本部除因不可抗力因素外,應於每年五月底前擇定關鍵基礎設施提供者,
並得擇定其他特定非公務機關,以現場實地稽核之方式,稽核其資通安全
維護計畫實施情形。
本部為辦理前項稽核,應訂定稽核計畫,其內容包括稽核之依據與目的、
期間、稽核小組組成方式、保密義務、稽核方式、基準及項目等與稽核相
關之事項。
本部決定前項稽核之基準及項目時,應綜合考量我國資通安全政策、國內
外資通安全趨勢、過往稽核成效及稽核資源等因素。
本部依第一項規定擇定受稽核之特定非公務機關(以下簡稱受稽核者)時
,應綜合考量其資通安全責任等級、資通安全事件發生之頻率與程度、資
通安全演練之成果、歷年受主管機關或本部稽核之頻率與結果及其他與資
通安全相關之因素。
本部依第一項規定擇定受稽核之特定非公務機關(以下簡稱受稽核者)時
,應綜合考量其資通安全責任等級、資通安全事件發生之頻率與程度、資
通安全演練之成果、歷年受主管機關或本部稽核之頻率與結果及其他與資
通安全相關之因素。
〔立法理由〕 一、考量辦理第一項之稽核,如遇有不可抗力之事由,例如因新冠肺炎疫
情或其他天災影響,可能無法依原規劃期程或方式辦理稽核,為使實
務上運作得審酌具體狀況,俟該等情形解除後再行辦理,或改以遠距
視訊等其他適當方式辦理,並使擇定受稽核機關之實務作業更為彈性
,爰修正第一項規定。
二、第二項至第四項未修正。
|
本部為辦理第六條第一項之稽核,應依同條第四項之考量因素及實際稽核
需求,就各受稽核者分別組成稽核小組。
前項稽核小組成員至少三人,由具備資通安全政策或該次稽核所需之技術
、管理、法律或實務專業知識之公務機關代表或專家學者擔任;其中公務
機關代表不得少於全體成員人數之四分之一。
前項公務機關代表或專家學者有下列情形之一者,應主動迴避擔任該次稽
核之稽核小組成員:
一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人,
與受稽核者或其負責人間有財產上或非財產上之利害關係。
二、本人、其配偶、三親等內親屬或家屬,與受稽核者或其負責人間,目
前或過去一年內有僱傭、承攬、委任、代理或其他類似之關係。
三、本人目前或過去一年內曾任職之機關(構)、事業或單位,曾為受稽
核者進行與受稽核項目相關之顧問輔導。
四、其他足認擔任稽核小組成員將影響稽核結果公正性之情形。
本部應以書面與稽核小組成員約定利益衝突之迴避事項及執行稽核之保密
義務。
〔立法理由〕 一、第一項、第三項及第四項未修正。
二、為使稽核小組組成人數更為彈性,以利配合實務需要增列小組成員,
並考量實務上具備稽核專業、適合擔任稽核小組成員之人員未必屬公
務機關人員,宜降低現行條文所定公務機關代表不得少於全體成員人
數三分之一之比例,爰修正第二項稽核小組成員人數及公務機關代表
比例之規定。
|