各機關有下列情形之一者,其資通安全責任等級為B級:
一、業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護
及管理。
二、業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維
運。
三、業務涉及區域性或地區性民眾個人資料檔案之持有。
四、業務涉及中央二級機關及所屬各級機關(構)共用性資通系統之維運
。
五、屬公務機關,且業務涉及區域性或地區性之關鍵基礎設施事項。
六、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供
或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,
認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命
、身體、財產安全將產生嚴重影響。
七、屬公立區域醫院或地區醫院。
〔立法理由〕 一、配合科技部於一百零八年將「政府資助敏感科技研究計畫安全管制作
業手冊」修正為「政府資助國家核心科技研究計畫安全管制作業手冊
」,並於該手冊規定國家核心科技之定義,爰將現行第一款所定「敏
感科學技術」修正為「國家核心科技」。
二、其餘各款未修正。
|
各機關維運自行或委外設置、開發之資通系統者,其資通安全責任等級為
C級。
前項所定自行或委外設置之資通系統,指具權限區分及管理功能之資通系
統。
〔立法理由〕 考量各機關使用之資通系統有非屬自行或委外開發者,例如市面販售之目
錄服務系統、電子郵件系統等,係屬其自行或委外採購設置,該等具權限
區分及管理功能之資通系統之資安風險仍應進行較高之管控作為,資通安
全責任等級宜列為 C級,爰將現行條文列為第一項,增訂「設置」之情形
,並增訂第二項,定明第一項所定自行或委外設置之資通系統之範圍。
|
各機關自行辦理資通業務,未維運自行或委外設置、開發之資通系統者,
其資通安全責任等級為D級。
〔立法理由〕 配合第六條修正維運自行或委外設置之資通系統者之資通安全責任等級為
C級,修正本條所定資通安全責任等級為D級之情形。
|
各機關應依其資通安全責任等級,辦理附表一至附表八之事項。
各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級
原則完成資通系統分級,並依附表十所定資通系統防護基準執行控制措施
;特定非公務機關之中央目的事業主管機關就特定類型資通系統之防護基
準認有另為規定之必要者,得自行擬訂防護基準,報請主管機關核定後,
依其規定辦理。
各機關辦理附表一至附表八所定事項或執行附表十所定控制措施,因技術
限制、個別資通系統之設計、結構或性質等因素,就特定事項或控制措施
之辦理或執行顯有困難者,得經第三條第二項至第四項所定其等級提交機
關或同條第五項所定其等級核定機關同意,並報請主管機關備查後,免執
行該事項或控制措施;其為主管機關者,經其同意後,免予執行。
公務機關之資通安全責任等級為A級或B級者,應依主管機關指定之方式,
提報第一項及第二項事項之辦理情形。
中央目的事業主管機關得要求所管特定非公務機關,依其指定之方式提報
第一項及第二項事項之辦理情形。
|