公共机构发现信息安全事件时,必须向负责相关行业的中央主管机关报告该事件。
罰則
- 未依第十六條第二項或第十七條第一項 規定,訂定、修正或實施資通安全維護
- 未依第十六條第三項或第十七條第二項 規定,向中央目的事業主管機關提出資
- 未依第七條第三項、第十六條第五項或 第十七條第三項規定,提出改善報告送
- 未依第十八條第一項規定,訂定資通安 全事件之通報及應變機制,或違反第十
- 未依第十八條第三項規定,向中央目的 事業主管機關或主管機關提出資通安全
- 違反第十八條第四項所定辦法中有關通 報內容之規定。
有关行业主管机关或中央主管机关知悉重大信息安全事件时,可以适时通报与该事件相关的必要内容和应对措施,并可以提供相关协助。 第二十一条 具体非公开机构不遵守第十条第款规定的第八条第二款规定,检举电信安全事件时,由中央目的事业主管机关处新台币三十万元以上五百万元以下罚锾,并责令限期改正;逾期不改正的,视情况给予处罚。
附則
業務涉及國家機密。
業務涉及外交、國防或國土安全事項。
業務涉及全國性民眾服務或跨公務機關共 用性資通系統之維運。
業務涉及全國性民眾或公務員個人資料檔 案之持有。
屬公務機關,且業務涉及全國性之關鍵基 礎設施事項。
屬關鍵基礎設施提供者,且業務經中央目 的事業主管機關考量其提供或維運關鍵基
屬公立醫學中心。
業務涉及公務機關捐助、資助或研發之敏 感科學技術資訊之安全維護及管理。
業務涉及區域性、地區性民眾服務或跨公 務機關共用性資通系統之維運。
業務涉及區域性或地區性民眾個人資料檔
業務涉及中央二級機關及所屬各級機關
屬公務機關,且業務涉及區域性或地區性 之關鍵基礎設施事項。
屬公立區域醫院或地區醫院。
無資通系統且未提供資通服務。
屬公務機關,且其全部資通業務由其上級 機關、監督機關或上開機關指定之公務機關
屬特定非公務機關,且其全部資通業務由 其中央目的事業主管機關、中央目的事業主
对于具有安全责任级别的人员,其信息安全责任级别将列为其满足的最高级别。影响社会公共利益、人民生命、身体、财产安全或者公共机关名誉的程度,各机关级别将相应调整:
業務涉及外交、國防、國土安全、全國性、
第十条 各机构的信息安全责任级别按照前六条的规定确定。但第三条第一项至第五项之公务机关提出或核准信息安全责任级别时,得考虑下列事项对国家安全之影响:
業務涉及個人資料、公務機密或其他依法 規或契約應秘密之資訊者,其資料、公務機
各機關依層級之不同,其功能受影響、失效 或中斷。
其他與資通系統之提供、維運、規模或性質 相關之具體事項。
附件1 负有信息安全职责的公共机构应处理的事项 A. 专职信息安全人员以外的信息人员。
總則
有关基础设施维护的核心业务信息出现轻微泄漏。 2、不涉及关键基础设施维护的核心业务信息或者核心信息通信系统,或者一般官方秘密、敏感信息或者核心信息被严重篡改的。系统。 (三)不涉及关键基础设施维护的核心活动或者核心信息和通信系统的运行受损或者暂停,并且在可接受的中断时间内无法恢复正常运行,或者涉及关键基础设施的。设施维护的核心活动或核心信息系统的运行受到影响或暂停。
在可接受的停机时间内恢复正常运行 各机构发生信息安全事件,有下列情形之一的,定为四级信息安全事件: 1、一般官方秘密、敏感信息或涉及关键基础设施维护和运行的核心业务信息公司发生严重泄密或者泄露国家秘密的情况。
2.一般官方秘密、敏感信息、关键基础设施维护涉及的核心业务信息或者核心信息系统被严重操纵。 3.关键基础设施维护涉及的核心业务或者核心信息系统运行受到影响或者暂停等在可接受的中断时间内无法恢复正常运行第三条 信息安全事件通报的内容应当包括以下内容:
公務機關資通安全事件之通報及應變
政府应当酌情为其管辖、监督、管辖或业务相关活动的政府机构报告和应对通信安全事件提供必要的支持或协助。主管当局将酌情提供必要的支持或协助。总统府、中央国家机关、直辖市及省(市)议会应依前项规定策划及实施通讯保安演习。
第九条 主管部门应当制定信息安全事件报告操作规范,包括以下内容: (四)通知受信息安全事件影响的其他主管部门的方式; (六)信息安全事件报告窗口和联系方式。
七、其他信息安全事件报告相关事项 第十条 主管部门应当制定信息安全事件应对操作规范,包括下列事项: (六)其他信息安全事件应对相关事项。
特定非公務機關資通安全事件之通報及應變
主管机关收到前项资料后,得审查信息安全事件等级,并得变更为一级。一级或二级信息安全事件,自获知事件起七十二日内。几小时之内。对于二级、三级、四级信息安全事件,自接到事件通知之日起三十六小时内。
在报告和应对信息安全事件时,将根据情况提供必要的支持或帮助。主管机关可以根据情况,为特定非政府机构开展信息安全事件应对行动提供必要的支持或协助。具体来说,向非政府机构通报第三方信息安全事件响应操作情况,发生四级或四级信息安全事件后,必须召开会议讨论相关事项。
第十五条 特定非公机构应当制定信息安全事件通报操作规范,内容包括以下内容: 四、向受信息安全事件影响的其他机构通报的时间和方式 第十六条 特定非公机构应当制定操作规范信息安全事件响应,应包括以下问题:
附則
五、特定非公机关信息安全维护计划执行情况之稽核办法七、公机关信息安全领域相关人员奖惩办法第八条主管机关应建立信息交换机制。安全。
第十一条 公共当局任命一名信息安全官员。当特定非公共机构发现信息安全事件时,他们会向负责相关部门的中央机构报告。特定非公共机构向中央信息安全、事件调查主管机关提交报告。
关于各机构信息安全责任等级的确定,附件2:具有信息安全责任等级A级的特定非公有机构应履行的事项。 附件3:具有信息安全责任等级的公有机构应履行的事项责任级别为B级。
附件4:信息通信安全B级职责具体办理的非公共事务事项。附件5:信息通信安全责任C级公共机构应当办理的事项。附件6:信息通信安全责任C级机构必须做的具体非官方事项。
(五)特定非公共机构信息安全维护计划实施情况的审核办法。