關鍵電信基礎設施資通設備測試機構及驗證機構管理辦法

本辦法依電信管理法（以下簡稱本法）第八十七條第二項及第三項規定訂定之。

1. 本辦法用詞定義如下： 一、關鍵電信基礎設施資通設備（以下簡稱資通設備）：主管機關依本法第四十二條第八項公告之技術規範規定之設備。 二、測試機構：指依前款技術規範辦理資通設備測試作業之機構。 三、驗證機構：指經主管機關委託辦理資通設備審驗作業之機構。
2. 前項第三款資通設備委託審驗作業項目，由主管機關公告之。

1. 測試機構應經財團法人全國認證基金會（以下簡稱認證組織）認證，具備執行主管機關公告之資通設備相關技術規範所列測試內容之能力。
2. 測試機構應符合下列條件： 一、依法設立之本國法人、機構。 二、符合CNS 17025或ISO/IEC 17025標準。 三、未從事擬申請測試項目之資通設備輸入、設計、製造或販賣相關業務。 四、須設置三名以上之專業且專職之人員，包含測試主管一名及測試工程師二名。
3. 前項第四款之人員，應符合下列條件： 一、測試主管： （一）為國內公立或立案之私立大專以上學校或經教育部承認之國外大專以上學校之資訊工程、資訊管理或相關科系畢業。 （二）具資通安全相關管理或測試評估實務工作經驗達五年以上，且瞭解相關法令與技術規範。 （三）取得CNS 17025或ISO/IEC 17025訓練合格證書。 二、測試工程師： （一）為國內公立或立案之私立大專以上學校或經教育部承認之國外大專以上學校之資訊工程、資訊管理或相關科系畢業。 （二）具資通安全相關測試評估實務工作經驗達二年以上。 （三）具備ISO/IEC 15408測試評估專業訓練時數至少四十小時以上之證明。 （四）取得道德駭客認證（Certified Ethical Hacker,CEH）或國際網路資安認證（CompTIA Security+）有效之資訊安全相關專業證照。 （五）具備下列有效之資訊安全相關專業證照之一： 1.資訊系統安全專家證照（（ISC）2 Certified Information Systems Security Professional,CISSP）。 2.資安分析專家證照（EC-Council Certified Security Analyst,ECSA）。 3.資安鑑識調查專家證照（EC-Council Computer Hacking Forensic Investigator,CHFI）。 4.滲透測試專家證照（GIAC Penetration Tester,GPEN）。 5.資安專業人員證照（（ISC）2 Systems Security Certified Practitioner,SSCP）。 6.滲透測試技術證照（Offensive Security Certified Professional,OSCP）。
4. 認證組織認證測試機構符合前三項規定後，應檢具測試機構認證證書，報請主管機關備查。
5. 測試機構為執行主管機關公告之資通設備相關技術規範，應設置必要之測試設備以辦理測試作業。
6. 主管機關得向測試機構調閱及查核相關文件，並得派員至測試機構實地查證，測試機構無正當理由不得規避、妨礙或拒絕。

1. 測試機構有下列情形之一者，主管機關得令其限期改善並暫停辦理測試作業，經主管機關確認改善完成，始得辦理測試作業： 一、不符合第三條第二項各款條件。 二、未依主管機關公告之資通設備相關技術規範辦理測試作業。 三、拒不提供相關文件或無正當理由拒絕主管機關派員實地查證。 四、經主管機關或認證組織認定違反CNS17025 或ISO/IEC 17025 標準。
2. 前項測試機構暫停辦理測試作業之期間至少三個月，主管機關並得視情節輕重予以延長至一年。

1. 申請擔任驗證機構者（以下簡稱申請人），應符合下列條件： 一、依法設立之本國法人、機構。 二、未從事擬申請驗證項目之資通設備輸入、設計、製造或販賣相關業務。 三、符合CNS 17065或ISO/IEC 17065標準。 四、須設置二名以上專職之驗證人員。
2. 前項第四款之驗證人員，應符合下列條件： 一、為國內公立或立案之私立大專以上學校或經教育部承認之國外大專以上學校之資訊工程、資訊管理或相關科系畢業。 二、具資通安全相關管理或測試評估實務工作經驗達五年以上，且瞭解相關法令與技術規範。 三、取得CNS 17065或ISO/IEC 17065訓練合格證書。 四、具備下列有效之資訊安全相關專業證照之一： （一）資訊系統安全專家證照（（ISC）2 Certified Information Systems Security Professional,CISSP）。 （二）資安分析專家證照（EC-Council Certified Security Analyst,ECSA）。 （三）資安鑑識調查專家證照（EC-Council Computer Hacking Forensic Investigator,CHFI）。 （四）滲透測試專家證照（GIAC Penetration Tester,GPEN）。 （五）資安專業人員證照（（ISC）2 Systems Security Certified Practitioner,SSCP）。 （六）滲透測試技術證照（Offensive Security Certified Professional,OSCP）。 五、不得兼任第三條第二項第四款之人員。

1. 申請人應檢具下列文件，向主管機關提出申請： 一、資通設備驗證機構申請書（如附件一）。 二、設立證明文件影本。 三、申請人取得之CNS 17065或ISO/IEC 17065證書影本。 四、驗證人員符合前條第二項資格之基本資料。 五、驗證部門組織架構圖與功能說明表。 六、驗證部門品質手冊。 七、驗證部門品質文件一覽表。 八、擬申請驗證之資通設備審驗作業程序。 九、其他經主管機關指定之資料。
2. 前項申請文件有不全或記載不完備者，經主管機關通知限期補正，屆期未補正或補正不完備者，駁回其申請。
3. 前項補正期間最長不得逾一個月。

1. 申請人依前條規定檢附之文件，經主管機關審查合格者，由主管機關進行實地評鑑。
2. 主管機關應依下列各款規定辦理實地評鑑，並提出評鑑報告： 一、CNS 17065或ISO/IEC 17065標準。 二、主管機關公告之資通設備相關技術規範或國家標準之規定。 三、其他經主管機關指定與實地評鑑相關之事項。
3. 經實地評鑑有不符合前項各款規定者，主管機關應列舉不符合事項，並通知其限期改善。申請人應於通知期限內完成改善，並提出改善報告，屆期未完成者，駁回其申請。
4. 前項改善期間最長不得逾三個月。

申請人經主管機關評鑑合格，與主管機關簽訂資通設備委託審驗契約（以下簡稱委託審驗契約），並經主管機關核發資通設備驗證機構認證證書（以下簡稱認證證書，如附件二），始得辦理資通設備審驗工作。

1. 驗證機構對於申請資通設備審驗案件（以下簡稱審驗案件），無正當理由，不得拒絕或為差別待遇。
2. 驗證機構及其驗證人員不得從事輔導廠商或改變資通設備功能之相關工作。
3. 驗證機構辦理審驗案件時，應以驗證機構之名義為之。
4. 前項審驗案件之測試報告應由經認證組織認證之測試機構出具。

1. 驗證機構應依關鍵電信基礎設施資通設備資通安全檢測技術規範等規定，辦理資通設備審驗證明（以下簡稱審驗證明）之核發、補發、換發、撤銷或廢止、審驗申請之駁回或同意經審驗合格之資通設備其外觀變更等事項。
2. 驗證機構受理審驗案件之完整資料，應自完成之日起十日內，依主管機關指定方式報請備查。
3. 主管機關於必要時，得指示驗證機構抽驗關鍵電信基礎設施設置者之資通設備。抽驗之每一案件應於抽驗之日起二個月內將抽驗結果報請主管機關備查。
4. 前項抽驗之資通設備由關鍵電信基礎設施設置者提供。

1. 驗證機構申請增列資通設備之驗證項目者，應依第六條規定申請，並辦理認證證書之換發；換發之認證證書有效期間與原認證證書同。
2. 主管機關受理前項申請得依第七條規定辦理實地評鑑。
3. 認證證書記載事項異動時，除第一項增列驗證項目外，應自異動發生日起十五日內，檢附認證證書向主管機關申請換發。經換發之認證證書，其有效期間與原認證證書同。
4. 驗證機構有驗證人員出缺、增加之異動，應於異動發生之日起十五日內，檢附異動人員資料報請主管機關備查。
5. 驗證人員出缺未補實致不符合第五條第一項第四款規定時，主管機關得令該驗證機構暫停辦理有關之審驗工作；驗證機構應於驗證人員補實後，檢附驗證人員基本資料，報請主管機關准予恢復辦理審驗工作。

主管機關得派員至驗證機構進行不定期查核，驗證機構不得拒絕之。

1. 委託審驗契約之期間為三年。
2. 委託審驗契約期間屆滿前三個月起之二個月內，驗證機構得申請辦理續約，主管機關得視需要依第六條及第七條規定辦理審查及評鑑。
3. 主管機關應於委託審驗契約期間屆滿前一個月通知驗證機構不得再受理審驗案件。驗證機構應於通知之日起一個月內完成已受理之審驗案件。

1. 驗證機構有下列情形之一者，主管機關得終止委託審驗契約，並令其繳回認證證書及註銷其認證證書： 一、不符合第五條第一項各款條件。 二、違反第九條第二項、第十條、第十一條或第十六條規定。 三、逾越委託審驗契約授權範圍或怠於辦理審驗案件工作。 四、無正當理由拒絕主管機關不定期查核。 五、違反本法、行政程序法、關鍵電信基礎設施資通設備資通安全檢測技術規範或本辦法等法令規定。 六、受理申請審驗案件，有無正當理由之拒絕或差別待遇之情事。 七、核發之審驗證明有虛偽不實之情事者。
2. 前項第一款至第四款情形，主管機關得令驗證機構限期改善，屆期未改善者，依前項規定辦理。

1. 委託審驗契約經依前條規定終止時，驗證機構應將未完成之審驗案件交由主管機關指定之驗證機構辦理。
2. 驗證機構應於委託審驗契約關係消滅後七日內將所有審驗案件相關之完整資料移交主管機關。
3. 經依前條規定終止委託審驗契約之驗證機構，於委託審驗契約終止日起一年內，不得重新申請擔任驗證機構。

驗證機構應於取得第八條認證證書之日起一年內建置網路申辦系統，受理資通設備審驗之申請。

驗證機構受理審驗案件時，應依主管機關所定收費標準向申請審驗案件者收取審驗費，並於收訖之次日悉數解繳國庫；主管機關另依委託審驗契約議定標準核支其委託費用。

本辦法自發布日施行。