lawpalyer logo
3
次修法
2
次修法
1
次修法

資通安全管理法施行細則

第 3 次修法(115.01.04)

中華民國一百十五年一月五日數位發展部數授資法字第 1145000413 號令修正發布全文 15 條;並自發布日施行

立法總說明

《資通安全管理法施行細則修正總說明(115.01.05 修正)》 資通安全管理法施行細則(以下簡稱本細則)自一百零七年十一月二十一日訂定發布,並定自一百零八年一月一日施行後,曾於一百十年八月二十三日修正發布施行。茲因資通安全管理法(以下簡稱本法)於一百十四年九月二十四日修正公布,並定自一百十四年十二月一日施行,為配合本法部分條文內容修正及因應實務運作所需,爰修正本細則,其修正要點如下: 一、增訂本法第二條第二項定明資安專責機關為數位發展部資通安全署。(修正條文第二條) 二、配合本法第三條第十款新增受政府控制之事業、團體或機構之指定程序,爰增訂中央目的事業主管機關指定前應給予其陳述意見(修正條文第四條) 三、增訂本法第四條第一項第五款民間重大資通安全事件之定義(修正條文第五條)四、增訂刑法妨害電腦使用罪章之罪之前案紀錄及尚未終結之通緝案件,為受託者所屬人員辦理涉及國家機密業務之適任性查核項目。(修正條文第七條) 五、增訂本法第十條第四項第三方協力機制之定義。(修正條文第八條) 六、配合本法增訂特定非公務機關應置資通安全長及所屬人員辦理資通安全業務績效優良之獎勵規定,以及考量現行實務運作模式,爰修正資通安全維護計畫應包括事項之相關內容。(修正條文第九條) 七、配合本法第三條第六款與第九款修正「特定財團法人」用詞,及本法第三條第六款增列受政府控制之事業、團體或機構為特定非公務機關,酌修相關文字。(修正條文第十條) 八、增訂本法第十四條所定上級機關於中央機關所指情形,以符實務運作方式。(修正條文第十一條) 九、配合本法增訂涉及重大資通安全事件之規定,修正相關規定。(修正條文第十三條及第十四條)

異動條文 新舊條文對照詳細解說

第 1 條

  1. 本細則依資通安全管理法(以下簡稱本法)第條規定訂定之。
  1. 本細則依資通安全管理法(以下簡稱本法)第條規定訂定之。

第 2 條

  1. 本法第條第二項資安專責機關為數位發展部資通安全署
  1. 本法第條第五款所稱軍事機關,指國防部及其所屬機關(構)、部隊、學校;所稱情報機關,指國家情報工作法第三條第一項第一款及第二項機關

第 3 條

  1. 本法第條第款所稱軍事機關指國防部及其所屬機關(構)部隊、學校;所稱情報機關國家情工作法第三條第第一款機關
  1. 公務機關或特定非公務機關(以下簡稱各機關)依本法第七條第項、第十三條第二項、第十六條第項或第十七條第三項提出改善報告應針對資通安全維護計畫實施情形之稽核結果提出下列內容,並依主管機關上級或監督機關或中央目的事業主管機關定之方式及時間,提出改善告之執行情形: 、缺失或待改善之內容。 、發生原因。 三、為改正缺失或補強待改善目所採取管理、技術、人力或資源等層面之措施。 四、前款措施之預完成時程及執行進度追蹤方式

第 4 條

  1. 中央目的事業主管機關依本法第第十款規定指定受政府控制事業團體機構前給予其陳述見之機會;中央目的第二十條第一項規定指定鍵基礎設施提供亦同
  1. 機關依本法第規定委外辦理資通系統建置維運資通服務之提供(以下簡稱受託業務)選任及監督受託者時,下列項: 一、受託者辦理受託務之相關程序及環境,應具備完善之資通安全理措施或通過第三方驗證。 二、受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。 三、受託者辦理受託業務得否複委託、得複委託之範圍與對象,及複委託之受託者應具備之資通安全維護措施。 四、受託業務涉及國家密者,執行受託業務之相人員應接受適任性查核,並國家機密保護規定,管制其出境。 五、受託業務包括客製化資通系統開發者,受託者應提供該資通系統之安全性檢測證明;該資通系統屬委託機之核心資通系統,或委託金額達新臺幣一千萬元以上者,委託機關應自行或另行委託第三方進行安全性檢測;涉及利用非受託者自行開發之系統或資源者,並應標示非自行開發之內容與其來源及提供授權證明。 六、受託執行受託業務違反資通安全相關法令或知悉資通安全事件時,應立即通知委託機關及採行之補救措施 七、委託關係終止或解除時,應確認受託者返還、移交、刪除或銷毀履行契約而持有之資料。 八、受託者應採取之其他資通安全相關維護措施。 九、委託機關應定期或於知悉受託者發生可能影響受託業務之資通安全事件時,以稽核或其他適當方式確認受託業務之執行情形。
  2. 委託機關辦理前項第四款之適任性查核,應考量受託業務所涉及國家機密之機密等級及內容,就執行該業務之受託者所屬人員及可能接觸該國家機密之其他人員,於必要範圍內查核有無下列事項: 一、曾犯洩密罪,或於動員戡亂時期終止後,犯內亂罪、外患罪,經判刑確定,或通緝有案尚未結案。 二、曾任公務員,因違反相關安全保密規定受懲戒或記過以上行政懲處。 三、曾受到外國政府、大陸地區、香港或澳門政府之利誘、脅迫,從事不利國家安全或重大利益情事。 四、其他與國家機密保護相關之具體項目。
  3. 第一項第四款情形,應記載於招標公告、招標文件及契約;於辦理適任性查核前,並應經當事人書面同意。

第 5 條

  1. 本法第條第一項第五款所稱重大資通安全事件,指民間單位有下列情形一者並對社會公共利益、國民生活或經濟活動有重大影響且受社會矚目之事: 一、核心業務資訊遭嚴重洩漏。 二、核心業務資訊或核心資通系統遭嚴重竄改。 三、核心資通系統運作受影響或停頓,無法於可容忍中斷時間內回復正常運作
  1. 前條第三項及本法第十六條第一項書面依電子簽章法規定得以電子文

第 6 條

  1. 公務機關或特定非公務機關(以下簡稱各機關)依本法第第二項、第十六條第一項、第十條第五條第提出改善報告,應針對資通安全維護計畫實施情形之稽核結果提出下列內容: 一、缺失或待改善之項目內容。 二、發生原因。 三、為改正缺失或補強待改善項目所採取管理技術、人力源等層面措施。 前款措施之預定完成時程執行進度追蹤方式
  2. 各機關依規定提出改善報告後,應依稽核機關指定方式及時間,提出改善報告之執行情形
  1. 本法第、第十六條第條第所定資通安全維護計畫,應包括下列事項: 一、核心業務其重要性。 二、資通安全政策及目標。 三、資通安全推動組織。 四專責人力及經費之配置。 五、公務機關通安全長配置。 六、資通系統及資訊之盤點,並標示核心資通系統及相關資產。 七、資通安全風險評估。 八、資通安全防護及控制措施。 資通安全事件通報、應變及演練相關機制。 十、資通安全情資之評估及因應機制。 十一、資通系統或服務委外辦理之管理措施。 十二、公務機關所屬人員辦理業務涉資通安全事項考核機制 十三、資通安全維護計畫與實施情形之持續精進及績效管理機制。
  2. 各機關依本法第十二條、第十六條第三或第十七條第二項規定提出資通安全維護計畫實施情形,應包括前項各款執行成果及相關說明
  3. 第一項資通安全維護計畫之訂定、修正、實施及前項實施情形之提出,公務機關經其上級或監督機關同意,得由其上級、監督機關或其上級、監督機關所屬公務機關辦理;特定非公務機關經其中央目的事業主管機關同意,得由其中央目的事業主管機關、中央目的事業主管機關所屬公務機關或中央目的事業主管機關所管特定非公務機關辦理。

第 7 條

  1. 各機關依本法第十委外辦理資通系統之建置、維運或資通服務之提供(以下簡稱受託業務選任及監督受託者時,應注意列事項: 一、受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業經驗之資通安全專業人員。 二、受託者辦理受託業務得否複委託、得複委託之範圍與對象,及複委託之受託者應具備之資通安全維護措施。 三、受託業務涉及國家密者,執行受託業務之相人員應接受適任性查核,並國家機密保護管制其出境。 四、受託業務包括客製化資通系統開發者,受託者應提供該資通系統之安全性檢測證明;該資通系統屬委託機關核心資通系統,或委託金額達新臺幣一千萬元以上者,委託機關應自行或另行委託第三方進行安全性檢測;涉及利用非受託者自行開發之系統或資源者,並應標示非自行開發之內容與其來源及提供授證明受託者執行受託業務,違反資通安全相關法令或知悉資通安全件時,應立即通知委託機關採行補救措施。 六、委託關係終止或解除時,應確認受託者返還、移交、刪除或銷毀履行契約而持有資料受託者應採取之其他資通安全相關維護措委託機關應定期或於知悉受託者發生可能影響受託業務之資通安全事件時,以稽核其他適當方式確認受託業務之執行情形
  2. 委託機關辦理項第之適任性查應考量受託業務所涉及國家機密之機密等級及內容,就執行該業務之受託者所屬人員及可能接觸該國家機密之其他人員,於必要範圍內查核有無下列事項: 一、曾犯刑法妨害電腦使用罪章經有罪判決確定,緝有案尚未結案。 二、曾犯洩密罪,或於動員戡亂時期終止後,犯內亂罪、外患罪,經有罪判決確定,或通緝有案尚未結案。 三、曾任公務員,因違反相關安全保密規定受懲戒或記過以上行政懲處。 四、曾受到外國政府、大陸地區、香港或澳門政府之利誘、脅迫從事不利國家安全或重大利益情事。 五、他與國家機密保相關之具體項目
  3. 第一項第三款情形,應記載於招標公告、招標文件及契約;於辦理適任性查核前,並應經當事人書面同意。
  1. 第一項第一款所核心業務其範圍如: 一、其組織足認該業務機關核心責所在公營政府捐助財團法人主要服務或功能各機關維運、提供關鍵基礎設所必要之業務機關資通安全責任等級分級辦法第四條第一款至第五款第五條第一款至第五款涉及之業務
  2. 條第一項第所稱心資通系統指支持核心業務持續運作必要系統依資安全責任等級分級辦法附表九資通系統防護需求分級原則之規定判定需求等級為高者

第 8 條

  1. 本法第十條第所稱方協力機制指主管機關參與演練公務機關特定非公務機關以外,具公正性
  1. 本法第十條第十八條第項所定資通安全事件調查、處理及改善報告應包括下列事項: 一事件發生或知悉其發生、完成損害控制或復原作業時間。 二、事件影響之範圍損害評估。 三、損害控制復原作歷程。 四、事件調查及處理作業之歷程。 五、事件根因分析。 六、為防範類似事件再次發生所採取之管理、技術、人力或資源等層面之措施。 七、前款措施之預定完成時程及成效追蹤

第 9 條

  1. 本法第十二十條第二項及第二十條第一資通安全維護計畫,應包括下列事項: 一、核心業務及重要性。 二、資通安全政策及目標。 三、資通安全推動組織。 四、專職人力及經費配置。 五、資通安全長之配置。 六、資通系統之盤點,並標示核心資通系統及相關資產。 七、資通安全風險管理。 八、資通安全防護及控制措施。 九、資通安全事件通報、應變及演練相關 十、資通安全情資之評估及因應機制。 十一、資通系統或服務委外辦理之管理措施。 十二、所屬人員辦理業務涉及資通安全事項之考核機制。 十三、資通安全維護計畫與實施情形之持續精進及績效管理機制。
  2. 各機關依本法第十四條、第二十條第三項或第二十一條第二項規定提出資通安全維護計畫實施情形,應包括前項各款之執行成果及相關說明。
  3. 第一項資通安全維護計畫之訂定、修正、實施及前項實施情形之提出,公務機關經本法第十四條規定收受其資通安全維護計畫實施情形之機關同意,得由收受機關或其所屬、所監督之公務機關、所轄鄉(鎮、市)公所、直轄市山地原住民區公所及鄉(鎮、市)民代表會、直轄市山地原住民區民代表會辦理;特定非公務機關經其中央目的事業主管機關同意,得由其中央目的事業主管機關、中央目的事業主管機關所屬、所監督公務機關或中央目的事業主管機關所管特定非公務機關辦理。
  1. 中央目的事業主管機關依本法第十指定關鍵基礎設施提供者前,應給予陳述意見

第 10 條

  1. 條第一款定核心業務,其範圍如下: 一、公務機關依其組織法規,足認該業務為機關核心權責所在。 二、各機關維運、提供關鍵基礎設施所必要之業務。 三、公營業與特定財團法人及受政府控制之事業、團體或機構之主要服務或功能。 四、各機關依資通安全責任等級分級辦法第條第一款至第五款或五條第一款至第五款涉之業務
  2. 前條第一項第六款所稱核心資通系統,指支持核心業務持續運作必要之系統,或依資通安全責任等級分級辦法附表九資通系統防護需求分級原則之規定,判定其防護需求等級為高者。
  1. 本法第十八條第五項稱重大資通安全件,指資通安全事件通報及應變辦法第條第四項及第五項規定之三級第四級資通安全事件

第 11 條

  1. 本法第十四條所定上級機關,於中央機關指下列情形: 一、總統府、行政院所屬二級機關獨立機、考試院監察院所屬二級機關分別為總統府行政院考試院及監察院。 二行政院、考試院監察院所屬三級以下機關,為其所屬二級機關 三、司法院直屬法院及法官學院,為司法院;臺灣高等法院所屬各分院、各地方法院及臺灣高雄少年及家事法院,為臺灣高等法院;福建高等法院金門分院所屬各地方法院,為福建高等法院金門分院。
  1. 主管機關中央目的事業主管機關知悉重大資通安全事件,依本法第十八條第五項規定公告事件相之必要內容因應措施時應載明事件之發生或知悉其發生之時間原因影響程度控制情形後續改善措施
  2. 前項與事件相關之必要內容及因應措施,有下列情形之一者,不予公告: 一、涉及個人、法人或團體營業上秘密或經營事業有關之資訊,或公開有侵害公務機關、個人、法人或團體之權利或其他正當利益。但法規另有規定,或對公益有必要,或為保護人民生命、身體、健康有必要,或經當事人同意者,不在此限。 二、其他依法規規定應秘密、限制或禁止公開之情形。
  3. 第一項與事件相關之必要內容及因應措施含有前項不予公告之情形者,得僅就其他部分公告之。

第 12 條

  1. 本法第十七條第三項及第二十四條第三項所資通安全事件調查、處理改善報告,應包括下列項: 一、事件發生或知悉其發生、完成損害控制或復原作時間。 二、事件影響之範圍及損害評估。 三、損害控制及復原作業之歷程。 四、事件調查及處理作業歷程。 五、件根因分析。 六、為防範類似事件再次發生採取之、技術、人力或資源等層面措施 七、前款措施之預定完成時程及成效追蹤機制。
  1. 非公務機關之業務涉數中央目的主管機關權責者,主管機關得協調指定一個以上中央目的業主管機關,單獨或共同辦理本法定中央目的事業主機關應辦事項

第 13 條

  1. 法第十七條第五項、第十八條第二項、第二十四條第三項、第五項、第二十五條第一項與第二項規定所稱重大資通安全事件指資通安全事件通報應變及演練辦法第二條第四項及第五項規定之第三級及第四級資通安全事件
  1. 細則之施行日期由主管機關定之
  2. 本細則修正條文自發布日施行。

第 14 條

  1. 主管機關、本法第十四條規定收受資通安全維護計畫實施情形之機關或中央目的事業主管機關知悉重大資通安全事件,依本法第十七條第五項、第二十四條第五項規定公告與事件相關之必要內容及因應措施時,應載明事件之發生或知悉其發生之時間、原因、影響程度、控制情形及後續改善措施。
  2. 前項與事件相關之必要內容及因應措施,有下列情形之一者,不予公告: 一、涉及個人、法人或團體營業上秘密或經營事業有關之資訊,或公開有侵害公務機關、個人、法人或團體之權利或其他正當利益。但法規另有規定,或對公益有必要,或為保護人民生命、身體、健康有必要,或經當事人同意者,不在此限。 二、其他依法規規定應秘密、限制或禁止公開之情形。
  3. 第一項與事件相關之必要內容及因應措施含有前項不予公告之情形者,得僅就其他部分公告之。

第 15 條

  1. 本細則自發布日施行。