壹、目的
    經濟部（以下簡稱本部）為遵照資通安全管理法第十四條及資通安全
    維護計畫之規定，建立本部資通安全事件通報及應變機制，以迅速有
    效獲知並處理事件，特訂定資通安全事件通報及應變管理程序（以下
    稱本管理程序）。

本點未修正。

貳、適用範圍
    發生於本部之系統、服務或網路狀態，經鑑別可能有違反資通安全政
    策或保護措施失效之狀態，而影響資通系統機能運作，構成資通安全
    政策威脅之事件。

本點未修正。

參、責任
    一、本部所屬人員於發現資通安全事件時，應依本管理程序或權責人
        員之指示，執行通報及應變程序。
    二、本部應於資通安全事件發生前，確保所屬公務機關及所管之特定
        非公務機關是否訂定及落實資通安全事件通報及應變管理程序，
        並依規定指定其知悉資通安全事件之通報以及完成應變作業後之
        結案登錄方式。
    三、本部應視必要性與受託機關約定，使其訂定資通安全事件通報及
        應變管理程序，並於知悉資通安全事件後向本部進行通報，於完
        成事件之通報及應變程序後，依本部指示提供相關之紀錄或資料
        。
    四、本部於知悉資通安全事件後，應依本管理程序之規定，儘速完成
        損害控制、復原與事件之調查及處理作業。完成後，應依資通安
        全管理法主管機關（下稱主管機關）指定之方式進行結案登錄作
        業，並送交調查、處理及改善報告。
    五、本部應於資通安全事件發生前，確認所管之特定非公務機關資通
        安全事件通報之方式，並於知悉其資通安全事件後，依規定向主
        管機關通報。

資通安全管理法目前主管機關為行政院，惟依預告中之修正草案，主管機
關將調整為數位發展部，為減少行政規則修訂作業，第四款及第五款爰配
合酌修文字為「資通安全管理法主管機關（以下稱主管機關）」及「主管
機關」。

肆、事件通報窗口及緊急處理小組
    一、本部之資通安全事件通報窗口及聯繫專線：本部資訊處資服熱線
        。
    二、本部應以適當方式使相關人員明確知悉本部之通報窗口及聯絡方
        式。
    三、本部所屬人員發現資通安全事件後，應立即向所屬單位主管及本
        部之通報窗口通報。
    四、本部應確保通報窗口之聯絡管道全天維持暢通，若因設備故障或
        其他情形導致窗口聯絡管道中斷，若中斷持續達一小時以上者，
        應即將該情況告知相關人員，並即提供其他有效之臨時聯絡管道
        。
    五、負責事件處理之單位（該事件發生之單位）權責人員應與相關單
        位密切合作以進行事件之處理，並使通報窗口適時掌握事件處理
        之進度及其他相關資訊。
    六、事件經初步判斷認為可能屬重大資安事件或事態嚴重時，應即向
        資通安全長報告，由資通安全長成立緊急處理小組，立即協助處
        理；接獲本部受託機關所通報之資通安全事件時，亦同。
    七、緊急處理小組成員由資通安全長或其授權人員指派本部之資通安
        全相關技術人員擔任，並得由其他機關資通安全相關技術人員或
        外部專家擔任之。
    八、各相關權責人員應記錄事件處理過程，檢討事件發生原因，進行
        改善並留存必要之證據。

配合本部組織調整，修正第一款幕僚單位名稱。

伍、通報程序
    一、通報作業程序
        （一）判定事件等級之流程及權責
              本部之權責人員或緊急處理小組應依據以下事項，於知悉
              資通安全事件後，依資通安全事件通報及應變辦法完成資
              通安全事件等級判斷：
              1.事件涉及核心業務或關鍵基礎設施業務之資訊與否。
              2.事件導致業務之資訊或資通系統遭竄改之影響程度，屬
                嚴重或輕微。
              3.事件所涉資訊屬於國家機密、敏感資訊或一般公務機密
                。
              4.機關業務運作若遭影響或資通系統停頓，是否於可容忍
                中斷時間內能回復正常運作。
              5.其他足以影響資通安全事件等級之因素。
        （二）除事件之等級外，權責人員或緊急處理小組亦應對資通安
              全事件之影響範圍、損害程度及本部因應之能力進行評估
              。
        （三）本部權責人員或緊急處理小組於完成資通安全事件等級之
              判斷及相關評估後，應盡速陳報資通安全長或其授權人員
              核准。
        （四）除因網路或電力中斷等事由，致無法依主管機關所指定或
              認可之方式通報外，應於知悉資通安全事件後一小時內依
              主管機關所指定或認可之方式，進行事件通報。
        （五）本部因網路或電力中斷等事由，致無法依前款規定方式為
              通報者，應於知悉資通安全事件後一小時內以電話或其他
              適當方式，將該次資安事件應通報之內容及無法依規定方
              式通報之事由，告知主管機關，並於事由解除後，依原方
              式補行通報。
        （六）資通安全事件等級如有變更，權責人員或緊急處理小組應
              告知通報窗口，使其續行通報作業。
        （七）本部於委外辦理資通系統之建置、維運或提供資通服務之
              情形時，應於合約中訂定委外廠商於知悉資通安全事件時
              ，應即向本部之權責人員或窗口，以指定之方式進行通報
              。
        （八）本部於知悉資通安全事件後，如認該事件之影響涉及其他
              機關或應由其他機關依其法定職權處理時，權責人員或緊
              急處理小組應於知悉資通安全事件後一小時內，將該事件
              依主管機關所指定或認可之方式，通知該機關。
        （九）本部執行通報及應變作業時，得視情形向主管機關提出技
              術支援或其他協助之需求。
    二、接獲自身、所屬公務機關或所管特定非公務機關通報之評估作業
        程序
        （一）本部之權責人員或緊急處理小組，於接獲所屬公務機關或
              所管特定非公務機關之資通安全事件通報後，應於以下時
              限內，完成資通安全事件通報等級及相關事項之審核：
              1.通報為第一級或第二級之資通安全事件，於接獲通報後
                八小時內。
              2.通報為第三級或第四級之資通安全事件，於接獲通報後
                二小時內。
        （二）本部之權責人員或緊急處理小組進行前款之審核，得請求
              通報之公務機關或特定非公務機關提供級別判斷所需之資
              料或紀錄。
        （三）本部於必要時得依據審核之結果，逕行變更資通安全事件
              之等級，並應於決定變更後一小時內，將審核結果及級別
              變更之決定通知主管機關，並提供做成決定所依據之相關
              資訊。
        （四）本部於知悉所管特定非公務機關發生第三級或第四級之資
              通安全事件或收受所管特定非公務機關之第三級或第四級
              資通安全事件通報後，應於完成審核後一小時內依主管機
              關指定或認可之方式通知主管機關。
        （五）本部於知悉所管特定非公務機關發生第一級或第二級之資
              通安全事件或收受所管特定非公務機關之第一級或第二級
              資通安全事件通報後，應依主管機關指定或認可之方式，
              定期彙整相關資訊送交主管機關。
    三、對所屬公務機關或所管特定非公務機關之協助程序：本部所屬公
        務機關或所管特定非公務機關知悉資通安全事件，向本部為通報
        時，本部資通安全長應視必要性於以下時限內，決定是否組成緊
        急處理小組，以協助本部所屬公務機關或所管特定非公務機關執
        行通報及應變程序，並視情形提供必要之支援或協助：
        （一）通報為第一級或第二級之資通安全事件，於完成複核後二
              小時內。
        （二）通報為第三級或第四級之資通安全事件，於接獲通報後一
              小時內。

第一款第四目、第五目、第八目、第九目及第二款第三目至第五目酌作文
字修正，修正理由同第三點說明。

陸、應變程序
    一、事件發生前之防護措施規劃
        本部應於平時妥善實施資通安全維護計畫，並以組織營運目標與
        策略為基準，透過整體之營運衝擊分析，規劃業務持續運作計畫
        並實施演練，以預防資通安全事件發生。
    二、損害控制機制
        （一）負責應變之權責人員或緊急處理小組，應完成以下應變事
              務之辦理，並留存應變之紀錄：
              1.資安事件之衝擊及損害控制作業。
              2.資安事件所造成損害之復原作業。
              3.資安事件相關鑑識及其他調查作業。
              4.資安事件之調查與處理及改善報告之方式。
              5.資安事件後續發展及與其他事件關聯性之監控。
              6.資訊系統、網路、機房等安全區域發生重大事故或災難
                ，致使業務中斷時，應依本部事前訂定之緊急計畫，進
                行應變措施以恢復業務持續運作之狀態。
              7.其他資通安全事件應變之相關事項。
        （二）對於第一級、第二級資通安全事件，本部應於知悉事件後
              七十二小時內完成前款事務之辦理，並應留存紀錄；於第
              三級、第四級資通安全事件，本部應於知悉事件後三十六
              小時內完成損害控制或復原作業，並執行上述事項，及留
              存相關紀錄。
        （三）本部完成通報及應變程序之辦理後，應依主管機關所指定
              或認可之方式進行結案登錄。
        （四）本部於知悉委外廠商發生與受託業務相關之資通安全事件
              時，應於知悉委外廠商發生第一級、第二級資通安全事件
              後七十二小時內，確認委外廠商已完成損害控制或復原事
              項之辦理；於知悉委外廠商發生第三級、第四級資通安全
              事件後三十六小時內，確認委外廠商完成損害控制或復原
              事項之辦理。
    三、本部於接獲特定非公務機關之損害控制、復原與事件之調查及處
        理作業完成通知後，應依主管機關所指定或認可之方式進行結案
        登錄。

第二款第三目及第三款酌作文字修正，修正理由同第三點說明。

柒、資通安全事件發生後之復原、鑑識、調查及改善機制
    一、本部完成資通安全事件之通報及應變程序後，應針對事件所造成
        之衝擊、損害及影響進行調查及改善，並應於事件發生後一個月
        內完成資通安全事件調查、處理及改善報告。
    二、資通安全事件調查、處理及改善報告應包括以下項目：
        （一）事件發生、完成損害控制或復原作業之時間。
        （二）事件影響之範圍及損害評估。
        （三）損害控制及復原作業之歷程。
        （四）事件調查及處理作業之歷程。
        （五）為防範類似事件再次發生所採取之管理、技術、人力或資
              源等層面之措施。
        （六）前款措施之預定完成時程及成效追蹤機制。
    三、本部應向主管機關提出第一款之報告，以供監督與檢討。
    四、本部指示所屬公務機關或所管特定非公務機關限期提出第一款報
        告，逾期未提出者，本部除應為必要之監督及指示外，並應促使
        其盡速提出。

一、第三款酌作文字修正，修正理由同第三點說明。
二、配合法制用語，將第三款及第四款之「第一項報告」修正為「第一款
    報告」。

捌、紀錄留存及管理程序之調整
    一、本部應將資通安全事件之通報與應變作業之執行、事件影響範圍
        與損害程度以及其他通報應變之執行情形留存完整之紀錄。
    二、本部於完成資通安全事件之通報及應變程序後，於必要時對本管
        理程序、人力配置或其他相關事項進行修正或調整。

本點未修正。

玖、演練作業
    一、本部應每年依資通安全事件通報及應變辦法之規定辦理社交工程
        演練、資通安全事件通報及應變演練，並於完成後一個月內，將
        執行情形及成果報告送交主管機關。
    二、本部應配合主管機關依資通安全事件通報及應變辦法之規定辦理
        下列資通安全演練作業：
        （一）社交工程。
        （二）資安事件通報及應變。
        （三）網路攻防。
        （四）情境演練。
        （五）其他資安演練。

第一款及第二款酌作文字修正，修正理由同第三點說明。