第四條 公務機關知悉資通安全事件後,應於一小時內依主管 機關指定之方式及對象,進行資通安全事件之通報。
前項資通安全事件等級變更時,公務機關應依前項規 定,續行通報。
公務機關因故無法依第一項規定方式通報者,應於同 項規定之時間內依其他適當方式通報,並註記無法依規定 方式通報之事由。
公務機關於無法依第一項規定方式通報之事由解除後,
應依該方式補行通報。
第五條 主管機關應於其自身完成資通安全事件之通報後,依 下列規定時間完成該資通安全事件等級之審核,並得依審 核結果變更其等級:
一、通報為第一級或第二級資通安全事件者,於接獲 後八小時內。
二、通報為第三級或第四級資通安全事件者,於接獲 後二小時內。
總統府與中央一級機關之直屬機關及直轄市、縣(市)
政府,應於其自身、所屬、監督之公務機關、所轄鄉(鎮、
市) 、直轄市山地原住民區公所與其所屬或監督之公務機關,
及前開鄉(鎮、市) 、直轄市山地原住民區民代表會,完成 資通安全事件之通報後,依前項規定時間完成該資通安全 事件等級之審核,並得依審核結果變更其等級。
前項機關依規定完成資通安全事件等級之審核後,應 於一小時內將審核結果通知主管機關,並提供審核依據之 相關資訊。
總統府、國家安全會議、立法院、司法院、考試院、監
45
察院及直轄市、縣(市)議會,應於其自身完成資通安全事 件之通報後,依第一項規定時間完成該資通安全事件等級 之審核,並依前項規定通知主管機關及提供相關資訊。
主管機關接獲前二項之通知後,應依相關資訊,就資通 安全事件之等級進行覆核,並得依覆核結果變更其等級。但 主管機關認有必要,或第二項及前項之機關未依規定通知 審核結果時,得就該資通安全事件逕為審核,並得為等級之 變更。
第六條 公務機關知悉資通安全事件後,應依下列規定時間完 成損害控制或復原作業,並依主管機關指定之方式及對象 辦理通知事宜:
一、第一級或第二級資通安全事件,於知悉該事件後 七十二小時內。
二、第三級或第四級資通安全事件,於知悉該事件後 三十六小時內。
公務機關依前項規定完成損害控制或復原作業後,應 持續進行資通安全事件之調查及處理,並於一個月內依主 管機關指定之方式,送交調查、處理及改善報告。
前項調查、處理及改善報告送交之時限,得經上級或監 督機關及主管機關同意後延長之。
上級、監督機關或主管機關就第二項之調查、處理及改 善報告認有必要,或認有違反法令、不適當或其他須改善之 情事者,得要求公務機關提出說明及調整。
第七條 總統府與中央一級機關之直屬機關及直轄市、縣(市)
政府,就所屬、監督、所轄或業務相關之公務機關執行資通 安全事件之通報及應變作業,應視情形提供必要支援或協 助。
主管機關就公務機關執行資通安全事件之應變作業,
46
得視情形提供必要支援或協助。
公務機關知悉第三級或第四級資通安全事件後,其資 通安全長應召開會議研商相關事宜,並得請相關機關提供 協助。
第八條 總統府與中央一級機關之直屬機關及直轄市、縣(市)
政府,對於其自身、所屬或監督之公務機關、所轄鄉(鎮、
市) 、直轄市山地原住民區公所與其所屬或監督之公務機關 及前開鄉(鎮、市) 、直轄市山地原住民區民代表會,應規 劃及辦理資通安全演練作業,並於完成後一個月內,將執行 情形及成果報告送交主管機關。
前項演練作業之內容,應至少包括下列項目:
一、每半年辦理一次社交工程演練。
二、每年辦理一次資通安全事件通報及應變演練。
總統府與中央一級機關及直轄市、縣(市)議會,應依 前項規定規劃及辦理資通安全演練作業。
第九條 公務機關應就資通安全事件之通報訂定作業規範,其 內容應包括下列事項:
一、判定事件等級之流程及權責。
二、事件之影響範圍、損害程度及機關因應能力之評 估。
三、資通安全事件之內部通報流程。
四、通知受資通安全事件影響之其他機關之方式。
五、前四款事項之演練。
六、資通安全事件通報窗口及聯繫方式。
七、其他資通安全事件通報相關事項。
第十條 公務機關應就資通安全事件之應變訂定作業規範,其 內容應包括下列事項:
一、應變小組之組織。
47
二、事件發生前之演練作業。
三、事件發生時之損害控制機制。
四、事件發生後之復原、鑑識、調查及改善機制。
五、事件相關紀錄之保全。
六、其他資通安全事件應變相關事項。
在文檔中
資通安全管理法及子法彙編
(頁 48-51)