資通安全管理法草案

行政院資通安全處

行政院資通安全處 1
大綱

一、推動歷程
二、草案架構與內容
三、各界關心議題

行政院資通安全處 2
一、推動歷程
二、草案架構與內容
三、各界關心議題

行政院資通安全處 3
推動歷程(1/2)
104/7-105/1 105/8 105/9-11 105/12 106/4 106/5 預計106/9-107/1

行政 民 完 政民專 資 政通 交委 續
政府 間 成 府間家 安 委過 付員 審
院機 團 草 機團學 策 審院 立會
內關 體 案 關體者 略 查會 法審
部座 座 修 會 會並 院查
討談 談 訂 座 議 函 司
論會 會 談 送 法
會 會 立 及
議 法 法
院 制

草案亦於105/9/22-11/23上傳國發會公共政策網路參與平台徵詢各界意見

4
行政院資通安全處
推動歷程(2/2)
 各界主要意見
 政府機關
 應避免增加行政流程及文書作業。
 人力及預算不足。
 民間團體
 稽核機制之設計應避免單一組織遭密集重複稽核。
 本法規範對象除公務機關外,應考量公益性、政府資金關聯性等
因素, 不宜逕由中央目的事業主管機關指定特定產業(例如電商)。
 建議提供投資抵稅優惠。
 罰則過重。
 專家學者
 罰則過輕。

註:資安管理法研擬階段均已考量上述意見,於草案中予以調整,或已預計規劃相關配套。

行政院資通安全處 5
一、推動歷程
二、草案架構與內容
三、各界關心議題

行政院資通安全處 6
草案架構與內容(1/2)
− 行政院、委託或委任單位、各公務機關
 規範內容 − 中央目的事業主管機關權責
− 資安責任等級分級 − 權限委託 − 資安責任等級分級
− 資安維護計畫之制定與 − 資安維護計畫之制定與
實 實施
− 年度資安維護計畫實施 − 資安長設置
情形提出 − 年度資安維護計畫實施
− 資安稽核 情形提出
− 資安事件通報應變 − 資安稽核
− 改善報告 − 改善報告
− 公告 − 資安事件通報應變
− 行政(資安)檢查 − 獎懲制度
− 罰則

− 資通安全專業人才之培育 − 委託機關應監督受
− 資通安全科技之研發、整合、應 託者資安之維護
用、產學合作及國際交流合作之
推動
− 資通安全產業發展及推動
− 資通安全軟硬體、設備技術規範、
資通安全相關服務及審驗機制之
發展及推動
− 定期公布國家資通安全情勢報告
及資通安全發展方案 註:1. 粗體藍字部分,係以個別子法規範。
− 建立情資分享機制 行政院資通安全處 2. 其餘規範事項,由施行細則補充。 7
草案架構與內容(2/2)
 各國資安法規之義務內容比較
規範對象 義務
國家/國 法律
際組織 /法案 公務 資安維 報告 通報 資安
非公務機關 稽核 罰責
機關 護計畫 繳交 應變 檢查
• CI提供者
資安管
• 公營事業
我國 理法       
• 政府捐助
(草案)
財團法人
FISMA  NA     NA NA
美國
其他 依個別法令規定 依個別法令規定

• CI提供者
歐盟 NIS       
• 數位服務提供者
• CI提供者
網安法
新加坡  • 資安服務提供者      
(草案)
• 資安服務廠商
註:
1. 歐盟NIS屬指令,並未限制進行調查之方式(稽核、資安檢查均為可行選項),惟要求會員國須有對受
調查者為類似行政處分之權限。
2. 新加坡公務機關限與資安相關之機關。
行政院資通安全處 8
一、推動歷程
二、草案架構與內容
三、各界關心議題

行政院資通安全處 9
各界關心議題(1/5)
 議題彙整
 規範對象相關內容
 對象是否合宜、適用上是否須一次到位。
 稽核相關內容
 稽核人員的專業性、適當性、保密義務。
 分層稽核立意良善,惟如何避免重複稽核同一機關。
 資安檢查相關內容
 檢查人員的專業性、適當性、保密義務。
 檢查發動的時機、程序之適當性。
 罰責相關內容
 罰責對象。
 罰責種類、額度。
 罰責必要性與成效。
行政院資通安全處 10
各界關心議題(2/5)
 規範對象
國家/ 規範對象
法律 規範說明
國際 公務 適用順序
/法案 非公務機關
組織 機關
• 國外亦有規範非公務機關
• CI提供者  美國之州法或其他法令有
資安管 公務機關→CI提供者
• 公營事業
我國 理法  →公營事業、政府捐 規範非公務機關之資安
• 政府捐助
(草案) 助之財團法人  歐盟、新加坡均有規範非
財團法人
公務機關
FISMA NA NA
美國  • 因考量重大公益、政府資金
其他  NA 管理,故我國除規範CI提供
• CI提供者 者外,亦納管公營事業、政
公務機關→CI提供、 府捐助財團法人
歐盟 NIS  • 數位服務
數位服務者
提供者 • 考量規範對象之調適期間,
• CI提供者 故執行面上,將區分對象規
• 資安服務 劃不同適用日程
新加 網安法
 提供者 NA
坡 (草案)
• 資安服務
廠商
行政院資通安全處 11
各界關心議題(3/5)
 稽核
國家/國 法律
受稽機關 稽核內容 規範說明
際組織 /法案
資安管 公務機關 • 國外亦有相關稽核規範
資安維護計畫
我國 理法 • 美國FISMA,由檢察總
非公務機關 實施情形
(草案) 長或獨立稽核員進行
資安維護計畫/ • 歐盟NIS,則由會員國
FISMA 公務機關
實施情形 自行規定
美國
• 新加坡為受指派之稽核
其他 依個別法令規定
員辦理
• 我國因考量目的事業主管機
• CI提供者 資安相關文件/
歐盟 NIS 關之權責、機關權屬關係,
• 數位服務提供者 措施
規劃公務/非公務機關有其
不同之稽核辦理者
• CI提供者 網路安全相關、 • 我國除行政程序法外,於關
網安法
新加坡 • 資安服務提供者、其他認有必要
(草案)
廠商 事項
務、金融等領域,亦有稽核
之相關規定
• 機關擇選、執行程序、人員
行政院資通安全處
等補充已規劃(參附件4-2) 12
各界關心議題(4/5)
 資安檢查
國家/國 法律
受檢機關 檢查內容 規範說明
際組織 /法案
資安管 • 國外亦有相關資安檢查規範
與本法資安維護
我國 理法 非公務機關
相關之事務 • 美國依個別法令之要求
(草案)
辦理
FISMA NA NA • 歐盟由會員國自行規定
美國
其他 依個別法令規定 • 新加坡由資安官指定之
• CI提供者 資安相關文件/ 技術專家辦理,且未規
歐盟 NIS
• 數位服務提供者 措施 範發動要件
• CI提供者 • 我國於商事、能源管理等領
網安法 受影響電腦狀況 域亦有檢查之相關規定,本
新加坡 • 資安服務提供者
(草案) 及相關資料
、廠商 法則加入發動要件,由中央
目的事業主管機關或地方政
府辦理。
• 實際執行應符合行政程序法
規定,且細則亦有規劃相關
補充規範(參附件1-8)。
行政院資通安全處 13
各界關心議題(5/5)
 罰責
國家/
法律
國際
/法案
對象 種類 罰額 規範說明
組織
資安管 公務機關人員 懲戒/處 依相關法令 • 國外亦有相關罰責規範
我國 理法 • 美國依個別法令之要求
(草案) 非公務機關 行政罰 10~100萬罰鍰
辦理
FISMA NA NA NA • 歐盟要求會員國訂定有
美國 效罰則
其他 依個別法令規定
• 新加坡則包含徒刑、罰
• CI提供者 金等刑罰規定
要求會員國必須訂定
歐盟 NIS • 數位服務提
有效罰責 • 本法針對違反義務者,原則
供者
先令限期改正,逾期不改正
視所違義務:
• CI提供者
•2~10年以下
處以罰鍰。
• 資安服務提
新加 網安法 有期徒刑
供者、廠商 刑罰
坡 (草案) • 220萬以下不
(其代表人或
等罰金(已換算
管理人同受)
為新臺幣)
行政院資通安全處 14
報告完畢

行政院資通安全處 15
附件1
資通安全管理法施行細則
規劃內容

行政院資通安全處 16
附件1-1
資通安全管理法施行細則規劃內容
適用對象之補充規定
 規範內容架構
• 軍事機關、情報機關、政府捐助之財團法人定義
改善報告之說明
• 稽核後之改善報告應包含項目
• 資安事件通報應變後之調查、處理及改善報告應包
含項目
資通系統、服務委外辦理注意事項
施行細則,由 • 相關事前評估、事中監督之項目與作法
行政院定之 資通安全維護計畫
(母法§22)
• 計畫應備基礎內容、實施情形應備基礎內容
行政(資安)檢查
• 發動要件之補充規定、職務證明文件等說明、執行
注意事項
其他母法補充規範
• 法源、懲處注意事項、重大資安事件、公告
、施行日期
行政院資通安全處 17
附件1-2
資通安全管理法施行細則規劃內容
 適用對象之補充規定 對應母法§2

 軍事機關及情報機關
 軍事機關:國防部及其所屬機關(構)、部隊、學校。
 情報機關:國家情報工作法第3條第1項第1款及第2項規定。
 政府捐助之財團法人
 指公務機關、公營事業、業已成立之政府捐助之財團法人分別或共同捐
助或捐贈之財產達財團法人基金總額50%以上者 (參照財團法人法草案擬
定)。

行政院資通安全處 18
附件1-3
資通安全管理法施行細則規劃內容
 相關報告補充規定
 改善報告之必要項目(稽核) 對應母法§6、 §12、 §15、 §16

 缺失、待改善之項目與內容。  改善措施之預定完成時程。
 影響範圍評估。  預定實施之改善措施之時程
 發生原因。 及成效追蹤機制。
 改善項目所採取之組織面、
物理面、技術面、作業面等
措施。

 改善報告之必要項目(通報應變) 對應母法§13、 §17

 事件發生、通報及結案登錄  組織面、物理面、技術面、作
時間。 業面或人員教育訓練等預防措
 事件影響之範圍及損害評估。 施。
 損害控制或復原作業之歷程。  相關預防措施之預定完成時程。
 事件調查及處理作業之歷程。  相關預防措施措施之時程及成
效追蹤機制。
註:各機關(構)、單位,應按其業務與組織特性,自行訂定詳細內容,至少需含有上列項目
行政院資通安全處 19
附件1-4
資通安全管理法施行細則規劃內容
 資通系統、服務委外辦理注意事項 對應母法§8

事前評估 事中監督

與受託人約定下列事項:
• 受託者之作業程序、規
定等資安管理措施是否 • 受託辦理之事務
完善、經第三方驗證 • 受託者之資安維護措施
• 受託者之專業人員配置 • 受託者之資安事件之通
(人員數量、資格、證 知與補救措施及通報事
照、經驗) 項
• 受託者之相似業務經驗 • 委託機關得以適當方式
• 其他得佐事蹟、證明 確認受託者之前三點執
行情形

•委託機關應定期確認受託者狀
況、並留存紀錄
行政院資通安全處 20
附件1-5
資通安全管理法施行細則規劃內容
 資通安全維護計畫
 資通安全維護計畫,乃公務/非公務機關為防止資通系統或資訊遭受
未經授權之存取、使用、控制、洩漏、破壞、修改、銷毀或其他侵害
所採取之措施,項目如下: 對應母法§9、 §15、 §16

 資安政策推動、目標訂定。
 資安事件之通報及應變程序、
 資安推動組織。
機制。
 資安專業人員配置。
 委外管理機制。
 應納入之資訊及資通系統界
 認知宣導與教育訓練。
定。
 定期評估與缺失改善。
 資訊儲存區域等風險評估及
 相關懲處與獎勵標準。
各面向管理機制。
 持續改進機制。
 資安事件之各項演練機制。

 資通安全維護計畫實施情形: 對應母法§11、 §15、 §16

 應包括資通安全維護計畫各項目之執行成果與相關說明。

註:各機關(構)、單位,應按其業務與組織特性,自行訂定詳細內容,至少需含有上述項目
行政院資通安全處 21
附件1-6
資通安全管理法施行細則規劃內容
 公務機關所屬人員之處罰 對應母法§14

 處罰緣由,指因故意或過失未依本法、相關法規為下列事項:
 訂定、修正及實施資通安全維護計畫。
 提出資通安全維護計畫實施情形、改善報告。
 辦理資通安全事件通報及應變。
 提出資通安全事件之調查、處理及改善報告。
 處罰對象
 機關所屬人員。
 方式
 依公務人員考績法、公務員懲戒法或其他法令規定予以懲戒或懲處。

行政院資通安全處 22
附件1-7
資通安全管理法施行細則規劃內容
 重大資通安全事件認定 對應母法§17、 §18

 第三級、第四級資通安全事件。
 重大資安事件公告之補充規定 對應母法§17

 要件
 除相關資訊之公開有侵害公務機關、非公務機關、其他個人、法人或團
體之權利或其他正當權益,或有其他依法令規定應秘密或應限制或禁止
公開之事項者外,應辦理公告。
 公告項目
 事件發生原因。
 事件影響程度。
 事件控制情形。

行政院資通安全處 23
附件1-8
資通安全管理法施行細則規劃內容
 行政檢查(資安檢查)之相關補充規定 對應母法§18

 檢查之發動要件補充
 應包含行政院、中央目的事業主管關、地方政府辦理對非公務機關之稽
核時所發現之重大缺失,受重大資安事件通報或有事實足認發生重大資
安事件。
 職務證明文件
 實施時,應攜帶之執行公文書、檢查人員身分證明。
 名譽保護及紀錄事項
 實施時,應與參與檢查之人員以書面約定保密義務,且於檢查後應做成
紀錄。
 現場作成者,被檢查者應簽名;拒絕者,應記明事由。
 事後作成者,應送達被檢查者,並告知得限期陳述意見。

行政院資通安全處 24
附件2
資通安全責任等級分級辦法
規劃內容

行政院資通安全處 25
附件2-1
資通安全責任等級分級辦法規劃內容
 規範內容架構
資通安全責任等級分級
• 資通安全責任等級分為A級、B級、C級、D級,以
及不分級
資通安全責任等級分級方式
資通安全責任等級 • 提出機關、提出內容、核定/備查機關
之分級;其分級基
準、等級變更申請、 資通安全責任等級分級原則
義務內容、專責人
員之設置及其他相 • 考量機關層級及業務屬性等因素,列出資安責任等
關事項之辦法,由 級A級、B級、C級、D級之認列原則
行政院定之(母法§6) • 列出得例外調整等級之因素
資通安全責任等級應辦事項
• 各資安責任等級機關之應辦事項

其他注意規範
• 法源、施行日期
行政院資通安全處 26
附件2-2
資通安全責任等級分級辦法規劃內容
 分級方式
每年
行政院 自身資安責任等級 行政院核定
提出

行政院直屬機關、省政府、
直轄市、縣(市)政府、直轄 1. 自身資安責任等級
市山地原住民區公所、鄉 每年 彙
2. 所 屬 機 關 及 所 管 非
(鎮、市)公所、省諮議會、 行政院核定
直轄市及縣(市)議會、直轄 公務機關資安責任
提出 送
市山地原住民區代表會、 等級
鄉(鎮、市)民代表會

1. 自身資安責任等級
每年 彙
總統府、國安會、立法院、 2. 所 屬 機 關 及 所 管 非
考試院、監察院、司法院 行政院備查
公務機關資安責任
核定 送
等級
行政院資通安全處 27
附件2-3
資通安全責任等級分級辦法規劃內容
 分級原則及例外因素
 分級原則
 除有事由認為應調整為其他資通安全責任等級者外,應依下列原則認列
A級 B級 C級 D級
•總統府 、國安 會、 •縣(市)政府 下 列 機 關 具 自行 或 委 •C級所列機關,未
五院 •公立大學 外開發資通系統,並 自行或委外開發
•直屬前點之機關 •區 域 學 術 網 路 或 設置伺服器者: 資通系統,或未
•直轄市政府 地方教育網路提 •省政府、鄉(鎮、市 設置伺服務器者
•公立醫學中心 供者 )公所、直轄市山地
原住民區公所
•業務涉及外交 、國 •公立區域醫院
防、國土安全或全 •業 務 涉 及 民 生 資 •省 諮 議 會 及 各 級 地
國性之財政、經濟、 源之公營事業 方民意機關
警政、關鍵基礎設 •業 務 涉 及 區 域 或 •學 院 以 下 之 各 級 公
施、全國性個人資 立學校 不分級
地區性個資、社
料檔案 、國家機密 會秩序維護與人 •公立地區醫院 •未 列 入 A 、 B 、 C
者 民財產者 •其他公務機關 、D級之公務或非
•業 務 未 涉 及 民 生 資 公務機關
源之公營事業
行政院資通安全處 28
附件2-4
資通安全責任等級分級辦法規劃內容
 分級原則及例外因素
 例外考慮因素
涉及外交、國防、國土安全或全國性之財政、經濟、警政事項或社會秩序之維護與人民財產者

• 業務中斷或受妨礙時,對國家安全或公共利益之影響

涉及關鍵基礎設施者
• 提供服務之用戶數、市場占有率、服務之區域、服務之可替代性,以及服務中斷或設施遭破
壞對於國家安全或公共利益之影響
涉及民生資源者

• 提供民生資源之數量、市場占有率、供給之區域、可替代性,以及供給中斷或減少對於國家
安全或公共利益之影響
涉及個人資料檔案、公務機密或其他依法律或契約應秘密資訊者

• 資訊之數量與性質,及其如遭受未經授權之存取、使用、控制、洩漏、破壞;竄改、銷毀或
其他侵害時,對當事人、其他第三人、國家安全或公共利益之影響
其他與各機關資通系統之提供、維運、規模或性質相關之具體事由
行政院資通安全處 29
附件2-5
資通安全責任等級分級辦法規劃內容
 各資安責任等級之應辦事項
管理面 技術面 認知與訓練
資 防 2年內完 內 安全性檢測 資安防護 教育訓練 專業、證照
通 護 成ISMS 部 業務 監控 一般
專責

Web
責任 系 基 導入&維 資 持續 網 滲 資 管理 郵 資安
防 使用

IDS/IPS
人力 路 透 安 機制 防 火 件 人員 國際 資安

APT
等級 統 準 持,3年 安 運作 者/主
配置 弱 測 健 防
分 符 內完成第 稽 演練 建置 毒 牆 過 火
(專業

資安 職能
級 合 三方驗證 核 點 試 診 濾 牆 職能)
(宣導)
12小
全部核心 2次 1次 2次 1次 1次 2張 2張
A 2人        時/年
系統 /年 /年 /年 /年 /年 /年 /年
(2人)
至少2項 1次 1次 12小
1次 1次 1張 1張
B 1年內 核心 1人 /2 /2       ─ 時/年
/年 /年 /年 /年
完成 資通系統 年 年 (1人) 3小
1次
至少1項 時/年
1次 /2年 1次 1次
核心 6小時
C ─ /2 /2 ─ /3 ─    ─ ─ ─ ─
資通系統 /年
年 年 年
(免驗證)
3小時
D ─ ─ ─ ─ ─ ─ ─    ─ ─ ─ ─
/年

行政院資通安全處 30
附件3
資通安全事件通報及應變辦法
規劃內容

行政院資通安全處 31
附件3-1
資通安全事件通報及應變辦法規劃內容
 規範內容架構
資通安全事件之分級
• 資安事件依機密性、完整性、可用性,分為一~四級
資通安全事件之通報流程
• 各機關之通報應包含項目、通報方式、通報對象、
通報及應變機制 接獲通報辦理項目
之必要事項、通 資通安全事件之應變流程
報內容、報告之 • 應變相關單位應辦理事項(處理、協助、調整)
提出及其他相關 • 行政院之因應會議
事項之辦法,由
資通安全事件之通報及應變程序訂定
行政院定之
(母法§13、 §17) • 各機關之通報或應變程序訂定時應包含之基本項目
檢討機制
• 各機關對於訂定、修正、實施通報、應變程序之
紀錄、檢討
其他注意規範
• 法源、機關權責釐清、配合行政院之演練作業 32
、施行日期。 行政院資通安全處
附件3-2
資通安全事件通報及應變辦法規劃內容
 資通安全事件分級
判斷因素 第一級 第二級 第三級 第四級

• 核心業務 • 一般公務機密
資訊洩漏(機密性) 非核心業務 國家機密
• 關鍵基礎設施業務 • 敏感資訊

非核心 核心 關鍵基礎 • 一般公務機密 關鍵基礎 國家
資訊 資訊別 非核心業務 核心業務
業務 業務 設施業務 • 敏感資訊 設施業務 機密
竄改
資訊/資
通系統遭 嚴重程度 輕微 嚴重 輕微 嚴重 輕微 ─ 嚴重 ─
竄改狀況
(完整性) 資通 處理關鍵 處理關鍵
系統 非核心 非核心 核心 核心
系統別 基礎設施業務 基礎設施業務
竄改
嚴重程度 輕微 嚴重 輕微 嚴重 輕微 嚴重
標的受影 業務/資通
響於容忍 非核心 非核心 核心 核心 關鍵基礎設施 關鍵基礎設施
系統別
時間回復
與否 可否回復 可 否 可 否 可 否
(可用性)

行政院資通安全處 33
附件3-3
資通安全事件通報及應變辦法規劃內容
 公務機關資安事件之通報應變流程
公務機關責任區 上級/監督機關責任區 行政院責任區
知悉資安 接獲 視情況召
事件 通報 開資安防
接獲通報 護會議

通報資安 (1小時內) 註 (1小時內)
事件 進行事件 事件
通知
等級審核 複核/審核

所屬機關 否 持續追蹤
處理資安 (構)是否 事件處理
事件 需要支援
情形 接獲協助
是 申請
是否 是
完成處理 需行政 審議
院協助

協助處理
資安事件
派員協助

改善報告 結案登錄 檢視內容 收受
結案內容

註:如無上級機關者,由該機關自行辦理
行政院資通安全處 34
附件3-4
資通安全事件通報及應變辦法規劃內容
 非公務機關資安事件之通報應變流程
非公務機關責任區 中央目的事業主管機關/地方政府責任區 行政院責任區
知悉資安 視情況召開資安
事件 (1小時內)
防護會議
是否屬
通報資安 接獲 是 接獲
3、4級 通知
事件 通報 通報
事件

處理資安 3、4級
事件 進行事件 複核
事件,
等級審核 通報
通知

完成處理 轄管 持續追
是 否
單位是 蹤事件
否需要 處理情
支援 形
改善報告 是否
否 需行政 是
接獲協助申請
院協助
審議

協助處理
派員協助
資安事件
檢視內容 3、4級事 收受
結案登錄 件,通知 (內部作業) 結案內容
35
附件3-5
資通安全事件通報及應變辦法規劃內容
 資通安全事件通報及應變之其他補充規定
 事件通報時之項目
 發生之機關。
 發生之時間。
 狀況之描述。
 等級之評估。
 所採取之因應措施。
 是否需要外部支援之評估。
 其他相關之項目。
 通報之方式
指定認可 因故無 依其他適
方式通報 法辦理 當方式 (如通報單紙本填寫)
(現況通報方式為至國家 (如網路中斷、
資通安全通報應變網站填報) 停電等事故)

事故 指定認可
排除 方式補通報
行政院資通安全處 (如至Ncert網站填報) 36
附件3-6
資通安全事件通報及應變辦法規劃內容
 通報程序應有之內容
 公務機關、非公務機關相同處  公務機關、非公務機關相異處
 公務機關
•內部及向上級或監督機關通報
事件之時機、方式
•事件等級之判斷機制 •向行政院通報所管非公務關事
•事件之影響、損害、因應能力 件之時機、方式
評估 •確保所屬、所管機關落實通報
•監督受託機關之事件通報機制 之程序與機制
•受影響機關之事件通知時機、
方式
•事件通報窗口、聯繫方式  非公務機關
•其他相關事項
•內部及向中央目的事業主管機
關或地方政府通報之時機、方

行政院資通安全處 37
附件3-7
資通安全事件通報及應變辦法規劃內容
 應變程序應有之內容
 公務機關、非公務機關相同處  公務機關、非公務機關相異處
 非公務機關
•損害控制、復原、調查、處裡
及改善方式
•向中央目的事業主管關或地方
•紀錄保留
政府請求技術支援或其他協助
•對受託者之監督、技術支援或
機制
其他協助機制
•其他相關事項

行政院資通安全處 38
附件3-8
資通安全事件通報及應變辦法規劃內容
 通報及應變之檢討
 公務機關  非公務機關

公務機關 非公務機關
通報應變程序之訂定、修正 通報應變程序之訂定、修正
、實施為檢討、紀錄 、實施為檢討、紀錄

上級/監督機關 中央目的事業主管機關、地方政府

收受、檢視所屬機關之相關紀錄 收受、檢視所管機關之相關紀錄

行政院 行政院
收受公務機關之相關紀錄,必要時檢視 必要時得要求相關機關繳交紀錄
之 ,並檢視之

行政院資通安全處 39
附件3-9
資通安全事件通報及應變辦法規劃內容
 資通安全事件通報及應變之其他補充規定
 公務機關間之權責相關事宜
 知悉其他有權、應協助之機關,應通知該機關。
 有權責爭議時,由行政院協調解決。
 公務/非公務機關配合行政院辦理之演練項目
 防範惡意電子郵件社交工程演練。
 資通安全攻防演練。
 資通安全情境演練。
 其他必要之演練。

行政院資通安全處 40
附件4
資通安全維護計畫實施情形
稽核辦法規劃內容

行政院資通安全處 41
附件4-1
資通安全維護計畫實施情形稽核辦法規劃內容
 規範內容架構

稽核內容
• 稽核計畫內容、通知時效、受稽機關選定條件
稽核時之配合事項
稽核頻率、內容與 • 受稽機關、受稽機關之中央目的事業主管機關、直
方法及其他應遵行 轄市、縣(市)政府之辦理事項
事項之辦法,由行 稽核後之辦理事項
政院定之 (母法§6)
• 行政院應提出稽核結果報告
• 受稽機關應提出改善報告
其他注意規範
• 法源、適用對象、稽核小組組成、施行日期。

行政院資通安全處 42
附件4-2
資通安全維護計畫實施情形稽核辦法規劃內容
 非公務機關受行政院稽核資通安全維護計畫之流程
行政院責任區 中央目的事業主管機關 受稽核機關責任區
、直轄市、縣(市)政府責任區 (A~D級非公務機關)

年度
書面通知
稽核計畫
(1個月前) 接受轄管非公務 接受稽核通知
機關稽核之通知
派員協助 相關配合措施
或協同稽核 (說明、證明提供)

稽核結果
報告
收受稽核結果報告

收受
提出改善報告
改善報告
收受
改善報告
管考改善報告 提出改善報告
執行情形 執行情形
管考改善報告
執行情形

行政院資通安全處 43
附件4-3
資通安全維護計畫實施情形稽核辦法規劃內容
 實施稽核之相關補充規定
 實施對象
 資通安全等級A~D級之非公務機關。
 年度稽核計畫應包含內容
 稽核目標、時間、範圍、項目、基準。
 年度稽核目標之選定因素
 業務、資訊、資通系統之重要性、機敏性、種類、數量、性質,資安事
件發生之頻率、程度、等相關之因素。
 年度稽核小組之組成
 成員身分:行政院、公務機關代表、資通安全之專家或學者。
 具備能力:資通安全專業知識、經驗或能力。
 年度稽核結果報告
 稽核之目標、範圍、機關符合稽核項目之情形、待改善之事項及其他相
關內容。

行政院資通安全處 44
附件5
資通安全資訊分享辦法
規劃內容

行政院資通安全處 45
附件5-1
資通安全資訊分享辦法規劃內容
 規範內容架構
資通安全資訊分享之對象
• 國際合作
• 行政院與公務機關間
• 非公務機關與中央目的事業主管機關或地方政府間

資通安全資訊分享平台
資通安全情資之分
析、整合與分享之 • 平台建置機關、建置方式、運作、加入方式與條件、
內容、程序、方法 資訊分享方式,以及相關流程
及其他相關事項之
資通安全資訊分享之注意事項
辦法,由行政院定
之(母法§7) • 資訊之分類、適時分享、不得分享、交收與分享之
安全措施與注意事項,以及相關補充規定
其他注意規範
• 法源、名詞定義、施行日期

行政院資通安全處 46
附件5-2
資通安全資訊分享辦法規劃內容
 資訊分享平台建置

國際合作 即

資安 享 資安
事件 事件

公務機 情
關資訊 資通安全 資 資通安全
資訊分享 分 資訊分享
資安
享 資安
平台 平台
其他 其他
事件 事件
資訊 資訊
之虞 之虞

應適時公開 自行 聯合/自行 得申請
建置 建置 加入
行政院指定之中央 其他不適用本法
行政院 之非公務機關
目的事業主管機關

 資通安全資訊:資安威脅、弱點、異常;可能或實際損害;防禦措施等
 分享平台之建置、運作、加入之注意事項:
即時性整合性適法性秘密及權益保護
47
行政院資通安全處
附件5-3
資通安全資訊分享辦法規劃內容
 資訊分享方式、流程與注意事項
 資訊分享流程

非公務機關 非公務機關

分享平台 過濾與分享 分享平台 過濾與分享 分享平台

公務機關 公務機關
 資訊分享方式、注意事項

分享方式 注意項目(資料內容) 注意項目(辦理程序)

•書面、傳真、電子郵 •個資保護 •應採取適當安全維護
件、網路系統 •禁止分享:依法、規為秘密事 措施
•經行政院或中央目的 項或限制、禁止公開者;涉營 •經書面同意,中央目
事業主管機關指定或 業秘密、經營資訊可能侵害他 的事業主管機關得蒐
認可之方式 人權益者(涉公益之必要、對 集所管非公務機關之
•其他適當方式 人民生命危害者,不在此限) 資通系統運作紀錄
行政院資通安全處 48

Sign up to vote on this title
UsefulNot useful