第一章 總則
|
本辦法依資通安全管理法(以下簡稱本法)第十六條第六項及第十七條第
四項規定訂定之。
〔立法理由〕 本辦法訂定依據。
|
本辦法所稱關鍵基礎設施提供者,指維運或提供關鍵基礎設施之全部或一
部,經國防部(以下簡稱本部)依本法第十六條第一項規定指定,報請主
管機關核定者。
〔立法理由〕 各類關鍵基礎設施提供者之從事事項,係參照國家關鍵基礎設施安全防護
指導綱要所示關鍵基礎設施定義及分類。
|
第二章 資通安全維護計畫必要事項及實施情形之提出
|
本部所管特定非公務機關(以下簡稱特定非公務機關)之資通安全維護計
畫,應依本法施行細則第六條第一項規定辦理。
特定非公務機關依本法第十六條第三項或第十七條第二項規定提出資通安
全維護計畫實施情形,應依本法施行細則第六條第二項規定辦理。
〔立法理由〕 一、為利特定非公務機關訂定、修正及實施資通安全維護計畫,爰於第一
項規定該計畫應包括之內容,說明如下:
(一)特定非公務機關雖未強制要求設置資通安全長,惟為使特定非公
務機關之資通安全相關業務得以順利推動,亦得考慮仿照公務機
關之方式設置資通安全管理代表。考量資通安全推動常涉及單位
內相關資源調動及分配等事項,相關業務應由高階管理人員統籌
規劃較為合適,特定非公務機關所設置之資通安全管理代表,應
具有足夠權責、資源、權限、相當資歷、經驗及資安專業之人員
擔任為宜,使資通安全相關業務得以順利推展。
(二)特定非公務機關就所屬人員應定期辦理資通安全教育訓練,以建
立人員資通安全認知,提升機關資通安全水準。
二、為利特定非公務機關依本法規定提出資通安全維護計畫之實施情形,
爰於第二項明定其應包括之必要內容。
|
關鍵基礎設施提供者應於每年三月底前,依本部指定之方式提出資通安全
維護計畫。
關鍵基礎設施提供者以外之特定非公務機關,經本部要求提出資通安全維
護計畫者,應於本部通知送達後一個月內,依本部指定之方式提出。
〔立法理由〕 依本法第十六條第二項及第十七條第一項規定,特定非公務機關應訂定、
修正及實施資通安全維護計畫,為確認本部所管特定非公務機關資通安全
維護計畫訂定情形,故於本條明定其應依本部指定之方式提出。
|
關鍵基礎設施提供者應於每年九月底前,依本部指定之方式提出資通安全
維護計畫實施情形。
關鍵基礎設施提供者以外之特定非公務機關,經本部依本法第十七條第二
項規定要求提出資通安全維護計畫實施情形者,應於本部通知送達後一個
月內,依本部指定之方式提出。
〔立法理由〕 一、依本法第十六條第三項規定,關鍵基礎設施提供者應向本部提出資通
安全維護計畫實施情形,故於本條明定其實施情形提出方式。
二、依本法第十七條第二項規定,本部得要求所管特定非公務機關,提出
資通安全維護計畫實施情形,故於本條明定其實施情形提出方式。
|
第三章 資通安全維護計畫實施情形之稽核
|
本部應於每年十一月底前擇定關鍵基礎設施提供者,並得擇定其他特定非
公務機關,以現場實地稽核之方式,稽核其資通安全維護計畫實施情形。
本部為辦理前項稽核,應訂定稽核計畫,其內容包括稽核之依據與目的、
期間、稽核小組組成方式、保密義務、稽核方式、基準及項目等與稽核相
關之事項。
本部決定前項稽核之基準及項目時,應綜合考量我國資通安全政策、國內
外資通安全趨勢、過往稽核成效及稽核資源等因素。
本部依第一項規定擇定受稽核之特定非公務機關(以下簡稱受稽核者)時
,應綜合考量其資通安全責任等級、資通安全事件發生之頻率與程度、資
通安全演練之成果、歷年受主管機關或本部稽核之頻率與結果及其他與資
通安全相關之因素。
〔立法理由〕 一、第一項明定本部稽核特定非公務機關資通安全維護計畫實施情形之頻
率及方式。
二、第二項明定本部為辦理第一項之稽核,應訂定計畫及其內容應包括之
事項。
三、為使稽核作業能切合我國資通安全政策之規劃內容,並適時反映國外
資通安全相關趨勢,強化稽核資源分配與成效,爰於第三項明定本部
於訂定稽核計畫,決定稽核之重點領域與基準及其項目時,應綜合考
量之因素。
四、為有效利用稽核資源,提升成效,爰於第四項明定本部於訂定稽核計
畫,決定受稽核機關時,應綜合考量之因素,以決定最適之受稽核機
關名單。
|
本部辦理前條第一項之稽核,應於一個月前將稽核計畫以書面通知受稽核
者。
受稽核者因業務因素或其他正當理由,未能於本部指定之時間配合稽核者
,得於收受前項通知後五日內,以書面敘明理由向本部申請變更稽核日期
。
前項申請,除有不可抗力之事由外,以一次為限。
〔立法理由〕 一、為避免本部辦理稽核影響受稽核機關之日常業務,並使受稽核機關有
充裕時間預為準備,以增進稽核效能,爰於第一項明定主管機關應於
實際辦理稽核之一個月前,通知受稽核機關。
二、若受稽核機關因業務等因素,難以配合稽核者,得於收受前項通知五
日內,以書面敘明理由向本部申請調整稽核日期,並原則以一次為限
,爰為第二項及第三項規定。
|
本部辦理第六條第一項之稽核,得要求受稽核者為資通安全維護計畫實施
情形之相關說明、協力或提供相關文件或證明供現場查閱,並執行下列事
項:
一、稽核前訪談。
二、現場實地稽核。
受稽核者依法律有正當理由,未能為前項說明、配合措施或提供資料時,
應以書面敘明理由,向本部提出。
本部收受前項書面後,應進行審核,依下列規定辦理,並得停止稽核作業
之全部或一部:
一、認有理由者,應將審核之依據及相關資訊記載於稽核結果報告。
二、認無理由者,應要求受稽核者依第一項規定辦理;已停止稽核作業者
,得擇期續行辦理,並於十日前以書面通知受稽核者。
〔立法理由〕 一、第一項明定本部辦理第六條第一項之稽核時,受稽核機關之配合義務
內容,以利本部藉由稽核確認受稽核機關遵循本法之情形。
二、受稽核機關如依法律有正當理由,而不能為第一項之說明、配合措施
或提供資料,例如提供資料將侵害第三人之正當權利,此時受稽核機
關應以書面敘明其理由,向本部提出,俾利本部依第十條第二項規定
記載於稽核結果報告或其他相關紀錄,爰為第二項規定。
三、參考「特定非公務機關資通安全維護計畫實施情形稽核辦法」第五條
第三項,於第三項明定收受第二項所定書面之處理方式。
|
本部為辦理第六條第一項之稽核,應依同條第四項之考量因素及實際稽核
需求,就各受稽核者分別組成稽核小組。
前項稽核小組成員三人至七人,由具備資通安全政策或該次稽核所需之技
術、管理、法律或實務專業知識之公務機關代表或專家學者擔任;其中公
務機關代表不得少於全體成員人數之三分之一。
前項公務機關代表或專家學者有下列情形之一者,應主動迴避擔任該次稽
核之稽核小組成員:
一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人,
與受稽核者或其負責人間有財產上或非財產上之利害關係。
二、本人、其配偶、三親等內親屬或家屬,與受稽核者或其負責人間,目
前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。
三、本人目前或過去二年內曾任職之機關(構)、事業或單位,曾為受稽
核者進行與受稽核項目相關之顧問輔導。
四、其他足認擔任稽核小組成員將影響稽核結果公正性之情形。
本部應以書面與稽核小組成員約定利益衝突之迴避事項及執行稽核之保密
義務。
〔立法理由〕 一、為使本部得妥適辦理對各不同場次之特定非公務機關資通安全維護計
畫實施情形之稽核,爰於第一項明定本部應考量相關因素組成稽核小
組。
二、考量稽核小組所需具備之知能,爰於第二項明定本部組成稽核小組時
,所邀請之公務機關代表或專家學者應具備資通安全政策或該次稽核
所需之技術、管理、法律或實務專業知識,以協助本部進行稽核及提
供專業意見。且為確保稽核結果之公平性,爰明定公務機關代表於稽
核小組之人數占比應至少為三分之一。
三、為確保稽核結果之客觀性,以及避免爭議,爰於第三項明定公務機關
代表或專家學者應主動迴避擔任稽核小組之情形。
四、為保障受稽核機關之權益,爰於第四項明定稽核小組之利益衝突迴避
與保密義務,且本部應與其等進行書面約定。
|
本部應於稽核作業完成後一個月內,將稽核結果報告交付受稽核者。
前項稽核結果報告之內容,應包括稽核之範圍、缺失或待改善事項、第八
條第二項所定受稽核者未能為說明、配合措施或提供資料之情形與理由及
其他相關事項。
本部辦理稽核後,應於次年度一月底前彙整第一項稽核結果報告,並提交
主管機關備查。
〔立法理由〕 一、第一項明定本部應於所定受稽核機關之稽核作業均辦理完成後之一個
月內,將稽核結果報告交付受稽核機關。
二、第二項明定稽核結果報告應記載之內容。
|
受稽核者經發現其資通安全維護計畫實施情形有缺失或待改善者,應於收
受稽核結果報告後一個月內,依本法施行細則第三條規定及本部指定之方
式,向本部提出改善報告。
受稽核者依前項規定提出改善報告後,應依其缺失或待改善事項之性質及
程度,適時以書面提出改善報告之執行情形;本部認有必要時,得要求受
稽核者進行說明或調整。
〔立法理由〕 一、依本法第十六條第五項及第十七條第三項之規定,特定非公務機關受
本部稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向
本部提出改善報告。為利執行,爰明定受稽核機關經發現其資通安全
維護計畫實施有缺失或待改善之情形,應提出改善報告之程序,並應
提出改善報告之執行情形,俾利本部進行後續之監督。
二、受稽核機關提出改善報告之內容應包含之內容等相關事項,另依本法
施行細則第三條之規定辦理。
|
第四章 附則
|
本辦法所定書面,依電子簽章法之規定,得以電子文件為之。
〔立法理由〕 明定本辦法所定書面,依電子簽章法之規定,得以電子文件為之。
|
本辦法所定資通安全維護計畫實施情形之稽核事務,本部得委任所屬機關
或委託其他公務機關辦理。
前項受委任或委託之公務機關對於辦理受任或受託事務所獲悉特定非公務
機關之秘密,不得洩漏。
〔立法理由〕 一、除政策制定等本質上不宜委任或委託辦理之事務外,本部推動資通安
全業務,如有需要,得依行政程序法第十五條規定,委任所屬機關或
委託其他公務機關辦理。為利實務運作,爰為本條規範。
二、本部依本條規定為委任或委託,因涉及公權力之移轉,應考量事務之
性質、對象之屬性等事項,先行評估委任或委託辦理之適當性後,再
行為之。
三、為保障特定非公務機關之秘密不因本部之委託或委任而有洩露的情形
,明定被委任或委託者在執行過程中就獲悉之秘密有保密之義務。
|
本辦法自發布日施行。
〔立法理由〕 本辦法之施行日期。
|