1
資通安全管理法施行細則總說明
「資通安全管理法」 (以下簡稱本法)業於一百零七年六月六日制定 公布,其施行日期由主管機關定之。為落實及明確定義本法相關規定,
爰訂定「資通安全管理法施行細則」(以下簡稱本細則),其要點如下:
一、本細則訂定之依據。 (第一條)
二、軍事機關及情報機關之定義。 (第二條)
三、資通安全維護計畫實施情形稽核有缺失或待改善者,應提出改善報 告之內容、方式及時間。 (第三條)
四、委外辦理資通系統之建置、維運或資通服務之提供,於選任及監督 受託者時應注意事項。(第四條)
五、本法及本細則之書面,依電子簽章法之規定,得以電子文件為之。 (第 五條)
六、資通安全維護計畫及其實施情形之內容應載明事項;該計畫之訂定、
修正、實施及其實施情形之提出,公務機關得由其上級或監督機關 辦理,特定非公務機關得由其中央目的事業主管機關、中央目的事 業主管機關所屬公務機關,或中央目的事業主管機關所管特定非公 務機關辦理。 (第六條)
七、本細則所定核心業務及核心資通系統之範圍及定義。(第七條)
八、資通安全事件調查、處理及改善報告應載明之事項。(第八條)
九、中央目的事業主管機關指定關鍵基礎設施提供者前,應給予其陳述 意見之機會。 (第九條)
十、重大資通安全事件之定義。 (第十條)
十一、重大資通安全事件之公告方式、內容及相關限制。(第十一條) 十二、特定非公務機關之業務涉及數中央目的事業主管機關之權責者,
主管機關得協調指定一個以上之中央目的事業主管機關,單獨或 共同辦理本法所定中央目的事業主管機關應辦理之事項。 (第十二 條)
十三、本細則之施行日期。 (第十三條)
2
資通安全管理法施行細則
條文 說明
第一條 本細則依資通安全管理法(以 下簡稱本法)第二十二條規定訂定之。
明定本細則訂定之依據。
第二條 本法第三條第五款所稱軍事機 關,指國防部及其所屬機關(構)、部 隊、學校;所稱情報機關,指國家情 報工作法第三條第一項第一款及第二 項規定之機關。
參考國家情報工作法及檢察機關辦理刑 事案件與軍事機關聯繫要點之規定,明 定本法第三條第五款所稱軍事機關及情 報機關之範圍。
第三條 公 務 機 關 或 特 定 非 公 務 機 關
(以下簡稱各機關)依本法第七條第 三項、第十三條第二項、第十六條第 五 項 或第 十 七條 第 三 項 提出 改善報 告,應針對資通安全維護計畫實施情 形之稽核結果提出下列內容,並依主 管機關、上級或監督機關或中央目的 事業主管機關指定之方式及時間,提 出改善報告之執行情形:
一、 缺失或待改善之項目及內容。
二、 發生原因。
三、 為改正缺失或補強待改善項目 所採取管理、技術、人力或資源 等層面之措施。
四、 前款措施之預定完成時程及執 行進度之追蹤方式。
明定公務機關或特定非公務機關(以下 簡稱各機關)之資通安全維護計畫實施 情形經稽核發現缺失或待改善時,所提 改善報告應包含之內容,以及後續執行 情形之提出,說明如下:
一、第一款及第二款為該缺失或待改善 事 項 之 具 體 項 目 與 內容 及 發 生 原 因。
二、第三款所定措施,係因應缺失或待 改善項目所採取之機關組織、作業 程序、應變機制、人員管考、教育 訓練、實體或虛擬設備等管理、技 術、人力或資源等層面之相關措施。
三、第四款所定預定完成時程及執行進 度之追蹤方式,係因應缺失或待改 善項目所規劃採行相關措施之時程 評估,及為確認其效果所進行之追 蹤、管考。
第四條 各機關依本法第九條規定委外 辦理資通系統之建置、維運或資通服 務之提供(以下簡稱受託業務),選任 及監督受託者時,應注意下列事項:
一、 受託者辦理受託業務之相關程 序及環境,應具備完善之資通安 全管理措施或通過第三方驗證。
二、 受託者應配置充足且經適當之 資格訓練、擁有資通安全專業證 照或具有類似業務經驗之資通 安全專業人員。
三、 受託者辦理受託業務得否複委 託、得複委託之範圍與對象,及 複委託之受託者應具備之資通 安全維護措施。
四、 受託業務涉及國家機密者,執行
一、依本法第九條規定各機關於本法適 用範圍內,委外辦理資通系統之建 置、維運或資通服務之提供,應考 量受託者之專業能力與經驗、委外 項目之性質及資通安全需求,選任 適當之受託者,並監督其資通安全 維護情形。為利執行,爰於第一項 明定相關注意事項,說明如下:
(一)為確保受託者辦理受託業務之程 序及環境具安全性,並得妥善執 行受託業務,爰為第一款及第二 款規定。第一款所稱第三方,係 指通過我國標準法主管機關委託 機構認證之機構,其驗證標準可 為國際、國家或團體標準。
(二)委託機關應依受託業務之性質,
3
受託業務之相關人員應接受適 任性查核,並依國家機密保護法 之規定,管制其出境。
五、 受託業務包括客製化資通系統 開發者,受託者應提供該資通系 統之安全性檢測證明;該資通系 統 屬 委 託 機 關 之 核 心 資 通 系 統,或委託金額達新臺幣一千萬 元以上者,委託機關應自行或另 行 委 託 第 三 方 進 行 安 全 性 檢 測;涉及利用非受託者自行開發 之系統或資源者,並應標示非自 行開發之內容與其來源及提供 授權證明。
六、 受託者執行受託業務,違反資通 安全相關法令或知悉資通安全 事件時,應立即通知委託機關及 採行之補救措施。
七、 委託關係終止或解除時,應確認 受託者返還、移交、刪除或銷毀 履行契約而持有之資料。
八、 受託者應採取之其他資通安全 相關維護措施。
九、 委託機關應定期或於知悉受託 者發生可能影響受託業務之資 通安全事件時,以稽核或其他適 當方式確認受託業務之執行情 形。
委託機關辦理前項第四款之適任 性查核,應考量受託業務所涉及國家 機密之機密等級及內容,就執行該業 務之受託者所屬人員及可能接觸該國 家機密之其他人員,於必要範圍內查 核有無下列事項:
一、 曾犯洩密罪,或於動員戡亂時期 終止後,犯內亂罪、外患罪,經 判刑確定,或通緝有案尚未結 案。
二、 曾任公務員,因違反相關安全保 密規定受懲戒或記過以上行政 懲處。
三、 曾受到外國政府、大陸地區、香 港或澳門政府之利誘、脅迫,從 事不利國家安全或重大利益情
決定是否允許受託者就受託業務 為複委託;如允許複委託,應注 意得複委託之範圍與對象,及複 委託之對象應具備之資通安全維 護措施,爰為第三款規定。
(三)考量國家機密牽涉國家之安危或 重大利益,應嚴加保護,爰於第 四款明定受託業務涉及國家機密 時,受託者辦理該項業務之相關 人員應接受適任性查核,並依國 家機密保護法之規定,管制其出 境,以利各機關謹慎審酌其辦理 受託業務之合宜性及維護國家機 密。
(四)為確保受託業務執行之適法性及 安全性,受託業務如包含客製化 資通系統之開發,應確保該資通 系統之安全性,如委託金額達一 定金額以上,或該資通系統為委 託機關核心資通系統時,應由委 託機關自行或委託公正之第三方 進行安全性檢測之複測;且該業 務如涉及利用非自行開發之系統 或資源,受託者並應標示與揭露 該系統或資源之內容與其來源,
及提供授權證明,爰為第五款規 定。所定委託金額達新臺幣一千 萬元以上,係參考目前政府採購 法勞務採購之查核金額定之。所 稱第三方,同上開(一)之說明。
(五)受託者執行受託業務,有違反資 通安全相關法令之情形,或知悉 資通安全事件時,為避免損害擴 大,應立即將相關情狀通知委託 機關,並採行諸如啟動備援、回 復運轉、損害管制等適當之補救 措施,爰為第六款規定。
(六)為確保對於受託業務相關資料及 系統之保護,受託者於委託關係 結束時,應返還、移交、刪除或 銷毀為履行契約所持有之資料,
爰為第七款規定。
(七)委託機關就委外辦理之業務,得 要求受託者依 業務 之性 質及內
4
事。
四、 其他與國家機密保護相關之具 體項目。
第一項第四款情形,應記載於招 標公告、招標文件及契約;於辦理適 任性查核前,並應經當事人書面同意。
容,調整其須具備之資通安全相 關維護措施,爰為第八款規定。
(八)為確保受託業務執行之妥適性,
委託機關應定期檢視執行狀況;
於知悉受託者發生可能影響受託 業務之資通安全事件時,亦應確 認受託業務之執行情形,爰為第 九款規定。
二、適任性查核之對象應包括受託者辦 理該受託業務之人員及可能接觸該 國家機密之人員。而查核之項目則 應 考 量 上 開 業 務 所 涉及 之 機 密 等 級、內容,於必要範圍內查核之。
各機關於辦理受託業務之委外作業 時,若有第一項第四款之情事者,
應於招標公告、招標文件、委外契 約中敘明受託者辦理該項受託業務 之人員及可能接觸該國家機密之人 員,應接受查核之項目,使其知悉 並以書面同意。為使規範明確,以 利執行,爰為第二項及第三項規定。
第五條 前條第三項及本法第十六條第 一項之書面,依電子簽章法之規定,
得以電子文件為之。
明定本辦法及本法所定書面,依電子簽 章法之規定,得以電子文件為之。
第六條 本法第十條、第十六條第二項 及第十七條第一項所定資通安全維護 計畫,應包括下列事項:
一、 核心業務及其重要性。
二、 資通安全政策及目標。
三、 資通安全推動組織。
四、 專責人力及經費之配置。
五、 公務機關資通安全長之配置。
六、 資訊及資通系統之盤點,並標示 核心資通系統及相關資產。
七、 資通安全風險評估。
八、 資通安全防護及控制措施。
九、 資通安全事件通報、應變及演練 相關機制。
十、 資通安全情資之評估及因應機 制。
十一、資通系統或服務委外辦理之管 理措施。
十二、 公務機關所屬人員辦理業務涉 及資通安全事項之考核機制。
一、 為利各機關訂定、修正及實施資通 安全維護計畫,爰於第一項明定該 計畫應包括之內容,說明如下:
(一) 各機關為有效落實其資通系統之 安全管理,應釐清其核心業務,
並說明該業務之重要性為何,爰 為第一款規定。
(二) 各機關依其業務性質推動資通安 全維護事項,應建立資通安全政 策,並應於各內部單位建立與資 通安全政策一致之資通安全目 標,爰為第二款規定。
(三) 第三款至第五款明定計畫應包括 機關內部推動資通安全事務之組 織,與為達成資通安全政策及目 標,所配置之專責人力及資源,
公務機關並應配置資通安全長。
(四) 各機關為有效推動資通安全管 理,應盤點其資訊、資通系統,
並應標示核心資通系統及相關資
5
十三、 資通安全維護計畫與實施情形 之持續精進及績效管理機制。
各機關依本法第十二條、第十六 條第三項或第十七條第二項規定提出 資通安全維護計畫實施情形,應包括 前項各款之執行成果及相關說明。
第一 項 資通 安 全維護 計 畫 之 訂 定、修正、實施及前項實施情形之提 出,公務機關得由其上級或監督機關 辦理;特定非公務機關得由其中央目 的事業主管機關、中央目的事業主管 機關所屬公務機關辦理,或經中央目 的事業主管機關同意,由其所管特定 非公務機關辦理。
產,以利執行風險評估等作業,
爰為第六款規定。
(五) 第七款明定資通安全維護計畫之 內容應包括資通安全風險評估相 關之資訊,例如:機關應建立相 關之風險評估機制,並了解諸如 資訊儲存區域、組織面、實體面、
技術面及作業面等 資通安全風 險;風險評估之範圍,包含第六 款規定盤點之資訊、資通系統及 相關資產。
(六) 第八款明定資通安全維護計畫之 內容應包括機關針對其資訊、資 通系統及相關資產,應採取之防 護及控制措施。
(七) 第九款明定資通安全維護計畫之 內容應包括機關資通安全事件通 報、應變及演練相關機制。
(八) 為強化各機關對於資通安全情資 之應用,於第十款明定機關應訂 定評估及因應之相關機制,例如 於收受資通安全情資後,應評估 情資之內容,據以決定是否就資 通安全維護計畫、資通安全事件 之通報、應變方式或其他資通安 全維護事宜為調整及因應。
(九) 第十一款明定資通安全維護計畫 應載明委外辦理資通系統或服務 時之管理措施,以利執行本法第 九條所定對受託者進行之監督。
(十) 公務機關所屬人員辦理業務涉及 資通安全事項者,應適時予以考 核,爰於第十二款明定資通安全 維護計畫應包含公務機關所屬人 員辦理業務涉及資通安全事項之 考核機制。
(十一) 第十三款明定資通安全維護 計畫應包含該計畫與實施情形之 持續精進及績效管理機制,例如 計畫合宜性、適切性及有效性之 持續改善方式,以及對於相關人 員之績效管理機制。
二、 為利各機關依本法規定提出資通安 全維護計畫實施情形,爰於第二項
6
明定其提出資料應包括之必要內 容。
三、 考量部分公務機關或特定非公務機 關之人力等行政資源可能較為不 足,其資通安全維護計畫之訂修、
執行及實施情形之提出等事宜,倘 由其上級或監督機關、中央目的事 業主管機關、中央目的事業主管機 關所屬公務機關、中央目的事業主 管機關所管特定非公務機關統一辦 理,較符合行政效率;為符合實務 執行需求,以利資通安全維護業務 之推展,爰於第三項明定資通安全 維護計畫之訂定、修正、實施及其 實施情形之提出,除由各機關自行 辦理外,亦得由其上級或監督機 關、中央目的事業主管機關、中央 目的事業主管機關所屬公務機關辦 理,或經中央目的事業主管機關同 意後由其所管特定非公務機關辦 理。
第七條 前條第一項第一款所定核心業 務,其範圍如下:
一、公務機關依其組織法規,足認該 業務為機關核心權責所在。
二、公營事業及政府捐助之財團法人 之主要服務或功能。
三、各機關維運、提供關鍵基礎設施 所必要之業務。
四、各機關依資通安全責任等級分級 辦法第四條第一款至第五款或第 五條第一 款至第 四款 涉及之業 務。
前條第一項第六款所稱核心資通 系統,指支持核心業務持續運作必要 之系統,或依資通安全責任等級分級 辦法附表九資通系統防護需求分級原 則之規定,判定其防護需求等級為高 者。
一、第一項明定第六條第一項第一款之 核心業務之範圍。公務機關之核心 業務,應視其組織法規之規定或業 務是否係屬維運、提供關鍵基礎設 施所必要進行判斷;於公營事業及 政府捐助財團法人,則視其是否係 屬主要服務或功能所在;各機關業 務如涉關鍵基礎設施,則其維運、
提供關鍵基礎設施所必要之業務,
以及各機關依資通安全責任等級分 級辦法第四條第一款至第五款或第 五條第一款至第四款涉及之業務,
亦屬各機關之核心業務。另是否係 屬核心業務,除由特定非公務機關 自行認定外,中央目的事業主管機 關亦得協助認定之,併予敘明。
二、第二項明定第六條第一項第六款之 核心資通系統,指支持核心業務持 續運作必要之系統,或依資通安全 責任等級分級辦法附表九資通系統 防護需求分級原則之規定,判定其 防護需求等級為高者,以利各機關 辦理本法及相關法令要求之事項,
7
並強化各機關之資通安全防護。
第八條 本法第十四條第三項及第十八 條第三項所定資通安全事件調查、處 理及改善報告,應包括下列事項:
一、 事件發生或知悉其發生、完成損 害控制或復原作業之時間。
二、 事件影響之範圍及損害評估。
三、 損害控制及復原作業之歷程。
四、 事件調查及處理作業之歷程。
五、 事件根因分析。
六、 為防範類似事件再次發生所採 取之管理、技術、人力或資源等 層面之措施。
七、 前款措施之預定完成時程及成 效追蹤機制。
明定資通安全事件調查、處理及改善報 告應包括之內容。
第九條 中央目的事業主管機關依本法 第十六條第一項規定指定關鍵基礎設 施提供者前,應給予其陳述意見之機 會。
為保障人民權益,明定中央目的事業主 管機關依本法第十六條第一項規定指定 關鍵基礎設施提供者前,應給予其陳述 意見之機會。
第十條 本法第十八條第三項及第五項 所稱重大資通安全事件,指資通安全 事件通報及應變辦法第二條第四項及 第五項規定之第三級及第四級資通安 全事件。
明定重大資通安全事件之定義。
第十一條 主管機關或中央目的事業主 管機關知悉重大資通安全事件,依本 法第十八條第五項規定公告與事件相 關之必要內容及因應措施時,應載明 事件之發生或知悉其發生之時間、原 因、影響程度、控制情形及後續改善 措施。
前項與事件相關之必要內容及因 應措施,有下列情形之一者,不予公 告:
一、 涉及個人、法人或團體營業上秘 密或經營事業有關之資訊,或公 開有侵害公務機關、個人、法人 或 團 體 之 權 利 或 其 他 正 當 利 益。但法規另有規定,或對公益 有必要,或為保護人民生命、身 體、健康有必要,或經當事人同 意者,不在此限。
二、 其他依法規規定應秘密、限制或 禁止公開之情形。
為利相關機關辦理本法第十八條第五項 重大資通安全事件之公告,使民眾了解 其事件之必要內容及因應措施,並考量 民眾權益之保護及公共利益之維護,爰 明定公告時應載明之事項及不予公告之 情形。
8
第一項與事件相關之必要內容及 因應措施含有前項不予公告之 情形 者,得僅就其他部分公告之。
第十二條 特定非公務機關之業務涉及 數中央目的事業主管機關之權責者,
主管機關得協調指定一個以上之中央 目的事業主管機關,單獨或共同辦理 本法所定中央目的事業主管機關應辦 理之事項。
考量特定非公務機關之業務性質可能涉 及數個中央目的事業主管機關之權責,
為避免發生該等中央目的事業主管機關 就本法所定事宜權責不清之情形,爰明 定主管機關得協調指定其中一個以上之 中央目的事業主管機關,單獨或共同辦 理本法所定中央目的事業主管機關應辦 理之事項。
第十三條 本細則之施行日期,由主管 機關定之。
明定本細則之施行日期,由主管機關定 之。
