務機關之代表人、管理人、其他有代表權人或其指派之適當人員擔任，負責推動及監督機關內資通安全相關事務。

1. 特定非公務機關為因應資通安全事件，應訂定通報及應變機制。
2. 特定非公務機關於知悉資通安全事件時，應向中央目的事業主管機關通報。
3. 特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告；如為重大資通安全事件者，並應送交主管機關。
4. 前三項通報與應變機制之必要事項、通報內容、報告之提出、送交、演練作業及其他應遵行事項之辦法，由主管機關定之。
5. 中央目的事業主管機關或主管機關知悉重大資通安全事件時，應提供必要之協助；於適當時機並得公告與事件相關之必要內容及因應措施。

1. 中央目的事業主管機關為調查特定非公務機關發生之重大資通安全事件，得依下列程序辦理： 一、通知當事人或關係人到場陳述意見。 二、通知當事人及關係人提出獨立第三方機構出具之鑑識或調查報告。 三、派員、委任或委託其他機關（構）前往當事人及關係人之處所實施必要之檢查。
2. 前項所定關係人，以該項特定非公務機關委託辦理資通系統之建置、維運或資通服務提供之受託者，且與重大資通安全事件相關者為限。
3. 當事人或關係人對於中央目的事業主管機關依第一項所為之調查，不得規避、妨礙或拒絕。
4. 執行調查之人員應出示有關執行職務之證明文件；其未出示者，受調查者得拒絕之。
5. 第一項第三款受委任或委託之機關（構）對於辦理受任或受託事務所獲悉特定非公務機關之秘密，不得洩漏。

特定非公務機關對於所屬人員辦理資通安全業務績效優良者，應予獎勵。

1. 中央目的事業主管機關對特定非公務機關下載、安裝或使用危害國家資通安全產品，得予以限制或禁止；特定非公務機關自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務，於維護資通安全之必要時，亦同。但因業務需求且無其他替代方案者，經該特定非公務機關資通安全長核可，函報中央目的事業主管機關核定後，得以專案方式使用，並列冊管理。
2. 前項對特定非公務機關限制或禁止使用危害國家資通安全產品之管控措施，由中央目的事業主管機關訂定，報主管機關備查。