lawpalyer logo
3
次修法
2
次修法
1
次修法

資通安全維護計畫實施情形稽核辦法

第 3 次修法(115.01.04)

中華民國一百十五年一月五日數位發展部數授資法字第 1145000410 號令修正發布名稱及全文 14 條;並自發布日施行(原名稱:特定非公務機關資通安全維護計畫實施情形稽核辦法;新名稱:資通安全維護計畫實施情形稽核辦法)

立法總說明

《特定非公務機關資通安全維護計畫實施情形稽核辦法修正總說明(115.01.05 修正)》 特定非公務機關資通安全維護計畫實施情形稽核辦法(以下簡稱本辦法)自一百零七年十一月二十一日訂定發布,並定自一百零八年一月一日施行後,曾於一百十年八月二十三日修正發布施行。茲因資通安全管理法(以下簡稱本法)於一百十四年九月二十四日修正公布,並定自一百十四年十二月一日施行,為配合本法第八條第一項修正主管機關得定期或不定期稽核公務機關及特定非公務機關,並增訂第十六條第三項授權由主管機關以辦法訂定公務機關稽核所屬、所監督及所轄機關等相關事項之規定,並為因應實務運作所需,爰修正本辦法,名稱並修正為「資通安全維護計畫實施情形稽核辦法」,其修正要點如下: 一、配合本法第十六條第三項,增訂本辦法之授權依據。(修正條文第一條) 二、配合本法第十六條第三項授權規定及現行實務運作情形,定明資通安全維護計畫必要事項、提出資通安全維護計畫實施情形,應依本法施行細則規定辦理,及資通安全維護計畫實施情形提出之指定方式。(修正條文第二條及第三條) 三、為落實資通安全聯防政策,增訂公務機關對資通安全維護計畫實施情形之稽核,採分層監督管理模式辦理,並應掌握稽核執行情形。(修正條文第四條) 四、配合本法第八條、第十四條及第十五條,定明主管機關及公務機關之稽核權責,爰修正辦理稽核作業相關規定。(修正條文第五條至第十二條) 五、配合本法第二條第二項及本法施行細則第二條增訂資安專責機關為數位發展部資通安全署之規定,爰增訂主管機關委任該署辦理本辦法所定事項之依據。(修正條文第十三條)

異動條文 新舊條文對照詳細解說

第 1 條

  1. 本辦法依資通安全管理法(以下簡稱本法)第條第及第十六條第三項規定訂定之。
  1. 本辦法依資通安全管理法(以下簡稱本法)第條第規定訂定之。

第 2 條

  1. 公務機關之資通安全維護計畫施行細則第九條第一項規定辦理
  2. 公務機關依本法第十四條提出資通安全維護計畫實施情形,應依本法施行細則第九條第二項規定辦理。
  1. 本辦法所定書面電子簽章規定,得以電子文件為之

第 3 條

  1. 公務機關應至主管機關指定系統平臺提出資通安全維護計畫實施情形。但有特殊情形者,得經主管機關同意以其他適當方式為之。
  1. 主管機關除因不可抗力因素外,應每年擇定受稽核之特定非公務機關(以下簡稱受稽核機關),並以現場實地稽核方式稽核其資通安全維護計畫實施情形。
  2. 主管機關擇定前項受稽核機關時,應綜合考量其業務之重要性與機敏性、資通系統之規模與性質、資通安全事件發生之頻率與程度、資通安全演練之成果、歷年受主管機關或中央目的事業主管機關稽核之頻率與結果或其他與資通安全相關之因素。
  3. 主管機關為辦理第一項稽核,應訂定稽核計畫,其內容包括稽核之依據與目的、期間、重點領域、稽核小組組成方式、保密義務、稽核方式、基準與項目及中央目的事業主管機關協助事項。
  4. 主管機關決定前項稽核之重點領域與基準及項目時,應綜合考量我國資通安全政策、國內外資通安全趨勢、過往稽核計畫之內容與稽核結果,及其他與稽核資源之適當分配或稽核成效相關之因素。

第 4 條

  1. 本法第十四條規定收受資通安全維護計畫實施情形之公務機關,對其所屬、所監督公務機關、所轄鄉(鎮、市)公所、直轄市山地原住民區公所及鄉(鎮、市)民代表會、直轄市山地原住民區民代表會之資通安全維護計畫實施情形,應每年訂定稽核計畫,並掌握稽核情形
  1. 主管機關辦理前條第一項稽核,應稽核計畫於一個月前以書面通知受稽核機關
  2. 受稽核機關如因業務因素或有其他正當理由,得於收受前項通知後五日內,以書面敘明理由向主管機關申請調整稽核日期。
  3. 前項申請,除有不可抗力之事由外,以一次為限。

第 5 條

  1. 主管機關得每年擇定受稽核公務機關及特定非公務機關,並以實地稽核或其他適當之方式稽核資通安全維護計畫實施情形
  2. 公務機關除因不可抗力因素外應每年擇定其所屬所監督之公務機關、所轄鄉(鎮、市)公所、直轄市山地原住民區公所及鄉(鎮、市)民代表會、直轄市山地原住民區民代表會實地稽核或其他適當之方式稽核其資通安全維護計畫實施情形
  1. 主管機關辦理第三條第一項稽核得要求受稽核機關為資通安全維護計畫實施情形之說明、協力或提出相關之文件、證明資料供現場查閱,並執行下列事項,受稽核機關及其所屬人員應予配合: 一、稽核前訪談 二、現場實地稽核。
  2. 受稽核機關依法律有正當理由未能為前項說明協力或提出資料供現場查閱者書面敘明理由向主管機關提出
  3. 主管機關收受前項書面後,應進行審核,依下列規定辦理,並得停止稽核作業之全部或一部: 一、認有理由者,應將審核之依據及相關資訊記載於稽核結果報告。 二、認無理由者,應要求受稽核機關依第一項規定辦理;已停止稽核作業者,得擇期續行辦理,並於十日前以書面通知受稽核機關。

第 6 條

  1. 主管機關及公務機關(以下合稱稽核機關)擇定受稽核機關時,應綜合考量其業務之重要性與機敏性、資通系統之規模及性質、資通安全事件發生之頻率及程度、資通安全演練之成果、歷年主管機關、本法第十四條規定收受其資通安全維護計畫實施情形公務機關、中央目的事業主管機關或其他業務相關機關稽核之頻率及結果或其他與資通安全相關之因素
  2. 本法第八條第五所定年度計畫,及第四條所定稽核計畫其內容至少包括下列事項: 一、稽核依據。 二、稽核目的。 三稽核範圍。 四期程。 五、稽核小組方式。 六、保密義。 七、受稽核機關遴選原則 八、稽核基準。 九、稽核方式及項目。
  3. 稽核機關訂定前項年度計畫或稽核計畫時,綜合考量我國資通安全政策、國內外資通安全趨勢、過往稽核計畫之內容與稽核結果,及其他與稽核資源之適當分配或稽核效相關因素
  1. 主管機關辦理第三條第一項之稽核,應依同條第二項所定考量因素,就各稽核機關分別組成三人以上稽核小組
  2. 主管機關組成前稽核小組時應考量稽核之需求,邀請具備資通安全政策或該次稽核所需之技術管理法律或實務專知識之公務機關代表或專家學者擔任小組員,其中公機關代表不得少於全體成員人數之四分之一
  3. 主管機關以書面與稽核小組員約定利益衝突迴避及保密義務
  4. 第二項之公務機關代表或專家學者,有下列情形之一者,應主動迴避擔任該次稽核之稽核小組成員: 一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人,與受稽核機關或其負責人間有財產上或非財產上之利害關係。 二、本人、其配偶、三親等內親屬或家屬,與受稽核機關或其負責人間,目前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。 三、本人目前或過去二年內任職之機關(構)或單位,曾為受稽核機關之顧問,其輔導項目與受稽核項目相關。 四、其他情形足認擔任稽核小組成員,將對稽核結果之公正性造成影響。

第 7 條

  1. 稽核機關辦理稽核時,應於一個月前以書面通知受稽核機關。
  2. 稽核機關如因業務因素或有其他正當理由得於收受前通知後日內,以書面敘明理由向前稽核機關申請調整稽核日期
  3. 前項申請,除有不可抗力之事由外,以一次為限。
  1. 主管機關應於每季所定受稽核機關稽核作業完成後一個月內,將稽核結果報告交付該季受稽核機關。
  2. 前項稽核結果報告之內容應包括稽核之範圍、缺失或待改善事、第條第二所定受稽核機關未能為說明、協力或提出資料供現場查閱情形、理由與同條第三項所定主管機關審核結果,及其他與稽核相關之必要內容

第 8 條

  1. 稽核機關辦理稽核時,得要求受稽核機關資通安全維護計畫實施情形之說明、協力提出相之文件、證明資料供稽核小組查閱執行下列受稽核機關及其所屬人員應予配合: 一、稽核前訪談。 二、實地稽核其他適當之稽核方式
  2. 受稽核機關依法律有正當理由,未能為前項說明、協力或提出資料供稽核小組查閱者,應以書面敘明理由,向前項稽核之機關提出機關收受書面後進行審核
  3. 第一項稽核機關進行前項審核,認有理由時,應將審核之依據及相關資訊記載於稽核結果報告,並得停止稽核作業之全部或一部;認無理由時,應要求受稽核機關依第一項規定辦理。經停止稽核作業者,第一項稽核機關得擇期續行辦理,並於十日前以書面通知受稽核機關。
  1. 受稽核機關經發現其資通安全維護計畫實施情形有缺失待改善者,應於主管機交付稽核結果報告後一個月內依主管機關指定之方式提出改善報告,送交中央目的業主管機關;主管機關及中央目的事業主管機關認有必要時得要求該受稽核機關進行說明調整
  2. 前項受稽核機關提出改善報告後,應依主管機關指定之方式及時間,提出改善報告之執行情形並送交中央目的事業主管機關;主管機關認有必要時得要求該受稽核機關進行說明或調整

第 9 條

  1. 稽核機關辦理稽核時,應依條第一項所定考量因素就各受稽核機關分別組成三人以上稽核小組
  2. 稽核機關組成前項稽核小組時,應考量稽核之需求,邀請具備資通安全政策或該次稽核所需之技術、管理、法律或實務專業知識之公務機關代表或專家學者擔任小組成員,其中公務機關代表不得少於全體成員人數之四分之一。
  3. 稽核機關應以書面與稽核小組成員約定利益衝突之迴避及保密義務。
  4. 第二項之公務機關代表或專家學者,有下列情形之一者,應主動迴避擔任該次稽核之稽核小組成員: 一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人,與受稽核機關或其代表人、負責人間有財產上或非財產上之利害關係。 二、本人、其配偶、三親等內親屬或家屬,與受稽核機關或其代表人、負責人間,目前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。 三、本人目前或過去二年內任職之機關(構)或單位,曾為受稽核機關之顧問,其輔導項目與受稽核項目相關。 四、其他情形足認擔任稽核小組成員,將對稽核結果之公正性造成影響。
  1. 主管機關辦理條第一項之稽核得要求受稽核機關中央目的事業主管機關派員為必要協助

第 10 條

  1. 稽核機關應於每季所定受稽核機關稽核作業完成後一個月內將稽核結果報告交付該季受稽核機關
  2. 前項稽核結果報告之內容,應包括稽核之範圍、缺失或待改善事項、第八第二項所定受稽核機關未能為說明、協力或提出資料供稽核小組查閱之情形、理由與同條第三項所定稽核機關審核結果,及其他與稽核相關之必要內容
  1. 本辦法施行日期由主管機關定之
  2. 本辦法修正文自發布日施行

第 11 條

  1. 受稽核機關經發現其資通安全維護計畫實施情形有缺失或待改善者,應於稽核機關交付稽核結果報告後一個月內,依本法施行細則第六條第一項規定提出改善報告,送交本法第十四條規定收受其資通安全維護計畫實施情形之公務機關,或其中央目的事業主管機關審查後,由該審查機關送交主管機關。其中屬依第五條第二項辦理之稽核,審查機關應連同稽核結果送交主管機關。
  2. 受稽核機關提出改善報告後,應依本法施行細則第六條第二項規定,提出改善報告之執行情形,送交本法第十四條規定收受其資通安全維護計畫實施情形之公務機關或中央目的事業主管機關審查後,由該審查機關送交主管機關。
  3. 第一項收受改善報告及前項收受改善報告執行情形之機關認有必要時,得要求該受稽核機關進行說明或調整。

第 12 條

  1. 主管機關辦理稽核時,得要求本法第十四條、第二十條第三項、第二十一條第二項規定收受資通安全維護計畫實施情形之機關派員或為其他必要之協助。

第 13 條

  1. 本辦法所定資通安全維護計畫實施情形之稽核、改善報告之提出及其他相關事項,主管機關得委任所屬數位發展部資通安全署辦理之。

第 14 條

  1. 本辦法自發布日施行。