lawpalyer logo
4
次修法
3
次修法
2
次修法
1
次修法

資通安全責任等級分級辦法

第 4 次修法(115.01.06)

中華民國一百十五年一月七日數位發展部數授資法字第 1145000416 號令修正發布第 1、3、10、11 條條文

立法總說明

《資通安全責任等級分級辦法部分條文修正總說明(115.01.07 修正)》 資通安全責任等級分級辦法(以下簡稱本辦法)前經行政院一百零七年十一月二十一日訂定發布,並自一百零八年一月一日施行。最近一次修正發布日期係一百十年八月二十三日。茲因資通安全管理法於一百十四年九月二十四日修正公布,為配合部分條文內容修正及因應實務運作所需,爰修正本辦法部分條文,其修正要點如下: 一、修正本辦法訂定之依據。(修正條文第一條) 二、配合主管機關調適,修正直轄市及縣(市)議會提交自身資通安全責任等級報主管機關核定。(修正條文第三條) 三、將關鍵基礎設施納為等級調整考量事項,及配合本辦法第三條修正,酌作文字調整。(修正條文第十條) 四、明定各機關得準用中央目的事業主管機關所定特定類型資通系統防護基準規定、等級提交或等級核定機關經主管機關同意或備查後始得免執行本辦法附表所定事項或控制措施,以及機關於各該次修正施行前已受核定者,其新增應辦事項辦理期限自各該修正施行之日起算;並修正附表一至附表七之資通安全責任等級 A 至 D 級機關應辦事項及附表十資通系統防護基準控制措施之規定。(修正條文第十一條)

異動條文 新舊條文對照詳細解說

第 1 條

  1. 本辦法依資通安全管理法(以下簡稱本法)第七條第項規定訂定之。
  1. 本辦法依資通安全管理法(以下簡稱本法)第七條第項規定訂定之。

第 3 條

  1. 行政院應每三年核定自身資通安全責任等級,送主管機關備查;行政院直屬機關應每提交自身、所屬、所監督之公務機關及所管之特定非公務機關之資通安全責任等級,報主管機關核定
  2. 直轄市、縣(市)應每年提交自身、所屬、所監督之公務機關,與所轄鄉(鎮、市)公所、直轄市山地原住民區公所、鄉(鎮、市)民代表會直轄市山地原住民區民代表會及其屬或所監督公務機關之資通安全責任等級,報主管機關核定;直轄市及縣(市)議會應每三年提交自身資通安全責任等級,報主管機關核定
  3. 總統府國家安全會議、立法院、司法院、考試院及監察院應每核定自身、所屬、所監督之公務機關特定非公務機關之資通安全責任等級,主管機關備查
  4. 各機關因組織或業務調整,致須變更資通安全責任等級應即依前三項規定程序辦理等級變更;有新設機關時,亦同
  5. 第一項至第三項公務機關辦理資通安全責任等級之提交或核定,就公務機關特定非公務機關單位,認有另列與該機關不同等級之必要者得考量其業務性質,依第四條至第十條規定認定之
  1. 主管機關應每核定自身資通安全責任等級
  2. 院直屬機關應每年提交自身、所屬監督之公務機關特定非公務機關之資通安全責任等級,報主管機關核定
  3. 直轄市縣(市)政府應每提交自身、所屬監督之公務機關,與所轄鄉(鎮、市)、直轄市山地原住民區公所屬或監督公務機關之資通安全責任等級,主管機關核定
  4. 直轄市及縣(市)議會、鄉(鎮、市)民代表會及直轄市山地住民區民代表會應每二年提交自身資通安全責任等級由其所在區域之直轄市、縣(市)政府彙送主管機關核定
  5. 總統府、國家安全會議、立法院、司法院、考試院及監察院應每二年核定自身、所屬或監督之公務機關及所管之特定非公務機關資通安全責任等級送主管機關備查
  6. 各機關因組織或業務調整,致須變更原資通安全責任等級時,應即依前五項規定程序辦理等級變更;有新設機關時,亦同。
  7. 第一項至第五項公務機關辦理資通安全責任等級之提交或核定,就公務機關或特定非公務機關內之單位,認有另列與該機關不同等級之必要者,得考量其業務性質,依第四條至第十條規定認定之。

第 10 條

  1. 各機關之資通安全責任等級依前六條規定認定之。但第三條第一項至第項之公務機關提交或核定資通安全責任等級時,得考量下列事項對國家安全、社會公共利益、人民生命、身體、財產安全或公務機關聲譽之影響程度,調整各機關之等級: 一、業務涉及外交、國防、國土安全關鍵基礎設施者,其中斷或受妨礙。 二、業務涉及個人資料、公務機密或其他依法規或契約應秘密之資訊者,其資料、公務機密或其他資訊之數量與性質,及遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害。 三、各機關依層級之不同,其功能受影響、失效或中斷。 四、其他與資通系統之提供、維運、規模或性質相關之具體事項。
  1. 各機關之資通安全責任等級依前六條規定認定之。但第三條第一項至第項之公務機關提交或核定資通安全責任等級時,得考量下列事項對國家安全、社會公共利益、人民生命、身體、財產安全或公務機關聲譽之影響程度,調整各機關之等級: 一、業務涉及外交、國防、國土安全、全國性、區域性地區性之能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院業務者,其中斷或受妨礙。 二、業務涉及個人資料、公務機密或其他依法規或契約應秘密之資訊者,其資料、公務機密或其他資訊之數量與性質,及遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害。 三、各機關依層級之不同,其功能受影響、失效或中斷。 四、其他與資通系統之提供、維運、規模或性質相關之具體事項。

第 11 條

  1. 各機關應依其資通安全責任等級,辦理附表一至附表八之事項。
  2. 各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級原則完成資通系統分級,並依附表十所定資通系統防護基準執行控制措施特定非公務機關之中央目的事業主管機關就特定類型資通系統之防護基準認有另為規定之必要者,得自行擬訂防護基準,報請主管機關核定後,依其規定辦理。
  3. 公務機關機關或監督機關同意準用中央目的事業主管機關依前所定防護基準相關規定辦理;其他特定非公務機關經其中央目的事業主管機關同意者,
  4. 機關辦理附表一至附表八所定事項或執行附表十所定控制措施,因技術限制、個別資通系統之設計、結構或性質因素就特事項或控制措施辦理或執行顯有困難者得經三條第一項後段及第二項所定其等級提交機關或同條第一項前段及第三項所定其等級核定機關同意,並報請主管機關備查後,免執行該事項或控制措施。等級提交機關有前段情形者,經主管機關同意後,免予執行;其為等級核定機關者,經報請主管機關備查後,免予執行
  5. 公務機關應依主機關指定之方式提報第一項及第二項事項之辦理情形。
  6. 中央目的事業主管機關得要求其所管特定非公務機關,依其指定之方式提報第一項及第二項事項之辦理情形。
  7. 附表一至附表十之規定,各機關因修正而須於所定期限內辦理新增或異動項目,辦理期限自修正施行之日起算。
  1. 各機關應依其資通安全責任等級,辦理附表一至附表八之事項。
  2. 各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級原則完成資通系統分級,並依附表十所定資通系統防護基準執行控制措施特定非公務機關之中央目的事業主管機關就特定類型資通系統之防護基準認有另為規定之必要者,得自行擬訂防護基準,報請主管機關核定後,依其規定辦理。
  3. 機關辦理附表一至附表八所定事項或執行附表十所定控制措施,因技術限制、個別資通系統之設計、結構或性質等因素,就特定事項或控制措施之辦理或執行顯有困難者,得第三條第二項至第四項所定提交機關或同條第五項所定其等級核定機關同意並報請主管機關備查後,免執行該事或控制措施;其主管機關者,經其意後,免予執行
  4. 公務機關資通安全責任級為A級或B級者應依主管機關指方式提報一項及第二項事項之辦理情形
  5. 中央目的事業主管機關得要求所特定非公務機關,依其指定之方式提報第一項及第二項事項之辦理情形。