公務機關所屬人員辦理資通安全事項作業辦法

本辦法依資通安全管理法（以下簡稱本法）第十八條第三項、第十九條第六項及第二十八條第二項規定訂定之。

1. 本辦法所稱資通安全人員，指資通安全專職人員及其他實際從事資通安全業務之人員。
2. 前項所稱資通安全專職人員，指應全職執行資通安全業務者。

1. 本法第十九條第一項所稱必要時，指資通安全專職人員有下列情形之一者： 一、辦理業務涉及國家機密保護法所稱國家機密、軍事機密與國防秘密種類範圍等級劃分準則所稱軍事機密或國防秘密。 二、其他經公務機關綜合業務屬性及人員實際情形予以審認。
2. 本法第十九條第二項所稱錄取人員，指經資通安全類科考試錄取並符合前項第一款情形者。

1. 依本法第十九條第一項或第二項規定辦理適任性查核之項目如下： 一、公務人員任用法第二十八條第一項所列情形之一者。 二、涉及國家安全或重大利益公務人員特殊查核辦法第三條第一項第一款、第三款、第八款、第十款所列情形之一者。 三、曾犯刑法妨害電腦使用罪章之罪，經有罪判決確定或通緝有案尚未結案者。
2. 有前項第一款情形者，其查核未通過。
3. 有第一項第二款或第三款情形者，公務機關應交由人事甄審委員會審酌其情節及擬任職務之性質，報請機關首長核定。經首長決定任用者應加註理由；認有危害國家安全或重大利益之虞者，其查核未通過。
4. 前項公務機關未設置人事甄審委員會者，應以其他適當會議方式為之。
5. 現職公務人員對於第二項、第三項之決定，認有違法或顯然不當致損害其權利或利益，得依公務人員保障法規定，提起救濟；非現職公務人員得依訴願法規定，提起救濟。

1. 公務機關或主管機關辦理適任性查核，應檢附附表函請法務部調查局辦理，並知會當事人。
2. 法務部調查局將查核情形函復後，公務機關或主管機關應於收受日之次日起三日內以書面通知當事人。

1. 當事人對於前條查核情形，認有違反事實時，得於接到書面通知之日起十五日內，向公務機關或主管機關陳述意見及申辯，並以一次為限。
2. 公務機關或主管機關於收受前項陳述意見及申辯後，應函請法務部調查局重行查核。
3. 法務部調查局將重行查核情形函復後，公務機關或主管機關應於收受日之次日起三日內以書面通知當事人。

本法第十九條第一項所定資通安全專職人員之職務，由同一現職人員代理超過三個月者，準用本章規定辦理適任性查核。

1. 主管機關應規劃推動資通安全專職人員之資通安全職能訓練（以下簡稱資安職能訓練），並辦理下列事項： 一、資安職能訓練制度之訂定及實施。 二、資安職能訓練課程教材之開發。 三、資安職能訓練機構之遴選及教學查核。 四、資安職能評量及證書制度之訂定及實施。 五、其他有關資安職能訓練之事項。
2. 前項第一款、第三款及第四款事項之執行方式，由主管機關另行公告之。

1. 應考人通過資通安全職能評量者，由主管機關核發資安職能訓練證書。
2. 應考人有舞弊或其他違規之情事經查證屬實者，主管機關應撤銷其證書。

公務機關應建置資通安全人員名冊，並標註可支援調度之專長及經驗，依主管機關指定之方式送備查；資通安全人員名冊有異動時，應通知主管機關更新。

調度支援之啟動時機如下： 一、發生重大資通安全事件之機關（以下簡稱事件發生機關），基於緊急應處所需，依主管機關指定之方式提出支援請求時。 二、主管機關就重大資通安全事件認有必要調度支援時。

調度支援內容包括事件發生時之損害控制及其他資通安全事件應變相關事項。

1. 主管機關得審酌下列事項作成調度支援決定： 一、資通安全事件之規模、性質、區域性及緊急應處之需求程度。 二、事件發生機關自身、所屬、所監督、所轄、上級公務機關、監督或中央目的事業主管機關之資通安全人力資源配置及可調度情形。 三、受調度之資通安全人員所屬機關（以下簡稱支援機關）之資通安全人力資源配置與可調度情形。 四、其他相關因素。
2. 主管機關基於作成前項決定之必要，得要求事件發生機關說明、協力或提出相關參考文件、證明資料。

1. 主管機關辦理調度支援時，應事先徵詢事件發生機關及支援機關之意見。
2. 支援機關應配合主管機關之指揮調度。

1. 主管機關進行調度支援，應以書面通知支援機關及事件發生機關。
2. 因故無法依前項規定方式通知者，得以其他適當方式通知，並於事後依前項規定補行通知。
3. 第一項通知應記載下列事項： 一、事件發生機關及支援機關。 二、調度期間及地點。 三、支援需求及應注意事項。 四、主管機關、事件發生機關及支援機關之聯絡方式。 五、支援人員名冊。 六、其他應注意事項。
4. 調度期間每次不得逾七日，主管機關認有必要時得延長，延長期間不得逾七日，並以延長一次為限。

參與調度支援人員就緊急應處執行情形、改善建議及其他相關事項，應配合主管機關作成紀錄。

參與調度支援人員，於調度支援期間知悉公務機關或特定非公務機關之機敏資訊，負保密義務。

公務機關就其所屬人員辦理業務涉及資通安全事項之獎懲，得依本辦法之規定自行訂定獎懲基準。

有下列情形之一者，予以獎勵： 一、依本法、本法授權訂定之法規或機關內部規範，訂定、修正及實施資通安全維護計畫，績效優良。 二、依本法第十五條規定稽核資通安全維護計畫實施情形，或辦理資通安全演練作業，績效優良。 三、配合主管機關及本法第十五條所定機關辦理資通安全維護計畫實施情形之稽核、資通安全演練作業或公務機關資通安全業務績效評核及獎勵作業，經評定績效優良。 四、辦理資通安全業務切合機宜，防止資通安全事件之發生，避免本機關、其他機關或人民遭受損害。 五、主動發現新型態之資通安全弱點或入侵威脅，並進行資通安全情資分享，防止資通安全事件之發生或降低其損害。 六、積極查察資通安全維護之異狀，即時發現重大資通安全事件，並辦理通報及應變，防止其損害擴大。 七、對資通安全業務提出具體建議或革新方案，並經採行。 八、辦理資通安全人才培育事務，有具體貢獻。 九、辦理資通安全科技之研發、整合、應用、產學合作或產業發展事務，有具體貢獻。 十、辦理資通安全軟硬體技術規範、相關服務及審驗機制發展等事務，有具體貢獻。 十一、辦理資通安全政策、法制研析或國際合作事務，有具體貢獻。 十二、配合主管機關辦理調度支援作業，績效優良或有具體貢獻。 十三、辦理其他資通安全業務有具體功績。

有下列情形之一者，予以懲處： 一、未依本法、本法授權訂定之法規或機關內部規範辦理下列事項，情節重大： （一）資通安全情資分享作業。 （二）訂定、修正及實施資通安全維護計畫。 （三）提出資通安全維護計畫實施情形。 （四）辦理資通安全維護計畫實施情形之稽核。 （五）配合主管機關及本法第十五條所定機關資通安全維護計畫實施情形稽核結果，提出改善報告。 （六）訂定資通安全事件通報及應變機制。 （七）資通安全事件之通報或應變作業。 （八）提出資通安全事件調查、處理及改善報告。 二、辦理資通安全業務經主管機關、上級或監督機關評定績效不良，經疏導無效，情節重大。 三、其他違反本法、本法授權訂定之法規或機關內部規範之行為，情節重大。 四、對業務督導不力，致其屬員、所屬或所監督機關之人員有前三款情形之一。

公務機關辦理其所屬人員之平時考核，應審酌前二條所定獎勵及懲處情形，依事實發生之原因、經過、行為之動機、目的、手段、表現、所生之影響等因素為之；其所屬人員為聘用人員、約僱人員或其他與機關有僱傭關係之人員者，其獎勵及懲處之情形並應納入續聘之參考。

公務機關對所屬人員作成第二十條各款情形之懲處前，應給予當事人申辯之機會；必要時，得就所涉資通安全專業事項，徵詢相關專家學者之意見。

本辦法所定之適任性查核、資安職能訓練、調度支援、獎懲作業及其他相關事項，主管機關得委任所屬數位發展部資通安全署辦理之。

本辦法自發布日施行。