本辦法依資通安全管理法(以下簡稱本法)第十七條第四項規定訂定之。
〔立法理由〕 明定本辦法訂定依據。
|
本辦法所稱法務部(以下簡稱本部)所管特定非公務機關(以下簡稱特定
非公務機關),指財團法人臺灣更生保護會、財團法人福建更生保護會及
財團法人犯罪被害人保護協會。
〔立法理由〕 一、明定本辦法規範對象。
二、依本法第三條第九款規定,營運及資金運用計畫應依預算法第四十一
條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法
院審議之財團法人,為同條第六款所稱之特定非公務機關,而本部所
管財團法人臺灣更生保護會、財團法人福建更生保護會及財團法人犯
罪被害人保護協會為符合前述規定之財團法人。
|
特定非公務機關之資通安全維護計畫,應依本法施行細則第六條第一項第
一款至第四款、第六款至第十一款及第十三款規定辦理。
特定非公務機關依本法第十七條第二項規定提出前項資通安全維護計畫實
施情形,應依本法施行細則第六條第二項規定辦理。
〔立法理由〕 一、明定特定非公務機關應辦理資通安全維護計畫之依據。
二、本法施行細則第六條第一項第五款及第十二款係規範公務機關,不適
用於特定非公務機關,爰明定之。
三、為利特定非公務機關依本法規定提出資通安全維護計畫之實施情形,
爰於第二項明定其應包括之必要內容。
|
特定非公務機關應依本部指定之期日及方式,提出或修正依本法第十七條
第一項規定訂定之資通安全維護計畫及第二項之資通安全維護計畫實施情
形。
〔立法理由〕 依本法第十七條第一項之規定,特定非公務機關應訂定、修正及實施資通
安全維護計畫,為確認本部所管特定非公務機關資通安全維護計畫訂定及
提出實施情形,故於本條明定提報方式。
|
本部得每年擇定特定非公務機關,以現場實地稽核之方式,稽核其資通安
全維護計畫實施情形。
前項稽核得併同本部對特定非公務機關進行之年度業務評鑑或業務檢查辦
理。
本部依前項併同辦理資通安全實地稽核時,應於年度業務評鑑或業務檢查
計畫中明定稽核項目、稽核人員及稽核時間等與稽核相關之事項。
本部決定第一項實地稽核之基準及項目時,應綜合考量我國資通安全政策
、國內外資通安全趨勢、過往稽核成效及稽核資源等因素。
本部依第一項規定擇定受稽核之特定非公務機關(以下簡稱受稽核者)時
,應綜合考量其資通安全責任等級、資通安全事件發生之頻率與程度、資
通安全演練之成果、歷年受主管機關或本部稽核之頻率與結果及其他與資
通安全相關之因素。
〔立法理由〕 一、明定實地稽核特定非公務機關資通安全維護計畫實施情形之頻率。
二、明定實地稽核特定非公務機關資通安全維護計畫實施情形之方式。
三、參採行政院「所管特定非公務機關資通安全管理作業辦法」(範本)
明定本部為辦理第一項之稽核,應於年度業務評鑑或業務檢查計畫中
明定稽核項目、稽核人員及稽核時間等與稽核相關之事項。
四、參採行政院「所管特定非公務機關資通安全管理作業辦法」(範本)
明定決定稽核項目與基準時應考量之因素。
五、參採行政院「所管特定非公務機關資通安全管理作業辦法」(範本)
明定決定受稽核機關應綜合考量之因素。
|
前條第一項實地稽核未併同本部對特定非公務機關進行之年度業務評鑑或
業務檢查辦理時,本部應依前條第四項規定因素,另訂稽核計畫,明定稽
核項目、稽核人員及稽核時間等與稽核相關之事項。
〔立法理由〕 明定實地稽核未併同年度業務評鑑或業務檢查辦理時之辦理方式。
|
第五條第一項實地稽核應由本部資訊處為之,本部保護司應為必要之協助
。
前項稽核,由本部資訊處會同保護司組成三人至七人小組進行。
前項稽核小組成員應由具備稽核所需之技術面或業務管理面相關知識人員
擔任。
稽核小組成員為非公務人員者,本部資訊處應以書面與其約定利益衝突之
迴避及執行稽核之保密義務。
〔立法理由〕 一、明定稽核特定非公務機關資通安全之人員。
二、實地稽核涉及資訊專業,應由本部資訊專業人員進行查核,惟業務主
管機關應予必要之協助。
三、明定非為公務人員者擔任稽核小組成員時,為避免影響稽核結果之公
正性,應以書面與其約定利益衝突迴避事項及執行稽核之保密義務。
|
本部辦理第五條第一項實地稽核,應將稽核計畫於一個月前以書面通知受
稽核者。
受稽核者如因業務因素或其他正當理由,未能於本部指定之時間配合稽核
者,得於收受前項通知後五日內,以書面敘明理由向本部申請調整稽核日
期。
前項申請,除有不可抗力之事由外,以一次為限。
〔立法理由〕 一、明定稽核計畫應以書面並於一個月前通知受稽核者。
二、明定受稽核者得申請調整稽核日期,申請調整需以書面為之,且以一
次為限。
|
本部辦理第五條第一項實地稽核,得要求受稽核者為資通安全維護計畫實
施情形之相關說明、協力或提供相關文件或證明供現場查閱。
受稽核者依法律有正當理由,未能為前項說明、配合措施或提供資料時,
應以書面敘明理由,向本部提出。
本部收受前項書面後,應進行審核,依下列規定辦理,並得停止稽核作業
之全部或一部:
一、認有理由者,應將審核之依據及相關資訊記載於稽核結果報告。
二、認無理由者,應要求受稽核者依第一項規定辦理;已停止稽核作業者
,得擇期續行辦理,並於十日前以書面通知受稽核者。
〔立法理由〕 一、第一項明定本部辦理第五條第一項之稽核時,受稽核者之配合義務內
容,以利本部藉由稽核確認受稽核者遵循本法之情形。
二、受稽核者如依法律有正當理由,而不能為第一項之說明、配合措施或
提供資料,例如提供資料將侵害第三人之正當權利,此時受稽核者應
以書面敘明其理由,向本部提出,俾利本部依本條第三項規定記載於
稽核結果報告或其他相關紀錄,爰為第二項規定。
三、本部於收受書面理由後,應進行審核作業。
|
本部應於辦理實地稽核作業完成後一個月內,將稽核結果報告交付受稽核
者。
前項稽核結果報告之內容,應包括稽核之範圍、缺失或待改善事項、前條
第二項所定受稽核者未能為說明、協力或提出資料供現場查閱之情形、理
由與前條第三項所定本部審核結果,及其他與稽核相關之必要內容。
〔立法理由〕 明定本部應將實地稽核結果報告交付受稽核者及稽核報告內容應載明事項
。
|
受稽核者經稽核其資通安全維護計畫實施情形有缺失或待改善者,應於收
受稽核結果報告後,依本法施行細則第三條規定與本部指定之期日及方式
,提出改善報告。
受稽核者依前項規定提出改善報告後,應依其缺失或待改善事項之性質及
程度,依本部指定之期日以書面提出改善報告之執行情形;本部認有必要
時,得要求受稽核者說明或調整。
〔立法理由〕 一、依本法第十七條第三項之規定,特定非公務機關受本部稽核,經發現
其資通安全維護計畫實施有缺失或待改善者,應向本部提出改善報告
。為利執行,爰明定受稽核者經發現其資通安全維護計畫實施有缺失
或待改善之情形,應提出改善報告之程序,並應提出改善報告之執行
情形,俾利本部進行後續之監督。
二、受稽核機關提出改善報告應包含之內容等相關事項,另依本法施行細
則第三條之規定辦理。
|
本辦法所定資通安全實地稽核事務,得委任所屬機關辦理。
〔立法理由〕 一、除政策制定等本質上不宜委任或委託辦理之事務外,本部推動資通安
全業務,如有需要,得依行政程序法第十五條規定,委任所屬機關辦
理。為利實務運作,爰為本條規範。
二、本部依本條規定為委任,因涉及公權力之移轉,應考量事務之性質、
對象之屬性等事項,先行評估委任辦理之適當性後,再行為之。
|
本辦法自發布日施行。
〔立法理由〕 明定本辦法自發布日施行。
|