lawpalyer logo
3
次修法
2
次修法
1
次修法

資通安全事件通報應變及演練辦法

第 3 次修法(115.01.04)

中華民國一百十五年一月五日數位發展部數授資法字第 1145000415 號令修正發布名稱及全文 20 條;並自發布日施行(原名稱:資通安全事件通報及應變辦法;新名稱:資通安全事件通報應變及演練辦法)

立法總說明

《資通安全事件通報及應變辦法修正總說明(115.01.05 修正)》 資通安全事件通報及應變辦法(以下簡稱本辦法)前經行政院一百零七年十一月二十一日訂定發布,並自一百零八年一月一日施行。最近一次修正發布日期係一百十年八月二十三日。茲因資通安全管理法(以下簡稱本法)於一百十四年九月二十四日修正公布,為配合部分條文內容修正及因應實務運作所需,爰修正本辦法,名稱並修正為「資通安全事件通報應變及演練辦法」,其修正要點如下: 一、修正本辦法名稱及第二章章名。 二、修正本辦法訂定之依據。(修正條文第一條) 三、修正各級資通安全事件之要件。(修正條文第二條) 四、整併現行條文有關公務機關及特定非公務機關訂定通報資通安全事件之規範。(修正條文第四條) 五、整併現行條文有關公務機關及特定非公務機關訂定應變資通安全事件之規範。(修正條文第五條) 六、明定公務機關知悉資通安全事件後,須至指定之系統平臺通報。(修正條文第六條) 七、配合本法第十四條、第十七條第二項修正,修正審核資通安全事件等級之機關。(修正條文第七條) 八、配合本法第十四條、第十七條第二項修正,修正收受調查、處理及改善報告之對象,並增訂報告之內容依本法施行細則規定辦理。(修正條文第八條) 九、配合本法第十七條第二項及第五項修正,上級機關、監督機關及主管機關得提供必要支援或協助。(修正條文第九條) 十、將國家安全會議納入應辦理演練之機關,並酌作文字修正。(修正條文第十條)十一、修正中央目的事業主管機關將資通安全事件審核結果提供主管機關之機制。(修正條文第十二條) 十二、配合本法第二十四條第五項修正,明定中央目的事業主管機關對特定非公務機關提供支援或協助之義務,另明定特定非公務機關就重大事件研商會議之召集人。(修正條文第十四條) 十三、修正主管機關召開資通安全事件研商會議之要件。(修正條文第十五條) 十四、明定各機關應配合主管機關、受通報機關及中央目的事業主管機關規劃或辦理之資通安全演練作業。(修正條文第十六條) 十五、明定演練作業相關參與人員知悉機敏資訊應負有保密義務。(修正條文第十七條) 十六、配合本法第二條第二項及本法施行細則第二條修正,定明主管機關得委任數位發展部資通安全署辦理資通安全通報、應變及演練作業等相關事項之依據。(修正條文第十九條) 十七、修正本辦法施行期日之規定。(修正條文第二十條)

異動條文 新舊條文對照詳細解說

第 1 條

  1. 本辦法依資通安全管理法(以下簡稱本法)第十條第項、第十七條第四項及第條第四項規定訂定之。
  1. 本辦法依資通安全管理法(以下簡稱本法)第十條第四項及第條第四項規定訂定之。

第 2 條

  1. 資通安全事件分為四級。
  2. 公務機關或特定非公務機關(以下簡稱各機關)發生資通安全事件,有下列情形之一者,為第一級資通安全事件: 一、非核心業務資訊遭輕微洩漏。 二、非核心業務資訊或非核心資通系統遭輕微竄改。 三、非核心資通系統之運作受影響或停頓,於可容忍中斷時間內回復正常運作,造成機關日常作業影響。
  3. 各機關發生資通安全事件,有下列情形之一者,為第二級資通安全事件: 一、非核心業務資訊遭嚴重洩漏,或未涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。 二、非核心業務資訊或非核心資通系統遭嚴重竄改,或未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。 三、非核心資通系統之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作,或未涉及關鍵基礎設施維運之核心資通系統之運作受影響或停頓,於可容忍中斷時間內回復正常運作。
  4. 各機關發生資通安全事件,有下列情形之一者,為第三級資通安全事件: 一、未涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏,或一般公務機密、涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。 二、未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改,或一般公務機密、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。 三、未涉及關鍵基礎設施維運之核心資通系統之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作,或涉及關鍵基礎設施維運之核心資通系統之運作受影響或停頓,於可容忍中斷時間內回復正常運作。
  5. 各機關發生資通安全事件,有下列情形之一者,為第四級資通安全事件: 一、一般公務機密、涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏,或國家機密遭洩漏。 二、一般公務機密、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改,或國家機密遭竄改。 三、涉及關鍵基礎設施維運之核心資通系統之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作。
  1. 資通安全事件分為四級。
  2. 公務機關或特定非公務機關(以下簡稱各機關)發生資通安全事件,有下列情形之一者,為第一級資通安全事件: 一、非核心業務資訊遭輕微洩漏。 二、非核心業務資訊或非核心資通系統遭輕微竄改。 三、非核心業務之運作受影響或停頓,於可容忍中斷時間內回復正常運作,造成機關日常作業影響。
  3. 各機關發生資通安全事件,有下列情形之一者,為第二級資通安全事件: 一、非核心業務資訊遭嚴重洩漏,或未涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。 二、非核心業務資訊或非核心資通系統遭嚴重竄改,或未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。 三、非核心業務之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作,或未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓,於可容忍中斷時間內回復正常運作。
  4. 各機關發生資通安全事件,有下列情形之一者,為第三級資通安全事件: 一、未涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏,或一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。 二、未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改,或一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。 三、未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作,或涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓,於可容忍中斷時間內回復正常運作。
  5. 各機關發生資通安全事件,有下列情形之一者,為第四級資通安全事件: 一、一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏,或國家機密遭洩漏。 二、一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改,或國家機密遭竄改。 三、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作。

第 4 條

  1. 機關應就資通安全事件之通報訂定作業規範其內容包括下列事項: 、判定事件等級之流程及權責。 二、事件之影響範圍、損害程度及機關因應能力之評估。 三、資通安全事件之部通報流程。 四、通知受資通安全事件影響之其他機關之方式。 五、前四款事項之演練。 六、資通安全事件通報窗口聯繫方式。 七、其他資通安全事件通報相關事項
  1. 公務機關知悉資通安全事件小時依主管機關指定之方式對象,進行資通安全事件通報
  2. 前項資通安全事件等級變更時,公務機關應依前項規定,續行通報。
  3. 公務機關因故無法依第一項規定方式通報者,應於同項規定之時間內依其他適當方式通報,並註記無法依規定方式通報之事由。
  4. 公務機關於無法依第一項規定方式通報之事由解除後,應依該方式補行通報。

第 5 條

  1. 機關應資通安全事件之應變訂定作業規範其內容應包括下列: 一、應變小組之組織。 事件發生前之演練作業。 三、事件發生之損害控制機制事件發生後之復原、鑑識、調查及改善機制。 五、事件相關紀錄之保全。 六、其他資通安全事件應變相關事項
  1. 主管機關應於其自身完成資通安全事件之通報後下列規定時間完成該資通安全件等級之審核,並得依審核結果變更其等級: 一、通報為第一級或第級資通安全事件者,於接獲後八小通報為第三級或第四級資通安全事件者,於接獲後二小時內
  2. 總統府與中央一級機關之直屬機關及直轄市、縣(市)政府,應於其自身、所屬、監督之公務機關、所轄鄉(鎮、市)、直轄市山地原住民區公所與其所屬或監督之公務機關,及前開鄉(鎮、市)、直轄市山地原住民區民代表會,完成資通安全事件之通報後,依前項規定時間完成該資通安全事件等級之審核,並得依審核結果變更其等級。
  3. 前項機關依規定完成資通安全事件等級之審核後,應於一小時內將審核結果通知主管機關,並提供審核依據之相關資訊。
  4. 總統府、國家安全會議、立法院、司法院、考試院、監察院及直轄市、縣(市)議會,應於其自身完成資通安全事件之通報後,依第一項規定時間完成該資通安全事件等級之審核,並依前項規定通知主管機關及提供相關資訊。
  5. 主管機關接獲前二項之通知後,應依相關資訊,就資通安全事件之等級進行覆核,並得依覆核結果變更其等級。但主管機關認有必要,或第二項及前項之機關未依規定通知審核結果時,得就該資通安全事件逕為審核,並得為等級之變更。

第 6 條

  1. 公務機關知悉資通安全事件後,應於一小內至主管機關指定之系統平臺
  2. 前項資通安全事件等級變更時,公務機關依前項規定
  3. 公務機關因故無法依第一規定方式通者,應於同項規定之時間內依其他適當方式通報並註記無法依規定方式通報事由
  4. 公務機關於無法依第一項規定方式通由解除後應依該方式補行通報
  1. 公務機關知悉資通安全事件後,應依下列規定間完成損害控制或復原作業,並依主管機關指定之方式及對象辦理知事宜: 一、第一級或第二級資通安全事件,於知悉該事件後七十二小時內 二、第三級或第四級資通安全事件,於知悉該事件後三十六小時內。
  2. 公務機關依前項規定完成損害控制或復原作業後應持安全事件之調查及處理,並於一個月內依主管機關指定之方式,送交調查、處理及改善
  3. 調查、處理及改善告送交之時得經上級或監督機關及主管機關同意後延長
  4. 上級、監督機關或主管機關就第一項之損害控制或復原作業及第二項送交之告,認有必要,或認有違反法令、不適當或其他須改善得要求公務機關提出說明及調整

第 7 條

  1. 本法第十七條第二項受通報機關於接獲通報資通安全事件後,依下列規定時間完成該資通安全事件等級審核並得依審核結果變更其等級: 一通報為第一級第二級資通安全事件者,於接獲後八小時內。 二、通報為重大資通安全事件者於接獲後二小時內
  2. 前項受通報機關依規定完成資通安全事件等級審核後,於一小時內將審核結果通知主管機關提供審核依據之相關資訊
  3. 主管機關接獲前項之通後,應依相關訊,就資通安全事件之等級進行覆核並得依覆核結果變更等級。但主管機關認有必要,或前項之機關未依規定通知審核結果時,得就該資通安全件逕為審核,並得為等級之變更
  1. 總統府與中央一級機關直屬機關及直轄市、縣(市)政府就所屬監督、所轄業務相關之公務機關執行資通安全事件通報及應變作業應視情形提供必要支援或協助
  2. 主管機關就公務機關執行資通安全事件變作業得視情形提供必要支援或協助
  3. 公務機關悉第三級或第四級通安全事件資通安全長應召開會議研商相關,並得請相關機關提供協助

第 8 條

  1. 公務機關知悉資通安全事件後應依下列規定時間完成損害控制復原作業,並依主管機關指定方式向本法第十七條第二項受通報機關辦理通知事宜: 一、第一級或第二級資通安全事件知悉該事件七十二小時。 二、重大資通安全事件於知悉該事件後三十六小時內
  2. 公務機關依前項規定完成損害控制或復原作業,應持續進行資通安全事件之調查及處,並於個月內依主管機關指定之方式向前項受通報機關送資通安全事件調查、處理及改善
  3. 前項調查、處理改善報告送交之時限得經第一報機關同意後延長之
  4. 第二項調查、處理及改善報告應包括之事項,依本法施行細則第十二條規定辦理。
  5. 第一項受通報機關就同項之損害控制或復原作業及第二項送交之報告,認有必要,或認有違反法令、不適當或其他須改善之情事者,得要求公務機關提出說明及調整。
  1. 總統府與中央一級機關之直屬機關及直轄市、縣(市)政府對於其自身、所屬監督之公務機關、所轄鄉(鎮、市)、直轄市山地原住民區公所與其所屬或監督公務機關及前開鄉(鎮、市)、直轄市山地原住民區民代表會,應規劃及辦理資通安全演練作業完成一個月將執行情形及成果報告送交主管機關
  2. 前項演練作業之內容,應至少包括下列項目: 一、每半年辦次社工程演練。 二、每年辦理一次資通安全事件及應變演練
  3. 總統府與中央一級機關直轄市、縣(市)議會應依前規定規劃及辦理資安全演練作業

第 9 條

  1. 本法第十七條第二項受通報機關所屬所監督公務機關所轄鄉(鎮市)公所、直轄市山地原住民區公所鄉(鎮市)民代表會直轄市山地原住民區民代表會執行資通安全事件應變作業,應視情形提供必要支援或協助
  2. 主管機關就公務機關執行資通安全事件之應變作業,應視情形提供必要支援或協助。
  3. 公務機關知悉重大資通安全事件後,其資通安全長應召開會議研商相關事宜,並得請相關機關提供協助。
  1. 公務機關資通安全事件之通報訂定作業規範,其內容應包括下列事項: 一判定事件等級流程及權責。 二事件之影響範圍損害程度機關因應能力之評估。 三資通安全事件之內部通報流程。 四通知受資通安全事件影響其他機關之方式。 五、前四款事項之演練。 六、資安全事件通窗口聯繫方式 七、其他資通安全事件通報相關事項。

第 10 條

  1. 總統府、國家安全會議與五院之直屬機關對其自身、所屬或所監督之公務機關規劃及辦理資通安全演練作業並於完成後一個月,將執行情形及成果報告送交主管機關,演練作業之內容應至少包括下列: 一、每半年辦理一次社交工程演練每年辦理一次資通安全事件通報及應變演練
  2. 總統府、國家安全會議與五院及直轄市、縣(市)議會,應依前項規定規劃及辦理資通安全演練作業。
  3. 直轄市、縣(市)政府應依第一項規定對其自身、所屬、所監督之公務機關及下列機關規劃及辦理資通安全演練作業: 一、所轄鄉(鎮、市)公所、直轄市山地原住民區公所與其所屬或所監督之公務機關。 二、前款鄉(鎮、市)民代表會、直轄市山地原住民區民代表會。
  1. 公務機關資通安全事件之應變訂定作業規範容應包括下列: 一、應變小組之組織。 二、事件發生前之演練作業事件發生時之損害控制機制。 四、事件發生後之復原、鑑識、調查及改善機制。 五、事件相關紀錄之保全。 六、其他資通安全事件應變相關事項

第 12 條

  1. 中央目的事業主管機關應於特定非公務機關完成資通安全事件之通報後,依下列規定時間完成該資通安全事件等級之審核,並得依審核結果變更其等級: 一、通報為第一級或第二級資通安全事件者,於接獲後八小時內。 二、通報為重大資通安全事件者,於接獲後二小時內。
  2. 中央目的事業主管機關依前項規定完成資通安全事件之審核後,應小時內主管機關指定之方式將審核結果、依據及其他必要資訊送交主管機關。
  3. 主管機關接獲前項資料後,得就資通安全事件之等級進行覆核,並得為等級之變更。但主管機關認有必要,或前項之機關未依規定通知審核結果時,得就該資通安全事件逕為審核,並得為等級之變更。
  1. 中央目的事業主管機關應於特定非公務機關完成資通安全事件之通報後,依下列規定時間完成該資通安全事件等級之審核,並得依審核結果變更其等級: 一、通報為第一級或第二級資通安全事件者,於接獲後八小時內。 二、通報為第三級或第四級資通安全事件者,於接獲後二小時內。
  2. 中央目的事業主管機關依前項規定完成資通安全事件之審核後,應依下列規定辦理: 、審核結果為第一級或第二級資通安全事件者應定期彙整審核結果、據及其他必要資訊,依主管機關指定之方式送交主管機關。 二、審核結果為第三級或第四級資通安全事件者應於審核完成後一小時內,將審核結果、依據及其他必要資訊,依主管機關指定之方式送交主管機關。
  3. 主管機關接獲前項資料後,得就資通安全事件之等級進行覆核,並得為等級之變更。

第 13 條

  1. 特定非公務機關知悉資通安全事件後,應依下列規定時間完成損害控制或復原作業,並依中央目的事業主管機關指定之方式辦理通知事宜: 一、第一級或第二級資通安全事件,於知悉該事件後七十二小時內。 二、重大資通安全事件,於知悉該事件後三十六小時內。
  2. 特定非公務機關依前項規定完成損害控制或復原作業後,應持續進行事件之調查及處理,並於一個月內依中央目的事業主管機關指定之方式,送交調查、處理及改善報告。
  3. 前項調查、處理及改善報告送交之時限,得經中央目的事業主管機關同意後延長之。
  4. 二項調查處理及改善報告應包括依本法施行細則第十二條規辦理
  5. 中央目的事業主管機關就第一項之損害控制或復原作業及第二項送交報告認有必要,或認有違反法令、不適當或其他須改善之情事者,得要求特定非公務機關提出說明及調整。
  6. 特定非公務機關就重大資通安全事件送交之調查、處理及改善報告,中央目的事業主管機關應於審查後送交主管機關;主管機關就該報告認有必要,或認有違反法令、不適當或其他須改善之情事者,得要求特定非公務機關提出說明及調整。
  1. 特定非公務機關知悉資通安全事件後,應依下列規定時間完成損害控制或復原作業,並依中央目的事業主管機關指定之方式辦理通知事宜: 一、第一級或第二級資通安全事件,於知悉該事件後七十二小時內。 二、第三級或第四級資通安全事件,於知悉該事件後三十六小時內。
  2. 特定非公務機關依前項規定完成損害控制或復原作業後,應持續進行事件之調查及處理,並於一個月內依中央目的事業主管機關指定之方式,送交調查、處理及改善報告。
  3. 前項調查、處理及改善報告送交之時限,得經中央目的事業主管機關同意後延長之。
  4. 中央目的事業主管機關就一項之損害控制或復原作業及第二項送交之報告,認有必要,或認有違反法令不適當或其他須改善得要求特非公務機關提出說明及調整
  5. 特定非公務機關就第三級或第四級資通安全事件送交之調查、處理及改善報告,中央目的事業主管機關應於審查後送交主管機關;主管機關就該報告認有必要,或認有違反法令、不適當或其他須改善之情事者,得要求特定非公務機關提出說明及調整。

第 14 條

  1. 中央目的事業主管機關就所管特定非公務機關執行資通安全事件之通報及應變作業,應視情形提供必要支援或協助。
  2. 主管機關就特定非公務機關執行資通安全事件應變作業,視情形提供必要支援或協助。
  3. 特定非公務機關知悉重大資通安全事件後,其資通安全長應召開會議研商相關事宜,並得請相關機關提供協助
  1. 中央目的事業主管機關就所管特定非公務機關執行資通安全事件之通報及應變作業,應視情形提供必要支援或協助。
  2. 主管機關就特定非公務機關執行資通安全事件應變作業,視情形提供必要支援或協助。
  3. 特定非公務機關知悉第三級或第四級資通安全事件後,應召開會議研商相關事宜

第 15 條

  1. 主管機關各機關之資通安全事件得視影響範圍程度召開會議,邀請相關機關研商該事件之損害控制復原其他相關事
  1. 特定非公務機關資通安全事件之通報訂定作業規範內容應包括下列事項: 一、判定事件等級之流程及權責。 二、事件之影響範圍、損害程度機關因應能力之評估。 三、資通安全事件之內部通報流程。 四通知受資通安全事件影響之其他機關之時機方式。 五、前四款事項之演練。 六、資通安全事件通報窗口及聯繫方式。 七、其他資通安全事件通報相關事

第 16 條

  1. 公務機關應配合本法第十七條第二項受通報機關規劃或辦理之資通安全演練作業,其內容包括下列: 一、社交工程演練。 二、資通安全事件通報及應變演練。 三、網路攻防演練。 四、情境演練。 五、其他必要之演練
  2. 特定非公務機關應依前項規定配合中央目的事業主管機關規劃或辦理之資通安全演練作業。但有侵害特定非公務機關之權利或正當利益之虞者,應先經其書面同意,始得為之。
  3. 主管機關依本法第十條第四項規定規劃辦理資通安全演練作業,如有侵害特定非公務機關之權利或正當利益之虞者,應先經其書面同意,始得為之。
  1. 特定非公務機關應資通安全事件之應變訂定作業規範,其內容包括下列: 一、應變小組之組織。 二、事件發生前之演練作業。 三、事件發生時之損害控制,及向中央目的事業主管機關請求技術支援或其他必要協助之機制。 四、事件發生後之復原、鑑識、調查及改善機制。 五、事件相關紀錄之保全。 六、其他資通安全事件應變相關事項

第 17 條

  1. 依前條規劃、辦理之資通安全演練作業其參與演練人員於演練過程如知悉公務機或特定非公務機關機敏資訊,應予保密
  1. 主管機關就機關之第三級或第四級資通安全事件得召開會議,邀請相機關研商該事件損害控制、復原及其他相關事宜

第 18 條

  1. 公務機關於本辦法施行前,已針對其自身、所屬或監督之公務機關或所之特定非公務機關,自行或與其他機關共同訂定資通安全事件通報及應變機制並實施一年以上者,得經主管機關核定後,與所屬或監督之公務機關或所管之特定非公務機關繼續依該機制辦理資通安全事件通報及應變
  2. 前項通報及應變機制如有變更,應送主管機關重為核定。
  1. 公務機關應配合主機關規劃、辦理之資通安全演練作業內容得包括下列項目: 一、社交工程演練。 二、資通安全事件通報及應變演練 三、網路攻防演練。 四、情境演練。 五、其他必要之演練。

第 19 條

  1. 本辦法所之資通安全事件之通報、應變、演練作業及其他相關事項主管機關委任所屬數位發展部資通安全署辦理
  1. 非公務機關應配合主管機關規劃、辦理之資通安全演練作業其內容包括下列項目: 一、網路攻防演練。 二、情境演練。 三、其他必要演練
  2. 主管機關規劃、辦理之資通安全演練作業,有侵害特定非公務機關之權利或正當利益之虞者,應先經其書面同意,始得為之。
  3. 前項書面同意之方式,依電子簽章法之規定,得以電子文件為之。

第 20 條

  1. 本辦法自發布日施行
  1. 公務機關於本辦法施行前,已針對其自身、所屬或監督之公務機關或所管之特定非公務機關,自行或與其他機關共同訂定資通安全事件通報及應變機制,並實施一年以上者,得經主管機關核定後,與其所屬或監督之公務機關或所管之特定非公務機關繼續依該機制辦理資通安全事件之通報及應變
  2. 前項通報及應變機制如有變更,應送主管機關重為核定。

第 21 條

  1. 本辦法之施行日期,由主管機關定之。
  2. 本辦法修正條文自發布日施行。