選擇章節
比較基準
行政院
106/05/12
時代力量立法院黨團等6人
105/09/30 提案版本
陳亭妃等23人
105/10/28 提案版本
許毓仁等17人
106/09/22 提案版本
余宛如等18人
106/09/22 提案版本
親民黨立法院黨團等2人
106/10/13 提案版本
第一章
總則
立法說明
章名。
總 論
立法說明
章名
總則
立法說明
章名
總則
立法說明
章名。
第一條
為積極推動國家資通安全政策,加速建構國家資通安全環境,帶動資通安全產業發展,以保障國家安全,維護社會公共利益,特制定本法。
立法說明
一、明定本法之立法目的。
二、隨著數位及其他資通科技(Information Communication Technology)應用之普及,資通安全議題日益受到重視。為有效規劃我國之資通安全管理政策,落實於公、私部門,以建構安全之資通環境,進而保障國家安全,維護社會公共利益,特制定本法。
二、隨著數位及其他資通科技(Information Communication Technology)應用之普及,資通安全議題日益受到重視。為有效規劃我國之資通安全管理政策,落實於公、私部門,以建構安全之資通環境,進而保障國家安全,維護社會公共利益,特制定本法。
(立法目的)
為提升國家資通安全之防護、應變及復原能力,加強資通安全政策、法令、技術及市場之研究、發展及應用,扶植國家資通安全人才、組織及產業,以維護國家安全及國民權益,特制定本法。
為提升國家資通安全之防護、應變及復原能力,加強資通安全政策、法令、技術及市場之研究、發展及應用,扶植國家資通安全人才、組織及產業,以維護國家安全及國民權益,特制定本法。
立法說明
鑑於全球透過網路或其他通訊設備之攻擊事件頻傳,導致各國、企業或個人之機敏性資料落入具有特定負面意圖之人或組織手中,造成國家安全或國民權益之重大損害,爰參酌美國、德國等資通安全發展較為先進之國家之立法歷程、內容與實作經驗,特制定本法,期使我國能在事前防護資通安全系統及偵測針對系統之各種威脅、於事中得以迅速回應、縮小損害規模甚至回擊、在事後也可以盡早回復、保全及蒐集相關證據,提升我國資通安全之防禦能力、維護我國國家安全及國民權益。
為積極推動國家資通安全政策,強化我國資通安全,並降低資通安全之風險,以確保國家安全、維護國人之生命權及財產權,並提升資通安全產業發展,特制定本法。
立法說明
一、全球化、資訊化時代來臨,政府及企業大量使用網際網路進行線上服務,且許多重要關鍵基礎設施也開始仰賴網路線上管理後,來自網際網路的駭客,會盜用民眾身分,侵入個人電子郵箱,試圖破壞資訊網路、金融機構及資訊管理系統,以竊取他國政府或企業的機密。世界正面臨著快速增長的網路安全威脅,各國越來越關注全球駭客持續入侵、竊取智慧財產、商業機密以及國防軍事資料,對經濟和國安造成威脅。我國資訊科技發展快速,受到網路攻擊的危機迫切,網路安全問題已是國家安全的重要議題,實有必要立法規定。
二、鑒於數位及其他資訊科技應用普及,資通科技的蓬勃發展,資通安全風險大幅增加,而我國公部門,雖有資通安全推動單位與相關遵行法令,惟若能進一步賦予各機關資通安全維護義務的法源,將更能提昇我國資通安全能量。
三、為有效規劃我國之資通安全管理政策,並落實於公、私部門,以建構一個安全之資通環境,以確保國家安全、維護國人之生命權及財產權,並提升資通安全產業發展。
二、鑒於數位及其他資訊科技應用普及,資通科技的蓬勃發展,資通安全風險大幅增加,而我國公部門,雖有資通安全推動單位與相關遵行法令,惟若能進一步賦予各機關資通安全維護義務的法源,將更能提昇我國資通安全能量。
三、為有效規劃我國之資通安全管理政策,並落實於公、私部門,以建構一個安全之資通環境,以確保國家安全、維護國人之生命權及財產權,並提升資通安全產業發展。
為積極推動國家資通安全政策,加速建構國家資通安全環境,帶動資通安全產業發展,以保障國家安全,維護社會公共利益,特制定本法。
立法說明
一、明定本法之立法目的。
二、隨著數位及其他資通科技應用之普及,資通安全議題日益受到重視。為有效將我國之資通安全管理政策落實於公部門,以建構安全之資通環境,進而保障國家安全,維護社會公共利益,特制定本法。
二、隨著數位及其他資通科技應用之普及,資通安全議題日益受到重視。為有效將我國之資通安全管理政策落實於公部門,以建構安全之資通環境,進而保障國家安全,維護社會公共利益,特制定本法。
本法立法目的為:
一、提供政府資通安全治理架構,以提升國家資通安全之防護、應變及復原能力。
二、透過管理及監察,以及與公民社會及國家安全機制之協作,以提供政府資通訊及資通系統安全保護之最低必要控制。
三、協助市場建立先進、高能、自動及有效的資安解決方案及認證機制,以協助民間建置資通安全能量。
四、提供資安防護標準,以作為政府全面性作業架構、資通系統安全保護最低必要控制,及關鍵基礎設施資安防護方案的依據。
五、統整資通安全政策、法令,以保障國家安全,維護社會公共利益。
六、透過提升政府採購軟體或硬體資安解決方案,以帶動資通安全產業發展,扶植國家資通安全人才。
一、提供政府資通安全治理架構,以提升國家資通安全之防護、應變及復原能力。
二、透過管理及監察,以及與公民社會及國家安全機制之協作,以提供政府資通訊及資通系統安全保護之最低必要控制。
三、協助市場建立先進、高能、自動及有效的資安解決方案及認證機制,以協助民間建置資通安全能量。
四、提供資安防護標準,以作為政府全面性作業架構、資通系統安全保護最低必要控制,及關鍵基礎設施資安防護方案的依據。
五、統整資通安全政策、法令,以保障國家安全,維護社會公共利益。
六、透過提升政府採購軟體或硬體資安解決方案,以帶動資通安全產業發展,扶植國家資通安全人才。
立法說明
一、明訂本法立法目的。
二、本法立法目的包含六大主題:
1.提供治理架構
2.提供資安最低必要控制
3.協助市場建立資安解決方案
4.提供資安防護標準
5.統整資安政策法令
6.以政府採購帶動資安產業
三、參考FISMA 2014之立法目的:
1.針對支持聯邦運作及資產(operation& assets)的相關資訊,提供一個能夠提高資訊安全控制效能的全面性架構。
2.認知到現行聯邦資訊環境已經高度網路化的事實,提供有效的政府管理,以及對於相關資訊安全風險的監察,包括透過與公司社會、國家安全機制及執法單位的協作。
3.發展並維持對於聯邦「資訊及資訊系統」安全保護的最低必要控制。
4.提供一套機制,用以改善對聯邦資訊安全計畫的監察,包括經由自動化安全工具以持續「斷定(diagnose)」資安狀態並改善安全。
5.理解商業開發之資訊安全產品可提供先進、高能、自動及有效的資安解決方案,反映市場解決方案對於保護由私部門設計、建造及營運的關鍵基礎設施(對國安及自由經濟安全十分重要)十分重要。
6.認知選擇軟體或硬體資安解決方案應由各機關自行自商業市場產品中挑選。
四、參考ISO 27001之制訂目的:「本標準之制定係為提供用以建立、實作、運作、監視、審查、維持及改進資訊安全管理系統之模型。」
二、本法立法目的包含六大主題:
1.提供治理架構
2.提供資安最低必要控制
3.協助市場建立資安解決方案
4.提供資安防護標準
5.統整資安政策法令
6.以政府採購帶動資安產業
三、參考FISMA 2014之立法目的:
1.針對支持聯邦運作及資產(operation& assets)的相關資訊,提供一個能夠提高資訊安全控制效能的全面性架構。
2.認知到現行聯邦資訊環境已經高度網路化的事實,提供有效的政府管理,以及對於相關資訊安全風險的監察,包括透過與公司社會、國家安全機制及執法單位的協作。
3.發展並維持對於聯邦「資訊及資訊系統」安全保護的最低必要控制。
4.提供一套機制,用以改善對聯邦資訊安全計畫的監察,包括經由自動化安全工具以持續「斷定(diagnose)」資安狀態並改善安全。
5.理解商業開發之資訊安全產品可提供先進、高能、自動及有效的資安解決方案,反映市場解決方案對於保護由私部門設計、建造及營運的關鍵基礎設施(對國安及自由經濟安全十分重要)十分重要。
6.認知選擇軟體或硬體資安解決方案應由各機關自行自商業市場產品中挑選。
四、參考ISO 27001之制訂目的:「本標準之制定係為提供用以建立、實作、運作、監視、審查、維持及改進資訊安全管理系統之模型。」
在避免不當侵犯人民權利之前提下,政府應建立國家資通安全政策及治理架構,整合資安政策法令,提供資安防護標準之參考,並由公私協力建立資安解決方案,帶動資通安全產業發展,以保障及維護社會公共利益,特制定本法。
立法說明
在避免不當侵犯人民權利的前提下,為保障公共利益,參酌美國聯邦資訊安全現代化法(Federal Information Security Modernization Act of 2014),明定本法之立法目的。
第二條
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
五、非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
六、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,並經行政院公告者。
七、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,依第十五條第一項規定經中央目的事業主管機關或直轄市、縣(市)政府指定,並報行政院核定之非公務機關。
前項第五款所稱政府捐助之財團法人,其範圍於施行細則中定之。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
五、非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
六、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,並經行政院公告者。
七、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,依第十五條第一項規定經中央目的事業主管機關或直轄市、縣(市)政府指定,並報行政院核定之非公務機關。
前項第五款所稱政府捐助之財團法人,其範圍於施行細則中定之。
立法說明
一、第一項明定本法用詞定義:
(一)參考美國國家標準技術研究所(National Institute of Standards andTechnology)SP800-60 Volume I: Guildfor Mapping Type of Information
and Information System to Security Categories及經濟部標準檢驗局公布國家標準CNS 27001「資訊技術─安全技術─資訊安全管理─要求事項」等文件,於第一款至第三款規定資通系統、資通服務及資通安全之定義。
(二)第四款及第五款規定公務機關及非公務機關。公務機關指依法行使公權力之中央、地方機關(構)或公法人,例如總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、公立社會教育機構、公立文化機構、公立醫療機構或行政法人等。另考量軍事機關及情報機關之性質特殊,其資通安全管理宜由該等機關另行規定,故定明非屬本法所稱公務機關;該等機關之範圍,將於施行細則中規範。非公務機關則包括關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
(三)參考美國31 CFR 800.208所定關鍵基礎設施(critical infrastructure)、日本網路安全基本法(サイバーセキュリティ基本法)第三條所定重要社會基礎業者、韓國情報通信基礎保護法(정보통신기반보호법)第二條所定情報通信基礎設施等定義,於第六款明定關鍵基礎設施之內涵,並考量關鍵基礎設施因應環境與時代變遷,其範圍可能調整,故規定由行政院公告之。依據行政院訂定之「國家關鍵基礎設施安全防護指導綱要」,關鍵基礎設施之範圍分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大功能領域,其下並各分為數項次領域及重要元件設施;因前揭指導綱要每兩年將定期檢視調整,關鍵基礎設施之範圍,亦將配合修正調整。
(四)考量關鍵基礎設施對國家安全、社會公共利益、國民生活及經濟活動有重大影響,然各維運關鍵基礎設施之非公務機關其屬性及重要性仍有不同,爰於第七款規定關鍵基礎設施提供者為由中央目的事業主管機關或直轄市、縣(市)政府指定其中具重要性者,並報行政院核定之非公務機關。
(五)提供或維運關鍵基礎設施之全部或一部者,如屬本法所定義之公務機關,應遵循本法有關公務機關之規定;至其他關鍵基礎設施之提供者,則應遵循本法有關關鍵基礎設施提供者之規定。
(六)非提供或維運關鍵基礎設施功能或重要元件設施,而僅提供關鍵基礎設施所需用之其他設備或服務者,雖非本法所稱關鍵基礎設施提供者,但如其係受關鍵基礎提供者委託辦理資通系統之建置、維運或資通服務之提供時,仍應依本法第八條規定,受委託者之監督。
二、有關本法規範之政府捐助之財團法人,其範圍宜與財團法人相關規定內涵一致,爰為第二項規定;未來將參考財團法人法草案第二條第二項及第三項規定,於施行細則中定明其範圍。
(一)參考美國國家標準技術研究所(National Institute of Standards andTechnology)SP800-60 Volume I: Guildfor Mapping Type of Information
and Information System to Security Categories及經濟部標準檢驗局公布國家標準CNS 27001「資訊技術─安全技術─資訊安全管理─要求事項」等文件,於第一款至第三款規定資通系統、資通服務及資通安全之定義。
(二)第四款及第五款規定公務機關及非公務機關。公務機關指依法行使公權力之中央、地方機關(構)或公法人,例如總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、公立社會教育機構、公立文化機構、公立醫療機構或行政法人等。另考量軍事機關及情報機關之性質特殊,其資通安全管理宜由該等機關另行規定,故定明非屬本法所稱公務機關;該等機關之範圍,將於施行細則中規範。非公務機關則包括關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
(三)參考美國31 CFR 800.208所定關鍵基礎設施(critical infrastructure)、日本網路安全基本法(サイバーセキュリティ基本法)第三條所定重要社會基礎業者、韓國情報通信基礎保護法(정보통신기반보호법)第二條所定情報通信基礎設施等定義,於第六款明定關鍵基礎設施之內涵,並考量關鍵基礎設施因應環境與時代變遷,其範圍可能調整,故規定由行政院公告之。依據行政院訂定之「國家關鍵基礎設施安全防護指導綱要」,關鍵基礎設施之範圍分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大功能領域,其下並各分為數項次領域及重要元件設施;因前揭指導綱要每兩年將定期檢視調整,關鍵基礎設施之範圍,亦將配合修正調整。
(四)考量關鍵基礎設施對國家安全、社會公共利益、國民生活及經濟活動有重大影響,然各維運關鍵基礎設施之非公務機關其屬性及重要性仍有不同,爰於第七款規定關鍵基礎設施提供者為由中央目的事業主管機關或直轄市、縣(市)政府指定其中具重要性者,並報行政院核定之非公務機關。
(五)提供或維運關鍵基礎設施之全部或一部者,如屬本法所定義之公務機關,應遵循本法有關公務機關之規定;至其他關鍵基礎設施之提供者,則應遵循本法有關關鍵基礎設施提供者之規定。
(六)非提供或維運關鍵基礎設施功能或重要元件設施,而僅提供關鍵基礎設施所需用之其他設備或服務者,雖非本法所稱關鍵基礎設施提供者,但如其係受關鍵基礎提供者委託辦理資通系統之建置、維運或資通服務之提供時,仍應依本法第八條規定,受委託者之監督。
二、有關本法規範之政府捐助之財團法人,其範圍宜與財團法人相關規定內涵一致,爰為第二項規定;未來將參考財團法人法草案第二條第二項及第三項規定,於施行細則中定明其範圍。
(名詞定義)
本法所稱資通安全,謂硬體設備、軟體系統、軟體應用服務等有關網路與通訊事項之可用性、完整性及保密性,並遵循一定之標準,避免未經授權之存取、使用、洩漏、破壞、修改或銷毀等不利於國家安全及國民權益之行為。
前項所稱有關網路與通訊事項,準用通訊保障及監察法第三條之定義。
本法所稱資通安全,謂硬體設備、軟體系統、軟體應用服務等有關網路與通訊事項之可用性、完整性及保密性,並遵循一定之標準,避免未經授權之存取、使用、洩漏、破壞、修改或銷毀等不利於國家安全及國民權益之行為。
前項所稱有關網路與通訊事項,準用通訊保障及監察法第三條之定義。
立法說明
一、根據美國前總統柯林頓第63號總統決策令(Presidential Decision Directive)及美國聯邦資訊安全管理法(Federal Information Security Management Act),資訊安全管理的目標在於保護資訊及資訊系統以避免未經授權的存取、使用、洩漏、破壞、修改或銷毀等行為,以確保資訊的可用性(Availability)、完整性(Integrity)及保密性(Confidentiality);德國聯邦資訊科技安全加強法案(Act to Strengthen the Security of Federal Information Technology)亦指出,資訊安全指透過安全防範的方式,確保資訊之可用性、完整性及保密性。
二、另再參酌我國通訊保障及監察法等相關規定,界定需加以防護之範疇,包含利用電信設備發送、儲存、傳輸或接收符號、文字、影像、聲音或其他信息之有線及無線電信、郵件、書信、言論及談話等,以確保處理及傳輸訊息之各式科技及記錄均在本法指涉範疇中。
二、另再參酌我國通訊保障及監察法等相關規定,界定需加以防護之範疇,包含利用電信設備發送、儲存、傳輸或接收符號、文字、影像、聲音或其他信息之有線及無線電信、郵件、書信、言論及談話等,以確保處理及傳輸訊息之各式科技及記錄均在本法指涉範疇中。
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、修改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、公務機關:指依法行使公權力之中央、地方機關或行政法人。
五、非公務機關:指公務機關以外之自然人、公營事業機構、其他法人或團體。
六、關鍵基礎設施:指能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方機關、高科技園區等實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,將使國人生活、經濟活動、公眾安全或國家安全有重大影響。
七、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,並經中央目的事業主管機關指定之非公務機關。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、修改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、公務機關:指依法行使公權力之中央、地方機關或行政法人。
五、非公務機關:指公務機關以外之自然人、公營事業機構、其他法人或團體。
六、關鍵基礎設施:指能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方機關、高科技園區等實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,將使國人生活、經濟活動、公眾安全或國家安全有重大影響。
七、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,並經中央目的事業主管機關指定之非公務機關。
立法說明
一、本法用詞定義之規定。
二、參考美國國家標準技術研究所及經濟部標準檢驗局公布國家標準CNS 27001「資訊技術─安全技術─資訊安全管理─要求事項」等文件,針對資通系統、資通安全等用詞定義進行規定。
三、定義公務機關與非公務機關參考個人資料保護法之規定內容,公務機關包含中央、地方機關或行政法人,例如總統府、行政院、立法院、司法院、考試院、監察院、縣(市)政府、公立教育機構或醫療機構等,均屬之;非公務機關則指公務機關以外之自然人、公營事業機構等法人或團體,例如私立教育機構及醫療機構等,均屬之。
四、參考美國「關鍵基礎設施」定義、日本「網路資訊安全基本法」、韓國「情報通信基礎保護法」來定義「關鍵基礎設施」。
五、各運作的關鍵基礎設施之非公務機關於各該類關鍵基礎設施中之屬性及重要性有所不同,所以由中央目的事業主管機關指定其中具重要性或亟具關鍵者納入規範對象。
二、參考美國國家標準技術研究所及經濟部標準檢驗局公布國家標準CNS 27001「資訊技術─安全技術─資訊安全管理─要求事項」等文件,針對資通系統、資通安全等用詞定義進行規定。
三、定義公務機關與非公務機關參考個人資料保護法之規定內容,公務機關包含中央、地方機關或行政法人,例如總統府、行政院、立法院、司法院、考試院、監察院、縣(市)政府、公立教育機構或醫療機構等,均屬之;非公務機關則指公務機關以外之自然人、公營事業機構等法人或團體,例如私立教育機構及醫療機構等,均屬之。
四、參考美國「關鍵基礎設施」定義、日本「網路資訊安全基本法」、韓國「情報通信基礎保護法」來定義「關鍵基礎設施」。
五、各運作的關鍵基礎設施之非公務機關於各該類關鍵基礎設施中之屬性及重要性有所不同,所以由中央目的事業主管機關指定其中具重要性或亟具關鍵者納入規範對象。
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
立法說明
第一項明定本法用詞定義:
一、參考美國國家標準技術研究所SP800-60 Volume I:Guildfor Mapping Type of Information and Information System to Security Categories及經濟部標準檢驗局公布國家標準CNS 27001「資訊技術─安全技術─資訊安全管理─要求事項」等文件,於第一款至第三款規定資通系統、資通服務及資通安全之定義。
二、第四款所規範之公務機關,係指依法行使公權力之中央、地方機關(構)或公法人,例如總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、公立社會教育機構、公立文化機構、公立醫療機構或行政法人等。另考量軍事機關及情報機關之性質特殊,其資通安全管理宜由該等機關另行規定,故定明非屬本法所稱公務機關。
一、參考美國國家標準技術研究所SP800-60 Volume I:Guildfor Mapping Type of Information and Information System to Security Categories及經濟部標準檢驗局公布國家標準CNS 27001「資訊技術─安全技術─資訊安全管理─要求事項」等文件,於第一款至第三款規定資通系統、資通服務及資通安全之定義。
二、第四款所規範之公務機關,係指依法行使公權力之中央、地方機關(構)或公法人,例如總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、公立社會教育機構、公立文化機構、公立醫療機構或行政法人等。另考量軍事機關及情報機關之性質特殊,其資通安全管理宜由該等機關另行規定,故定明非屬本法所稱公務機關。
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指保護資訊及資通系統,免除於未經授權的存取、利用、揭露、干擾、修改、毀壞,以及可能導致之實際違法行為,或對依法形成的安全政策、安全流程或資訊利用政策構成威脅,以確保資訊及資通系統之完整性、機密性及可用性。
四、資安事件:指系統、服務或網路經識別已發生違法或違反資訊安全政策的狀態,或是可能與資通安全相關,然先前未知的狀態,致資訊及資通系統喪失完整性及機密性,因而構成對於資安政策或安全流程或資訊利用的威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)、公法人、公營事業及政府捐助之財團法人。
六、資通安全管理系統:整體管理系統的一部份,以營運風險管理為基礎,用以建立、實作、運作、監視、審查、維持及改進資通安全。
七、人力資源安全:整體人力資源管理之一部分,依所接觸資安業務機密等級所進行之聘僱前角色與責任之釐清、篩選、聘僱條款與條件,聘僱期間之管理階層責任、資訊安全認知、教育及訓練、懲處,聘僱終止或變更時之終止責任、資產歸還、存取權限之移除等事項。
八、關鍵基礎設施:指能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等實體或虛擬資產之營運所需之重要資通訊系統或調度、控制系統或網路,其功能一旦停止運作或效能降低,對國民生活、經濟活動、公眾安全或國家安全有重大影響之虞者。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指保護資訊及資通系統,免除於未經授權的存取、利用、揭露、干擾、修改、毀壞,以及可能導致之實際違法行為,或對依法形成的安全政策、安全流程或資訊利用政策構成威脅,以確保資訊及資通系統之完整性、機密性及可用性。
四、資安事件:指系統、服務或網路經識別已發生違法或違反資訊安全政策的狀態,或是可能與資通安全相關,然先前未知的狀態,致資訊及資通系統喪失完整性及機密性,因而構成對於資安政策或安全流程或資訊利用的威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)、公法人、公營事業及政府捐助之財團法人。
六、資通安全管理系統:整體管理系統的一部份,以營運風險管理為基礎,用以建立、實作、運作、監視、審查、維持及改進資通安全。
七、人力資源安全:整體人力資源管理之一部分,依所接觸資安業務機密等級所進行之聘僱前角色與責任之釐清、篩選、聘僱條款與條件,聘僱期間之管理階層責任、資訊安全認知、教育及訓練、懲處,聘僱終止或變更時之終止責任、資產歸還、存取權限之移除等事項。
八、關鍵基礎設施:指能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等實體或虛擬資產之營運所需之重要資通訊系統或調度、控制系統或網路,其功能一旦停止運作或效能降低,對國民生活、經濟活動、公眾安全或國家安全有重大影響之虞者。
立法說明
一、明訂本法用詞定義。
二、資通系統及資通服務之定義參考美國NIST 2008年SP800-60 Volum 1:「資訊及資訊系統安全分類指引」附錄A。
三、資安之定義參考FISMA 2014第3552條:資安是「保護資訊及資訊系統,免除於未經授權的存取(unauthorized access)、利用(use)、揭露(disclosure)、干擾(disruption)、修改(modification)、毀壞(destruction)」。
資安的目的在於提供:
1.完整性(integrity),意指保護系統免除於不正當的資訊修改或毀壞,並包括確保資訊的「可追究性nonrepudiation」及「真實authenticity」。
2.機密性,意指保護對於接取行為及揭露行為的限制性授權機制,包括對於個人隱私權及專屬性資訊的保護。
3.可用性,意指確保及時可靠的網路接取及資訊利用。
四、另參考ISO 27001對於「資訊安全」之定義:保存資訊的機密性、完整性及可用性;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。
五、參考FISMA 2014第3552條:「事件incident」意指發生:
1.中樞失效(without lawful authority),喪失系統的完整性及機密性,「資訊及資訊系統」無法使用。
2.構成違法,或對依法形成的安全政策、安全流程或可被接受的資訊利用政策構成實存威脅。
六、ISO 27001對於「資訊安全事件」(information security event)之定義:系統、服務或網路發生一個已識別的狀態,顯示可能已發生資訊安全政策違例或保護措施失效,或是可能與安全相關,然先前未知的狀況等。
七、參考ISO 27001對於「資訊安全管理系統,ISMS」(Information Security Management System)之定義:整體管理系統的一部份,以營運風險導向(作法)為基礎,用以建立、實作、運作、監視、審查、維持及改進資訊安全。
八、參考ISO 27001對於「人力資源安全」之定義。
九、關鍵基礎設施之定義,參考行政院「國家關鍵基礎設施安全防護指導綱要」、美國總統13636號行政命令「增強關鍵基礎設施資安能力」、美國總統政策指引PPD─21「關鍵基礎設施之安全及復原」及美國31 CFR 800.208之定義。
十、關鍵基礎設施的定義不應以產業別作為分類基礎,而應仿歐盟作更精準的定義,免得過於浮濫而失焦。例如:歐盟關鍵基礎設施對於電業,只侷限於真正影響國安之「輸配電系統」,而非電廠或營業站。故本法僅限定於重要資通訊系統或調度、控制系統或網路。
二、資通系統及資通服務之定義參考美國NIST 2008年SP800-60 Volum 1:「資訊及資訊系統安全分類指引」附錄A。
三、資安之定義參考FISMA 2014第3552條:資安是「保護資訊及資訊系統,免除於未經授權的存取(unauthorized access)、利用(use)、揭露(disclosure)、干擾(disruption)、修改(modification)、毀壞(destruction)」。
資安的目的在於提供:
1.完整性(integrity),意指保護系統免除於不正當的資訊修改或毀壞,並包括確保資訊的「可追究性nonrepudiation」及「真實authenticity」。
2.機密性,意指保護對於接取行為及揭露行為的限制性授權機制,包括對於個人隱私權及專屬性資訊的保護。
3.可用性,意指確保及時可靠的網路接取及資訊利用。
四、另參考ISO 27001對於「資訊安全」之定義:保存資訊的機密性、完整性及可用性;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。
五、參考FISMA 2014第3552條:「事件incident」意指發生:
1.中樞失效(without lawful authority),喪失系統的完整性及機密性,「資訊及資訊系統」無法使用。
2.構成違法,或對依法形成的安全政策、安全流程或可被接受的資訊利用政策構成實存威脅。
六、ISO 27001對於「資訊安全事件」(information security event)之定義:系統、服務或網路發生一個已識別的狀態,顯示可能已發生資訊安全政策違例或保護措施失效,或是可能與安全相關,然先前未知的狀況等。
七、參考ISO 27001對於「資訊安全管理系統,ISMS」(Information Security Management System)之定義:整體管理系統的一部份,以營運風險導向(作法)為基礎,用以建立、實作、運作、監視、審查、維持及改進資訊安全。
八、參考ISO 27001對於「人力資源安全」之定義。
九、關鍵基礎設施之定義,參考行政院「國家關鍵基礎設施安全防護指導綱要」、美國總統13636號行政命令「增強關鍵基礎設施資安能力」、美國總統政策指引PPD─21「關鍵基礎設施之安全及復原」及美國31 CFR 800.208之定義。
十、關鍵基礎設施的定義不應以產業別作為分類基礎,而應仿歐盟作更精準的定義,免得過於浮濫而失焦。例如:歐盟關鍵基礎設施對於電業,只侷限於真正影響國安之「輸配電系統」,而非電廠或營業站。故本法僅限定於重要資通訊系統或調度、控制系統或網路。
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指保護資訊及資通系統,免除於未經授權的存取、利用、揭露、干擾、修改、毀壞,以及可能導致之實際違法行為,或對依法形成的安全政策、安全流程或資訊利用政策構成威脅,以確保資訊及資通系統之完整性、機密性及可用性。
四、資安事件:指系統、服務或網路經識別已發生違法或違反資訊安全政策的狀態,或是可能與資通安全相關,然先前未知的狀態,致資訊及資通系統喪失完整性及機密性,因而構成對於資安政策或安全流程或資訊利用的威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)、行政法人、公營事業及政府捐助之財團法人。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指保護資訊及資通系統,免除於未經授權的存取、利用、揭露、干擾、修改、毀壞,以及可能導致之實際違法行為,或對依法形成的安全政策、安全流程或資訊利用政策構成威脅,以確保資訊及資通系統之完整性、機密性及可用性。
四、資安事件:指系統、服務或網路經識別已發生違法或違反資訊安全政策的狀態,或是可能與資通安全相關,然先前未知的狀態,致資訊及資通系統喪失完整性及機密性,因而構成對於資安政策或安全流程或資訊利用的威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)、行政法人、公營事業及政府捐助之財團法人。
立法說明
明定本法用詞定義。
第三條
為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。
三、資通安全產業之發展及推動。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展及推動。
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。
三、資通安全產業之發展及推動。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展及推動。
立法說明
一、鑒於資通安全之提升須以全民重視為前提,並須佐以先進之資通安全技術、軟硬體、專業人才等資源,政府應與民間共同提升全民資通安全意識,推動資通安全產業,以利先進資通安全技術、軟硬體、專業人才等之發展,爰參考日本網路安全基本法第十九條產業之振興及國際競爭力強化、第二十條研究開發之推動、第二十一條人才之確保等規定,為本條規範。
二、關於租稅優惠措施,因事涉國家稅收,且現行已有產業創新條例、科學技術基本法等法律相關規定可資運用,爰不另於本法規範,併予敘明。
二、關於租稅優惠措施,因事涉國家稅收,且現行已有產業創新條例、科學技術基本法等法律相關規定可資運用,爰不另於本法規範,併予敘明。
(編列預算)
政府每年應編列預算,執行資通安全之相關法令及政策。
政府每年應編列預算,執行資通安全之相關法令及政策。
立法說明
政府發展資通安全相關研究、發展及應用之工作,需大量人力及經費之挹注,方有成效。然我國資訊相關預算占公務總預算之比例,卻呈現逐年下降、不到1%之情形;對照美國聯邦政府,不僅資訊相關預算占總預算比例超過2%,近五年來亦逐年成長中。爰此訂定編列預算之條文,賦予政府編列資通安全預算之法源,據此補充我國資通安全發展之所需資源。
為提升資通安全,政府應提供資源,整合民間力量,提升全民資通安全意識,促進資通安全產業發展,進而落實於公、私部門,應推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。
三、資通安全產業之發展及推動。
四、資通安全軟體、設備技術規範、相關服務及審驗機制之發展及推動。
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。
三、資通安全產業之發展及推動。
四、資通安全軟體、設備技術規範、相關服務及審驗機制之發展及推動。
立法說明
一、基於確保資訊及網路安全所需,先進國家無不加強相關防護作為,立法要求政府機關與相關的企業加強資訊分享,共同建立資訊及網路安全防護的執行架構,美國及日本等國家甚至成立網軍以鞏固資安防線。
二、我國面臨網路犯罪與駭客入侵癱瘓政府機關網站案件日增。資通安全之提升須以全民重視為前提,並須佐以先進之資通安全技術、軟體、設備、專業人才等。是以,政府應與民間共同提升全民資通安全意識,推動資通安全產業之發展,以利先進資通安全技術、軟體、設備、專業人才等之發展。
三、在外國立法例上,參考日本網路資訊安全基本法之人才之確保等規定;韓國情報通信基礎保護法之技術開發與人力養成等規定定之。
二、我國面臨網路犯罪與駭客入侵癱瘓政府機關網站案件日增。資通安全之提升須以全民重視為前提,並須佐以先進之資通安全技術、軟體、設備、專業人才等。是以,政府應與民間共同提升全民資通安全意識,推動資通安全產業之發展,以利先進資通安全技術、軟體、設備、專業人才等之發展。
三、在外國立法例上,參考日本網路資訊安全基本法之人才之確保等規定;韓國情報通信基礎保護法之技術開發與人力養成等規定定之。
為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。
三、資通安全產業之發展及推動。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展及推動。
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。
三、資通安全產業之發展及推動。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展及推動。
立法說明
一、鑒於資通安全之提升須以全民重視為前提,並須佐以先進之資通安全技術、軟硬體、專業人才等資源,政府應與民間共同提升全民資通安全意識,推動資通安全產業,以利先進資通安全技術、軟硬體、專業人才等之發展,爰參考日本網路安全基本法第十九條產業之振興及國際競爭力強化、第二十條研究開發之推動、第二十一條人才之確保等規定,為本條規範。
二、關於租稅優惠措施,因事涉國家稅收,且現行已有產業創新條例、科學技術基本法等法律相關規定可資運用,爰不另於本法規範,併予敘明。
二、關於租稅優惠措施,因事涉國家稅收,且現行已有產業創新條例、科學技術基本法等法律相關規定可資運用,爰不另於本法規範,併予敘明。
本法所稱資安治理主管機關(本法簡稱資安治理機關),為行政院資通安全處。
資安治理機關掌理下列事項:
一、制訂與資安有關之法令、政策、原則。
二、依據資安法令、政策及原則建立資安治理架構。
三、整合與協調各公務機關之資安管理政策及程序。
四、監督各公務機關對於資安政策之執行及資安標準之遵守狀況。
五、與資安標準機關協作發展資安標準及相關作業辦法,並交付公務機關確認可行性。
六、依據資安標準機關公告之標準,與資安管理機關共同決定機關資通安全管理系統之最適資安防護等級及相關需求。
七、建立各公務機關資安治理評估系統並協助辦理資安治理評估系統試行與導入。
八、確保各公務機關依資安政策,於出現資安事件時,通報國家資通安全技術服務中心。
九、建立資安事件分級標準及公務機關資料分級標準,以供公務機關據以辦理通報。
十、確保各公務機關依資安政策提報年度資安報告。
十一、綜理國家資通安全技術服務中心之運作與管理。
十二、確保資安管理與各公務機關之政務運作、政策計畫及預算流程整合一致。
十三、召集各公務機關資安長或資深資安人員會議,以確保資安政策得以有效執行。
十四、制訂與關鍵基礎設施有關之資安政策及原則,及辦理關鍵基礎設施之公告。
十五、定期公布國家資通安全情勢報告及資通安全發展方案。
十六、其他資安治理必要事項。
資安治理機關掌理下列事項:
一、制訂與資安有關之法令、政策、原則。
二、依據資安法令、政策及原則建立資安治理架構。
三、整合與協調各公務機關之資安管理政策及程序。
四、監督各公務機關對於資安政策之執行及資安標準之遵守狀況。
五、與資安標準機關協作發展資安標準及相關作業辦法,並交付公務機關確認可行性。
六、依據資安標準機關公告之標準,與資安管理機關共同決定機關資通安全管理系統之最適資安防護等級及相關需求。
七、建立各公務機關資安治理評估系統並協助辦理資安治理評估系統試行與導入。
八、確保各公務機關依資安政策,於出現資安事件時,通報國家資通安全技術服務中心。
九、建立資安事件分級標準及公務機關資料分級標準,以供公務機關據以辦理通報。
十、確保各公務機關依資安政策提報年度資安報告。
十一、綜理國家資通安全技術服務中心之運作與管理。
十二、確保資安管理與各公務機關之政務運作、政策計畫及預算流程整合一致。
十三、召集各公務機關資安長或資深資安人員會議,以確保資安政策得以有效執行。
十四、制訂與關鍵基礎設施有關之資安政策及原則,及辦理關鍵基礎設施之公告。
十五、定期公布國家資通安全情勢報告及資通安全發展方案。
十六、其他資安治理必要事項。
立法說明
一、明訂資安治理主管機關掌理事項。
二、參考FISMA 2014第3553條「國土安全部部長及國家情報總監的功能及權力」。
三、參考行政院國家資通安全會報技術服務中心內部簡報《資安治理概論與規劃》第13頁。
四、資安事件小自個人密碼被盜,大到機構遭到DDoS攻擊或大筆資料外洩,律定資安通報責任時應該要釐清何種等級的資安事件才需要通報,以免浪費行政資源。
五、參考美國2008年NIST SP800-60 Volum 1:「資訊及資訊系統安全分類指引」,該指引之立法目的即在「協助聯邦各機關將資訊及資訊系統分類,以便將各種資安風險依衝擊等級及結果嚴重性細分,俾該機關正確執行資安防護政策」。故於第二項第九款明列資安治理主管機關應建立資安事件及公務機關資料分級標準,以利公務機關據以辦理通報作業及制訂相對應之資安措施。
二、參考FISMA 2014第3553條「國土安全部部長及國家情報總監的功能及權力」。
三、參考行政院國家資通安全會報技術服務中心內部簡報《資安治理概論與規劃》第13頁。
四、資安事件小自個人密碼被盜,大到機構遭到DDoS攻擊或大筆資料外洩,律定資安通報責任時應該要釐清何種等級的資安事件才需要通報,以免浪費行政資源。
五、參考美國2008年NIST SP800-60 Volum 1:「資訊及資訊系統安全分類指引」,該指引之立法目的即在「協助聯邦各機關將資訊及資訊系統分類,以便將各種資安風險依衝擊等級及結果嚴重性細分,俾該機關正確執行資安防護政策」。故於第二項第九款明列資安治理主管機關應建立資安事件及公務機關資料分級標準,以利公務機關據以辦理通報作業及制訂相對應之資安措施。
行政院為本法資通安全治理中央主管機關,基於建立國家資通安全政策及治理架構及整合資安政策法令的原則下,由行政院委任行政院資通安全管理處規劃並推動國家資通安全政策、制訂及整合資安政策法令、國際交流合作及資通安全整體防護等相關事宜,並應每年公布國家資通安全情勢報告及資通安全發展方案。
科技部為本法資通安全標準中央主管機關,基於提供資安防護標準參考之原則,由科技部委任國家實驗研究院,制訂資通安全標準參考,並應每年發布資通安全科技發展方案。
科技部為本法資通安全標準中央主管機關,基於提供資安防護標準參考之原則,由科技部委任國家實驗研究院,制訂資通安全標準參考,並應每年發布資通安全科技發展方案。
立法說明
一、明定行政院為本法資通安全治理中央主管機關。
二、科技部為本法資通安全標準中央主管機關。
二、科技部為本法資通安全標準中央主管機關。
第四條
行政院應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告及資通安全發展方案。
立法說明
一、考量我國有關資通安全政策之推動所涉範圍甚廣,為利相關業務之推動,爰明定行政院應考量國家資通安全相關事務發展之需求,規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜。
二、為使各界了解國家資通安全趨勢,明定行政院應定期公布國家資通安全情勢報告,另配合國家資通安全政策之推動,原則以四年為一期,公布資通安全發展方案。
二、為使各界了解國家資通安全趨勢,明定行政院應定期公布國家資通安全情勢報告,另配合國家資通安全政策之推動,原則以四年為一期,公布資通安全發展方案。
(獎勵均衡研發及應用)
政府應協助學校、研究機關(構)、法人或團體,充實人才、設備及技術,以促進資通安全之研究、發展及應用。
政府於推動資通安全之研究、發展及應用時,應注意與資通安全相關之人文社會科學及其他資通安全技術之均衡發展。
政府應協助學校、研究機關(構)、法人或團體,充實人才、設備及技術,以促進資通安全之研究、發展及應用。
政府於推動資通安全之研究、發展及應用時,應注意與資通安全相關之人文社會科學及其他資通安全技術之均衡發展。
立法說明
政府發展資通安全相關研究、發展及應用,在有限之資源下,必須整合產、學、研各界能量,針對技術、管理、政策、法律、倫理等不同面向,投注資源進行研發與應用。為確保我國研發不致偏頗於技術面,爰此參酌科學技術基本法第二條之規定,擬具均衡發展之條文,期使我國資通安全相關研發及應用得以平衡。
行政院應擘劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等諸多相關事宜。
立法說明
考量我國有關資通安全政策之推動所涉範圍甚廣,為利相關業務之推動,由行政院主動規劃相關措施,以落實資通安全政策。
行政院應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告及資通安全發展方案。
立法說明
一、考量我國有關資通安全政策之推動所涉範圍甚廣,為利相關業務之推動,爰明定行政院應考量國家資通安全相關事務發展之需求,規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜。
二、為使各界了解國家資通安全趨勢,明定行政院應定期公布國家資通安全情勢報告。
二、為使各界了解國家資通安全趨勢,明定行政院應定期公布國家資通安全情勢報告。
本法所稱資安管理主管機關(本法簡稱資安管理機關),在中央為二級機關及行政院直屬三級機關,在地方為直轄市、縣(市)政府,公法人、公營事業及政府捐助之財團法人為該法人及事業。
資安管理機關掌理下列事項:
一、發展公務機關(構)資通安全管理系統,以確保資安作業能持續整個資訊系統週期,且計畫內容須以風險評估為基礎,並包含委外承包商管理。
二、確保資通安全管理系統之作為與機關的戰略、運作、計畫及預算流程整合一致。
三、依據資安標準機關公告之標準,與資安治理機關共同決定機關資通安全管理系統之最適資安防護等級及相關需求。
四、依據成本效益原則執行資安政策及程序,以降低資安風險至可接受的程度。
五、至少一年一次測試及評估資通安全管理系統之管控及技術,包括自動化工具之使用,以確保其有效執行。
六、提出年度資安報告,包含因資安事件所進行之系統修復行動。
七、依據前條第二項第九款之資安事件及公務機關資料分級標準,於資安事件發生時負責通報。
八、確保公務機關擁有質量足夠的資安人力及預算,以完成相關政策、程序、標準,及指引的落實。
九、訓練及監管資安人員擔負資安責任。
十、確保機關所有人員、委外承包商人員及委託其他機關代辦資安業務人員的能力皆得以執行資安計畫。
十一、指定一具備專業資格之資安官專責機關之資安作業。
十二、負責機關之人力資源安全,其範圍包括正式員工、包商以及委託其他機關執行資安相關業務人員,必要時得依業務機密等級進行不同等級之忠誠調查。
十三、在不抵觸資安政策之前提下,依據資安標準機關所提供之資通安全等級,辦理各機關監管或輔導之產業的資通安全協作事項。
十四、督導下級機關辦理本條所列事項。
十五、辦理資安軟體及服務之採購。
十六、其他資安管理必要事項。
資安管理機關掌理下列事項:
一、發展公務機關(構)資通安全管理系統,以確保資安作業能持續整個資訊系統週期,且計畫內容須以風險評估為基礎,並包含委外承包商管理。
二、確保資通安全管理系統之作為與機關的戰略、運作、計畫及預算流程整合一致。
三、依據資安標準機關公告之標準,與資安治理機關共同決定機關資通安全管理系統之最適資安防護等級及相關需求。
四、依據成本效益原則執行資安政策及程序,以降低資安風險至可接受的程度。
五、至少一年一次測試及評估資通安全管理系統之管控及技術,包括自動化工具之使用,以確保其有效執行。
六、提出年度資安報告,包含因資安事件所進行之系統修復行動。
七、依據前條第二項第九款之資安事件及公務機關資料分級標準,於資安事件發生時負責通報。
八、確保公務機關擁有質量足夠的資安人力及預算,以完成相關政策、程序、標準,及指引的落實。
九、訓練及監管資安人員擔負資安責任。
十、確保機關所有人員、委外承包商人員及委託其他機關代辦資安業務人員的能力皆得以執行資安計畫。
十一、指定一具備專業資格之資安官專責機關之資安作業。
十二、負責機關之人力資源安全,其範圍包括正式員工、包商以及委託其他機關執行資安相關業務人員,必要時得依業務機密等級進行不同等級之忠誠調查。
十三、在不抵觸資安政策之前提下,依據資安標準機關所提供之資通安全等級,辦理各機關監管或輔導之產業的資通安全協作事項。
十四、督導下級機關辦理本條所列事項。
十五、辦理資安軟體及服務之採購。
十六、其他資安管理必要事項。
立法說明
一、明訂資安管理主管機關掌理事項。
二、參考FISMA 2014第3554條「聯邦政府的責任」。
三、數據安全是各國資通安全立法保護重點,但未必皆見於其資安專法。例如,美國在商業資訊安全方面透過《統一商業秘密法》、《經濟間諜法》對竊取商業秘密的行為進行相關刑罰。美國《電腦詐欺和濫用法》、英國《電腦濫用法》都規範了非法利用和竊取政府部門數據資訊行為的罰則。在個人數據方面,美國《反竊聽法》、《電信法》對資訊傳輸過程中非法攔截及竊取個人數據的行為加以管制。歐盟《1992年資訊安全框架決定》、《1995年數據保護指令》、《2002年隱私與電子通信指令》、《2006年數據留存指令》,都是歐洲保護個人數據的重要基本規範。資通安全管理機關本為各目的事業主管機關,肩負相關產業之監管輔導責任,在不抵觸資安政策之前提下,自然可以依據資安標準主管機關所提供之資通安全等級,辦理各機關監管或輔導之產業的資通安全協作事項。
四、我國現行資通安全相關之法律規範,可劃分為網路犯罪、身分認證、通訊保障、資料保護、資訊公開與機密維護,及資安治理六大類;其所涉及之法律規範包含刑法、電子簽章法、電信法、通訊保障及監察法等21項,於本法通過後依然有效,原目的事業主管機關也依然得依法辦理所轄業務。
二、參考FISMA 2014第3554條「聯邦政府的責任」。
三、數據安全是各國資通安全立法保護重點,但未必皆見於其資安專法。例如,美國在商業資訊安全方面透過《統一商業秘密法》、《經濟間諜法》對竊取商業秘密的行為進行相關刑罰。美國《電腦詐欺和濫用法》、英國《電腦濫用法》都規範了非法利用和竊取政府部門數據資訊行為的罰則。在個人數據方面,美國《反竊聽法》、《電信法》對資訊傳輸過程中非法攔截及竊取個人數據的行為加以管制。歐盟《1992年資訊安全框架決定》、《1995年數據保護指令》、《2002年隱私與電子通信指令》、《2006年數據留存指令》,都是歐洲保護個人數據的重要基本規範。資通安全管理機關本為各目的事業主管機關,肩負相關產業之監管輔導責任,在不抵觸資安政策之前提下,自然可以依據資安標準主管機關所提供之資通安全等級,辦理各機關監管或輔導之產業的資通安全協作事項。
四、我國現行資通安全相關之法律規範,可劃分為網路犯罪、身分認證、通訊保障、資料保護、資訊公開與機密維護,及資安治理六大類;其所涉及之法律規範包含刑法、電子簽章法、電信法、通訊保障及監察法等21項,於本法通過後依然有效,原目的事業主管機關也依然得依法辦理所轄業務。
在公私協力建立資安解決方案,帶動資通安全產業發展的原則下,由政府提供資源,協力民間及產業力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。
三、資通安全產業之發展及推動。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展及推動。
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。
三、資通安全產業之發展及推動。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展及推動。
立法說明
在公私協力建立資安解決方案,帶動資通安全產業發展的原則下,由政府提供資源,協力民間及產業力量,提升全民資通安全意識,帶動資通安全產業發展。
第五條
行政院得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。
立法說明
一、除政策制定等本質上不宜委任或委託辦理之事務外,行政院為推動資通安全業務,如有需要,得依行政程序法第十五條或第十六條規定,委任或委託其他公務機關、法人或團體辦理。為利實務運作,爰為本條規範。又委外事務倘不涉及公權力之移轉,例如國際法規或國際政策之研析,或雖為資通安全整體防護或國際交流等事項而未有公權力移轉之情形時,則仍應依政府採購法等規定辦理。
二、行政院依本條規定為委任或委託,因涉及公權力之移轉,應考量事務之性質、對象之屬性等事項,先行評估委任或委託辦理之適當性後,再行為之。
二、行政院依本條規定為委任或委託,因涉及公權力之移轉,應考量事務之性質、對象之屬性等事項,先行評估委任或委託辦理之適當性後,再行為之。
(主管機關)
為有效辦理資通安全相關事項,行政院應設置資通安全處(以下稱本處),依法行使職權。
為有效辦理資通安全相關事項,行政院應設置資通安全處(以下稱本處),依法行使職權。
立法說明
明定主管機關為行政院資通安全處。
行政院得委任或委託其他公務機關、法人或團體,辦理資通安全科技研發、國際資安政策研析與國際交流合作、公務機關資通安全整體防護之執行及其他相關事務。
立法說明
行政院擘劃並推動資通安全政策、發展資通安全科技與國際交流合作,並負責資通安全防護相關工作之監督與執行,於必要時得將部分事務委任或委託其他公務機關、法人或團體辦理。
行政院應衡酌公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由行政院定之。
立法說明
考量公務機關之業務有其重要性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質有所不同,故要求行政院應衡酌公務機關之不同情勢,訂定資通安全責任等級,並針對其分級基準、等級變更申請、義務內容、專責人員之設置,訂定相關辦法。
本法所稱資安標準主管機關(本法簡稱資安標準機關),為經濟部標準檢驗局。
資安標準機關掌理下列事項:
一、與資安治理機關協作制定全國統一性的標準與指引。
二、對公務機關所處理與保管的資訊進行分類,標示其資通安全等級。
三、提供資訊與資通系統相關之安全指引。
四、為公務機關制定資通安全準則。
五、資通安全軟硬體技術規範、相關服務與審驗機制之發展與推動。
六、其他與資安標準相關之業務。
資安標準機關於執行前項各業務時,應協同資安治理機關,並徵詢技服中心之技術支援。
資安標準機關掌理下列事項:
一、與資安治理機關協作制定全國統一性的標準與指引。
二、對公務機關所處理與保管的資訊進行分類,標示其資通安全等級。
三、提供資訊與資通系統相關之安全指引。
四、為公務機關制定資通安全準則。
五、資通安全軟硬體技術規範、相關服務與審驗機制之發展與推動。
六、其他與資安標準相關之業務。
資安標準機關於執行前項各業務時,應協同資安治理機關,並徵詢技服中心之技術支援。
立法說明
一、明訂資安標準主管機關掌理事項。
二、參考40 U.S . Code§11331「聯邦政府資訊系統相關責任」,由國家標準技術研究所負責制定統一性的標準與指引,並對聯邦政府機關所處理與保管的資訊進行分類,標示其資訊安全等級,同時提供資訊與資訊系統相關之安全指引。目前美國國家標準與技術局制定的資通安全準則(NIST SP 800)系列文件已廣泛應用於聯邦政府所有的資訊系統。
二、參考40 U.S . Code§11331「聯邦政府資訊系統相關責任」,由國家標準技術研究所負責制定統一性的標準與指引,並對聯邦政府機關所處理與保管的資訊進行分類,標示其資訊安全等級,同時提供資訊與資訊系統相關之安全指引。目前美國國家標準與技術局制定的資通安全準則(NIST SP 800)系列文件已廣泛應用於聯邦政府所有的資訊系統。
行政院應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。
第一項之業務由行政院委任行政院國家資通安全會報技術服務中心辦理。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。
第一項之業務由行政院委任行政院國家資通安全會報技術服務中心辦理。
立法說明
行政院應建立資通安全情資分享機制,並委任國家高速網路與計算中心辦理。
第六條
行政院應衡酌公務機關及非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由行政院定之。
行政院得稽核非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由行政院定之。
非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向行政院提出改善報告,並送中央目的事業主管機關或直轄市、縣(市)政府。
行政院得稽核非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由行政院定之。
非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向行政院提出改善報告,並送中央目的事業主管機關或直轄市、縣(市)政府。
立法說明
一、考量公務機關與非公務機關之規模及業務性質不一,其應遵行之資通安全責任等級亦應有不同,此外,資通安全責任等級宜因機關調整、裁撤、業務變動或運用之資通系統發生重大變更等事由,而有所調整,以達到資通安全防護之最適效果。就此,目前有「政府機關(構)資通安全責任等級分級作業規定」可作為遵循之參考;於資通安全管理法制化後,上述諸事宜亦應加以規定,爰於第一項明定行政院應衡酌公務機關及非公務機關業務等事項,訂定資通安全責任等級之分級,並就其分級基準、等級變更申請、義務內容及專責人員之設置及其他相關事項,授權該院訂定辦法規範。
二、為監督非公務機關實施資通安全維護計畫之情形,爰為第二項規定,並授權行政院訂定稽核頻率、內容與方法及其他相關事項之辦法。行政院依本項進行稽核時,應考量稽核對象之責任等級、其過往資通安全維護狀況、歷來接受行政院、中央目的事業主管機關或直轄市、縣(市)政府稽核之頻率、結果及其他相關情形,決定最適之受稽核者名單。至於公務機關資通安全維護計畫實施情形之稽核,則於第十二條規範。
三、考量非公務機關依第二項規定接受稽核後,經發現其資通安全維護計畫實施有缺失或待改善情形,宜由行政院及相關機關進行監督,確認改善之狀況,爰為第三項規定。
二、為監督非公務機關實施資通安全維護計畫之情形,爰為第二項規定,並授權行政院訂定稽核頻率、內容與方法及其他相關事項之辦法。行政院依本項進行稽核時,應考量稽核對象之責任等級、其過往資通安全維護狀況、歷來接受行政院、中央目的事業主管機關或直轄市、縣(市)政府稽核之頻率、結果及其他相關情形,決定最適之受稽核者名單。至於公務機關資通安全維護計畫實施情形之稽核,則於第十二條規範。
三、考量非公務機關依第二項規定接受稽核後,經發現其資通安全維護計畫實施有缺失或待改善情形,宜由行政院及相關機關進行監督,確認改善之狀況,爰為第三項規定。
(業務職掌)
本處掌理下列事項:
一、資通安全政策之訂定、法令之訂定、修正、廢止及執行。
二、資通安全標準作業流程及技術規範之訂定、修正、廢止、執行、監督及管理。
三、資通安全系統及設備等軟、硬體產品或服務之測試及審驗。
四、協助中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業訂定、修正、廢止、執行、監督及管理第七條所稱之資通安全管理規定。
五、協助中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業預防、偵測、處置、復原、證據保全及鑑識資通安全事件。
六、定期或不定期稽核、檢驗、測試及演練中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業其資通安全管理規定及資通安全相關業務之執行情形。
七、資通安全市場之發展、監督及管理。
八、資通安全人才培育及認證政策之訂定、修正、廢止、執行、監督及管理。
九、全民資通安全意識及知識推廣策略之訂定、修正、廢止、執行、監督及管理。
十、資通安全境外事務及國際交流合作之執行。
十一、資通安全相關法令政策、市場動態、標準作業流程實務、工程技術報告及統計資料之蒐集、彙整、分析及發布。
十二、其他有關資通安全之事項。
前項第一款所稱資通安全政策及法令,應由本處每年諮詢及彙整有關機關代表、學者專家、產業部門及相關社會團體之意見後訂定及修正,並由行政院核定之。
前項諮詢及彙整之學者專家、產業部門及相關社會團體之人數,不得少於二分之一。
第一項第五款、第六款所稱國家關鍵基礎設施屬性,係指營運項目包含能源、電力、水利、金融、衛生、醫療、資通訊科技、交通運輸、國防軍事、電信、郵政、及其他特定專業領域。
前項所稱特定專業領域,及第一項第五款、第六款所稱一定規模,應由本處諮詢及彙整有關機關代表、學者專家、產業部門及相關社會團體之意見後訂定,並由行政院核定之。
第一項第六款所稱資通安全相關業務,包含勾稽通訊保障及監察法所稱監察通訊所得資料、傳送至臺灣高等法院通訊監察管理系統之資料,及由監察設備執行通訊監察作業後自動生成之指令記錄檔,以確認通訊監察執行機關之資通安全。
本處掌理下列事項:
一、資通安全政策之訂定、法令之訂定、修正、廢止及執行。
二、資通安全標準作業流程及技術規範之訂定、修正、廢止、執行、監督及管理。
三、資通安全系統及設備等軟、硬體產品或服務之測試及審驗。
四、協助中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業訂定、修正、廢止、執行、監督及管理第七條所稱之資通安全管理規定。
五、協助中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業預防、偵測、處置、復原、證據保全及鑑識資通安全事件。
六、定期或不定期稽核、檢驗、測試及演練中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業其資通安全管理規定及資通安全相關業務之執行情形。
七、資通安全市場之發展、監督及管理。
八、資通安全人才培育及認證政策之訂定、修正、廢止、執行、監督及管理。
九、全民資通安全意識及知識推廣策略之訂定、修正、廢止、執行、監督及管理。
十、資通安全境外事務及國際交流合作之執行。
十一、資通安全相關法令政策、市場動態、標準作業流程實務、工程技術報告及統計資料之蒐集、彙整、分析及發布。
十二、其他有關資通安全之事項。
前項第一款所稱資通安全政策及法令,應由本處每年諮詢及彙整有關機關代表、學者專家、產業部門及相關社會團體之意見後訂定及修正,並由行政院核定之。
前項諮詢及彙整之學者專家、產業部門及相關社會團體之人數,不得少於二分之一。
第一項第五款、第六款所稱國家關鍵基礎設施屬性,係指營運項目包含能源、電力、水利、金融、衛生、醫療、資通訊科技、交通運輸、國防軍事、電信、郵政、及其他特定專業領域。
前項所稱特定專業領域,及第一項第五款、第六款所稱一定規模,應由本處諮詢及彙整有關機關代表、學者專家、產業部門及相關社會團體之意見後訂定,並由行政院核定之。
第一項第六款所稱資通安全相關業務,包含勾稽通訊保障及監察法所稱監察通訊所得資料、傳送至臺灣高等法院通訊監察管理系統之資料,及由監察設備執行通訊監察作業後自動生成之指令記錄檔,以確認通訊監察執行機關之資通安全。
立法說明
一、參考美國聯邦資訊安全管理法、德國聯邦資訊科技安全加強法案等規定,以及我國歷年資通安全發展計畫(如建立我國通資訊基礎設施安全機制計畫、國家資通訊安全發展方案等),訂定我國資通安全相關業務之主管機關之任務。
二、根據最新一期國家資通訊安全發展方案(2013-2016年)揭櫫之願景:「建構安全資安環境,邁向優質網路社會」及其四大策略目標:「強化國家資安政策」、「完備資安防護管理」、「奠基資安技術能量」、「擴大資安人才培育」等政策,爰將:
1.研訂資安政策、規範(如資安管理要點及相關規範)、指引(如手冊)、標準(如品項規範、服務水準協議、資安服務需求說明書範本)及法規;
2.落實資安管理及稽核制度(如資安治理評核系統、資安治理成熟度評估、資訊系統分級、資安防護部署計畫、機關分級及定期內部與外部稽核等);
3.資訊分析與分享;
4.提升全民資安意識;
5.培訓專業人才;
6.資安演練(包含弱點檢測、滲透測試、情境演練、實兵演練、電子郵件社交工程演練等);
7.緊急應變及處理復原;
8.加強國際交流合作;
9.推升產業能量(如每年進行商業服務重點產業個資管理、資安應用調查、法令規範及需求盤點等)等項目納入本處業務職掌。
三、在美國法規中,規定白宮管理與預算辦公室(Office of Management and Budget)負責:
1.制定資訊安全政策、標準與指南,並監督其實作,如電腦安全事件處理指引(Computer Security Incident Handling Guide)等;
2.要求聯邦各機關(構)建置資訊安全保證措施;
3.監督聯邦各機關(構)之資訊安全計畫;
4.向國會提出聯邦各機關(構)之資安工作執行狀況;
5.確保聯邦資訊安全事件處理中心(Federal Information Security Incident Center)有效運作,提供各機關(構)即時性的技術服務,協助偵測、處理、分析資通安全事件。
另以德國法規為例,第三條「聯邦辦公室的職責(Tasks of the Federal Office)」包含:
1.預防對聯邦資訊科技安全之威脅;
2.蒐集、分析及研究資通安全風險與防範之資訊,並根據其他機關(構)之需要提供報告及協助;
3.制定資通安全程序及設備之安全防範規則;
4.制定標準、程序及工具以測試及評估資通安全系統之安全性;
5.提供資訊、加密技術及安全管理系統等諮詢及支援給各級政府機關(構,且包含地方政府);
6.建立適當溝通管道,在事件早期即可予私人企業協調合作,保護關鍵基礎設施等。
四、參考國際將資安通報的配合義務延伸至民間企業、並希望在公私部門間建立資訊共享機制的趨勢,如美國前總統柯林頓第63號總統決策令(Presidential Decision Directive)指出,一方面建立政府與民間之對口機關國家基礎建設保護中心(National Infrastructure Protection Center)外,也鼓勵私部門自發性設立資訊分享與分析中心(Infromation Sharing and Analysis Center),以促進公私部門間就資安業務之資訊分享,爰納入一定規模以上、具有國家關鍵基礎設施屬性之民間企業,為本法規範之範圍內。
五、鑑於資通安全相關議題攸關國家安全及國民權益,並考量民間企業普遍未能有效落實資通安全技術及管理制度於企業運作實務中,爰訂定相關規定,賦予主管機關提供技術諮詢與支援、人才培育、資通安全意識及知識推廣、相關法令政策等資料之蒐集、彙整及分析等任務,期使主管機關透過綜理相關業務,有效提升我國資安防禦能量及競爭力。
六、由於現行通訊保障及監察法第十八條規定「依本法監察通訊所得資料,不得提供與其他機關(構)、團體或個人」,為避免本法防護及稽核範圍受限,爰此特擬定第五項條文,將通訊監察所得資料納入本法規範。
另,法務部調查局通訊監察設備執行通訊監察作業後自動生成之指令記錄檔,目前僅依時序寫入伺服器硬碟中並保留180日,且僅由擁有資料庫管理者權限(Administrator)者可進行檢視與管理,並未供外部單位查核及比對,顯見其資通安全管理措施並未臻完善,有透過資通安全專業人員及機構介入協助之必要。
因此,為確保通訊監察執行機關之資通安全防護措施,有無徹底落實、達成資通安全三大目的(可用性、保密性及完整性),爰此特擬定本處除應稽核監察通訊所得資料之外,另應稽核通訊監察管理系統之系統紀錄檔並加以勾稽,以確認所有通訊監察資料均有受到完整防護。
二、根據最新一期國家資通訊安全發展方案(2013-2016年)揭櫫之願景:「建構安全資安環境,邁向優質網路社會」及其四大策略目標:「強化國家資安政策」、「完備資安防護管理」、「奠基資安技術能量」、「擴大資安人才培育」等政策,爰將:
1.研訂資安政策、規範(如資安管理要點及相關規範)、指引(如手冊)、標準(如品項規範、服務水準協議、資安服務需求說明書範本)及法規;
2.落實資安管理及稽核制度(如資安治理評核系統、資安治理成熟度評估、資訊系統分級、資安防護部署計畫、機關分級及定期內部與外部稽核等);
3.資訊分析與分享;
4.提升全民資安意識;
5.培訓專業人才;
6.資安演練(包含弱點檢測、滲透測試、情境演練、實兵演練、電子郵件社交工程演練等);
7.緊急應變及處理復原;
8.加強國際交流合作;
9.推升產業能量(如每年進行商業服務重點產業個資管理、資安應用調查、法令規範及需求盤點等)等項目納入本處業務職掌。
三、在美國法規中,規定白宮管理與預算辦公室(Office of Management and Budget)負責:
1.制定資訊安全政策、標準與指南,並監督其實作,如電腦安全事件處理指引(Computer Security Incident Handling Guide)等;
2.要求聯邦各機關(構)建置資訊安全保證措施;
3.監督聯邦各機關(構)之資訊安全計畫;
4.向國會提出聯邦各機關(構)之資安工作執行狀況;
5.確保聯邦資訊安全事件處理中心(Federal Information Security Incident Center)有效運作,提供各機關(構)即時性的技術服務,協助偵測、處理、分析資通安全事件。
另以德國法規為例,第三條「聯邦辦公室的職責(Tasks of the Federal Office)」包含:
1.預防對聯邦資訊科技安全之威脅;
2.蒐集、分析及研究資通安全風險與防範之資訊,並根據其他機關(構)之需要提供報告及協助;
3.制定資通安全程序及設備之安全防範規則;
4.制定標準、程序及工具以測試及評估資通安全系統之安全性;
5.提供資訊、加密技術及安全管理系統等諮詢及支援給各級政府機關(構,且包含地方政府);
6.建立適當溝通管道,在事件早期即可予私人企業協調合作,保護關鍵基礎設施等。
四、參考國際將資安通報的配合義務延伸至民間企業、並希望在公私部門間建立資訊共享機制的趨勢,如美國前總統柯林頓第63號總統決策令(Presidential Decision Directive)指出,一方面建立政府與民間之對口機關國家基礎建設保護中心(National Infrastructure Protection Center)外,也鼓勵私部門自發性設立資訊分享與分析中心(Infromation Sharing and Analysis Center),以促進公私部門間就資安業務之資訊分享,爰納入一定規模以上、具有國家關鍵基礎設施屬性之民間企業,為本法規範之範圍內。
五、鑑於資通安全相關議題攸關國家安全及國民權益,並考量民間企業普遍未能有效落實資通安全技術及管理制度於企業運作實務中,爰訂定相關規定,賦予主管機關提供技術諮詢與支援、人才培育、資通安全意識及知識推廣、相關法令政策等資料之蒐集、彙整及分析等任務,期使主管機關透過綜理相關業務,有效提升我國資安防禦能量及競爭力。
六、由於現行通訊保障及監察法第十八條規定「依本法監察通訊所得資料,不得提供與其他機關(構)、團體或個人」,為避免本法防護及稽核範圍受限,爰此特擬定第五項條文,將通訊監察所得資料納入本法規範。
另,法務部調查局通訊監察設備執行通訊監察作業後自動生成之指令記錄檔,目前僅依時序寫入伺服器硬碟中並保留180日,且僅由擁有資料庫管理者權限(Administrator)者可進行檢視與管理,並未供外部單位查核及比對,顯見其資通安全管理措施並未臻完善,有透過資通安全專業人員及機構介入協助之必要。
因此,為確保通訊監察執行機關之資通安全防護措施,有無徹底落實、達成資通安全三大目的(可用性、保密性及完整性),爰此特擬定本處除應稽核監察通訊所得資料之外,另應稽核通訊監察管理系統之系統紀錄檔並加以勾稽,以確認所有通訊監察資料均有受到完整防護。
行政院應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。
立法說明
為增進與改善我國境內面對資通安全威脅與風險的應變能力與策略擬定,應建立相關資通安全情資分享機制,並須就情資之分析、整合、情資分享之內容、程序及方法及其他相關事項訂定辦法,以資遵循。
行政院應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。
立法說明
一、為增進與改善我國境內面對資通安全威脅與風險之應變能力及策略擬定,應建立相關資通安全情資分享機制,爰為第一項賦予行政院應建立資通安全情資分享機制。
二、第二項定明資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之,以資遵循。
二、第二項定明資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之,以資遵循。
行政院設行政法人國家資通安全技術服務中心(本法簡稱技服中心),辦理下列事項:
一、提供各公務機關於執行資安政策、原則、標準、指引上之操作支援及技術支援。
二、協助資安管理機關緩解緊急資安狀態。
三、辦理網路攻防演練,輔以定期稽核、健診及滲透測試等服務,及早發現資安問題。
四、針對資安人員及一般人員之資安訓練。
五、編輯並分析各機關之資安情資。
六、發展並指導公務機關資安系統的運作評估重點,包括資安系統所面臨之威脅,及資安系統的弱點評估。
七、維運政府資通安全防護監控中心及政府資安資訊分享與分析中心。
八、強化政府機關(構)資安聯防監控能量,建構巨量資料分析能量。
九、受理公務機關資安事件之通報。
十、協同資安治理機關及資安標準機關共同發展及執行基於風險管理基礎的資安標準。
十一、推動公務人員資安職能評量機制,持續培育資安專業人才,並推廣全民資安意識。
十二、推動資通安全科技之研發、整合、應用及國際合作交流。
十三、支援產業資通安全重大發展策略之需求。
十四、規劃及支援國家關鍵基礎設施之資通安全防護。
十五、其他與資通安全科技相關之業務。
國家資通安全技術服務中心之組織另以法律定之。
一、提供各公務機關於執行資安政策、原則、標準、指引上之操作支援及技術支援。
二、協助資安管理機關緩解緊急資安狀態。
三、辦理網路攻防演練,輔以定期稽核、健診及滲透測試等服務,及早發現資安問題。
四、針對資安人員及一般人員之資安訓練。
五、編輯並分析各機關之資安情資。
六、發展並指導公務機關資安系統的運作評估重點,包括資安系統所面臨之威脅,及資安系統的弱點評估。
七、維運政府資通安全防護監控中心及政府資安資訊分享與分析中心。
八、強化政府機關(構)資安聯防監控能量,建構巨量資料分析能量。
九、受理公務機關資安事件之通報。
十、協同資安治理機關及資安標準機關共同發展及執行基於風險管理基礎的資安標準。
十一、推動公務人員資安職能評量機制,持續培育資安專業人才,並推廣全民資安意識。
十二、推動資通安全科技之研發、整合、應用及國際合作交流。
十三、支援產業資通安全重大發展策略之需求。
十四、規劃及支援國家關鍵基礎設施之資通安全防護。
十五、其他與資通安全科技相關之業務。
國家資通安全技術服務中心之組織另以法律定之。
立法說明
一、明訂行政院國家資通安全技術服務中心辦理事項。
二、參考FISMA 2014第3556條「聯邦資安事件中心」職權之相關規範如下:
1.通則:
I. 於機關資訊營運者面臨資安事件時,提供及時的技術協助,包括提供偵測技術協助及掌握資安事件的指引。
II. 編輯及分析威脅資安事件之情資。
III. 知會資訊營運者現存及潛在資安威脅,及易受攻擊之弱點。
IV. 提供機關適當的資安威脅及弱點的相關情資,以助機關進行風險評估。
V. 諮詢NIST、資安體系各機關及辦公室(包括國安局),及其他依法及直轄總統,並與資安業務有關之單位。
2.國安系統:國安體系任何一機關皆須與聯邦資安事件中心分享資安事件、威脅及攻擊弱點等相關資訊,分享程度到符合國安體系應符合之標準,或指引所要求,且經法律授權,總統命令為之者。
三、參考「行政院國家資通安全會報技術服務中心」設置宗旨:
1.研析國家資安法規體系,協助研議政府機關資安規範與指引,以完備國家資安基礎環境。
2.維運政府資通安全防護監控中心(Government─Security Operation Center, G─SOC)、政府資安資訊分享與分析中心(Government─Information Sharing and Analysis Center, G─ISAC)等。
3.協助各政府機關(構)處理重大資通安全事件,加強緊急應變及處理復原能力,並舉行大規模網路攻防演練,輔以定期稽核、健診及滲透測試等服務,及早發現政府與關鍵基礎設施資安問題。
4.強化政府機關(構)資安聯防監控能量,建構巨量資料分析能量。
5.推動資安治理與資安責任等級分級防護,加強各機關(構)資安防護縱深機制。
6.推動公務人員資安職能評量機制,持續培育資安專業人才,並推廣全民資安意識。
7.規劃關鍵資訊基礎設施之資通安全防護機制。
四、參考美國「網路威脅情報整合中心」(Cyber Threat Intelligence Integration Center─CTIIC)之功能,該中心扮演全美網路威脅情報中樞,匯總聯邦調查局、中央情報局及國家安全局等多部門的情報力量,提高美國防範和應對網路攻擊的能力。
二、參考FISMA 2014第3556條「聯邦資安事件中心」職權之相關規範如下:
1.通則:
I. 於機關資訊營運者面臨資安事件時,提供及時的技術協助,包括提供偵測技術協助及掌握資安事件的指引。
II. 編輯及分析威脅資安事件之情資。
III. 知會資訊營運者現存及潛在資安威脅,及易受攻擊之弱點。
IV. 提供機關適當的資安威脅及弱點的相關情資,以助機關進行風險評估。
V. 諮詢NIST、資安體系各機關及辦公室(包括國安局),及其他依法及直轄總統,並與資安業務有關之單位。
2.國安系統:國安體系任何一機關皆須與聯邦資安事件中心分享資安事件、威脅及攻擊弱點等相關資訊,分享程度到符合國安體系應符合之標準,或指引所要求,且經法律授權,總統命令為之者。
三、參考「行政院國家資通安全會報技術服務中心」設置宗旨:
1.研析國家資安法規體系,協助研議政府機關資安規範與指引,以完備國家資安基礎環境。
2.維運政府資通安全防護監控中心(Government─Security Operation Center, G─SOC)、政府資安資訊分享與分析中心(Government─Information Sharing and Analysis Center, G─ISAC)等。
3.協助各政府機關(構)處理重大資通安全事件,加強緊急應變及處理復原能力,並舉行大規模網路攻防演練,輔以定期稽核、健診及滲透測試等服務,及早發現政府與關鍵基礎設施資安問題。
4.強化政府機關(構)資安聯防監控能量,建構巨量資料分析能量。
5.推動資安治理與資安責任等級分級防護,加強各機關(構)資安防護縱深機制。
6.推動公務人員資安職能評量機制,持續培育資安專業人才,並推廣全民資安意識。
7.規劃關鍵資訊基礎設施之資通安全防護機制。
四、參考美國「網路威脅情報整合中心」(Cyber Threat Intelligence Integration Center─CTIIC)之功能,該中心扮演全美網路威脅情報中樞,匯總聯邦調查局、中央情報局及國家安全局等多部門的情報力量,提高美國防範和應對網路攻擊的能力。
行政院應衡酌公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由行政院定之。
立法說明
依據公務機關資安等級,授權訂定相關辦法。
第七條
行政院應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。
立法說明
一、為增進與改善我國境內面對資通安全威脅與風險之應變能力及策略擬定,應建立相關資通安全情資分享機制,爰為第一項規定。
二、第二項定明資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之,以資遵循。
二、第二項定明資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之,以資遵循。
(中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業應訂定資通安全管理規定)
中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業應依前條所稱之政策、法令、標準作業流程及技術規範等,訂定資通安全管理規定,並推動實施之。
前項所稱資通安全管理規定,應包含:
一、資通安全管理單位之組織、權責、分工及資源規劃。
二、資通安全管理人員之編制、評估、訓練及考核。
三、資訊系統購置、分級、維護、加密、授權、接觸、存取、傳輸、使用者註冊管理制度、密碼管理及監控等規範。
四、除前項規定之規範外,針對關鍵基礎設施及機密資料,應另定其認定標準、實體及虛擬環境管理之方式。
五、資通安全事件之分級、通報、證據保全、處置及相關程序。
六、其他有關資通安全之事項。
中央政府各級機關及地方政府應每年檢討資通安全管理規定之執行狀況,做成資通安全管理規定稽核報告,由本處彙整後提交立法院備查。
第一項所稱一定規模以上、具有國家關鍵基礎設施屬性之民間企業,應每年檢討資通安全管理規定之執行狀況,並依證券交易法及相關規定,納入年報。
中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業應依前條所稱之政策、法令、標準作業流程及技術規範等,訂定資通安全管理規定,並推動實施之。
前項所稱資通安全管理規定,應包含:
一、資通安全管理單位之組織、權責、分工及資源規劃。
二、資通安全管理人員之編制、評估、訓練及考核。
三、資訊系統購置、分級、維護、加密、授權、接觸、存取、傳輸、使用者註冊管理制度、密碼管理及監控等規範。
四、除前項規定之規範外,針對關鍵基礎設施及機密資料,應另定其認定標準、實體及虛擬環境管理之方式。
五、資通安全事件之分級、通報、證據保全、處置及相關程序。
六、其他有關資通安全之事項。
中央政府各級機關及地方政府應每年檢討資通安全管理規定之執行狀況,做成資通安全管理規定稽核報告,由本處彙整後提交立法院備查。
第一項所稱一定規模以上、具有國家關鍵基礎設施屬性之民間企業,應每年檢討資通安全管理規定之執行狀況,並依證券交易法及相關規定,納入年報。
立法說明
一、參考美國聯邦資訊安全管理法規定,聯邦各機關(構)應:
1.評估各自單位之資通安全風險、確定其等級、提供與其資訊系統相符之資通安全防護措施;
2.部署資通安全之負責專人與組織,展開資通安全相關工作;
3.遵循有關政策規定,將資通安全工作納入其機關(構)之規劃與運作等。
二、參考美國聯邦資訊安全管理法規定,所有聯邦機關(構)所使用之資訊系統,須符合其風險管理框架(Risk Management Framework)之安全生命週期(Security Life Cycle),投注足夠人力與預算,決定所使用之資訊系統與其處理、儲存、傳輸之資訊的敏感性;識別及規劃資訊系統之適當安全控制措施;訂定組織內資訊系統之安全控制措施;評估資訊系統安全控制措施之有效性;並持續監控及隨時通報資通安全系統變化等相關事項。
三、參考美國聯邦資訊安全管理法之要求,各機關(構)需每年評鑑其資訊安全計畫與實作之工作成果,並將評鑑報告送交白宮管理與預算辦公室,再由白宮管理與預算辦公室彙整後編制成總報告提交國會審查。
四、參考我國政府機關(構)資通安全責任等級分級作業規定,不同層級或業務單位因所持有之資料不同,其資安責任等級及其在政策面、管理面、技術面及人員之訓練要求等應辦事項均不同,爰特擬定資訊系統及資通安全事件之分級,以達資源有效利用之目的。
五、民間企業於一定規模以上、具有國家關鍵基礎設施之屬性者,因其資通安全措施與其經營成效有所關連,與投資人、員工、主管機關等利害關係人之關係甚密,故亦應比照政府機關設置資安專責機構及技術人員,並將其資安有關作為向利害關係人周知。
1.評估各自單位之資通安全風險、確定其等級、提供與其資訊系統相符之資通安全防護措施;
2.部署資通安全之負責專人與組織,展開資通安全相關工作;
3.遵循有關政策規定,將資通安全工作納入其機關(構)之規劃與運作等。
二、參考美國聯邦資訊安全管理法規定,所有聯邦機關(構)所使用之資訊系統,須符合其風險管理框架(Risk Management Framework)之安全生命週期(Security Life Cycle),投注足夠人力與預算,決定所使用之資訊系統與其處理、儲存、傳輸之資訊的敏感性;識別及規劃資訊系統之適當安全控制措施;訂定組織內資訊系統之安全控制措施;評估資訊系統安全控制措施之有效性;並持續監控及隨時通報資通安全系統變化等相關事項。
三、參考美國聯邦資訊安全管理法之要求,各機關(構)需每年評鑑其資訊安全計畫與實作之工作成果,並將評鑑報告送交白宮管理與預算辦公室,再由白宮管理與預算辦公室彙整後編制成總報告提交國會審查。
四、參考我國政府機關(構)資通安全責任等級分級作業規定,不同層級或業務單位因所持有之資料不同,其資安責任等級及其在政策面、管理面、技術面及人員之訓練要求等應辦事項均不同,爰特擬定資訊系統及資通安全事件之分級,以達資源有效利用之目的。
五、民間企業於一定規模以上、具有國家關鍵基礎設施之屬性者,因其資通安全措施與其經營成效有所關連,與投資人、員工、主管機關等利害關係人之關係甚密,故亦應比照政府機關設置資安專責機構及技術人員,並將其資安有關作為向利害關係人周知。
公務機關或非公務機關,應考量國家安全及本法適用範圍內之前提下,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並定期就受託者之資通安全維護為監督。
立法說明
公務機關或非公務機關委外辦理資通系統建置、維運或資通服務之提供時,應考量國家安全及本法適用範圍內,應依所委外項目之性質與資通安全需求,選任適當之受託者,並就受託者之資通安全維護為監督,以確保國人安全及權利、公共利益等。
公務機關於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
立法說明
考量公務機關於本法適用範圍內委外辦理資通系統建置、維運或資通服務之提供時,應依所委外項目之性質與資通安全需求,選任適當之受託者,並就受託者之資通安全維護為監督,以確保國家安全、社會公共利益或個人權益,爰為本條規定。相關監督事項之技術性及細節性內容,將於施行細則中規定。
資安管理機關應最遲於每年一月三十一日前,向資安治理機關提報前年度資安政策實施狀況,資安治理機關應於彙整後,最遲於三月一日前,向立法院提報前年度資安政策實施狀況。
前年度資安政策實施狀況報告應包含:
一、關於每一主要資安事件或相關事件群之描述。
二、資安事件總數,包括造成嚴重資安損害的事件數、系統衝擊等級、事件型態,及受損系統部位等資料。
三、個資侵權的資安事件描述。
四、依據第四條第二項第五款必須完成之年度評估結果摘要。
五、其他任何資安治理機關認為必要的資訊。
前年度資安政策實施狀況報告應同時提報國家安全會議及審計部。
前年度資安政策實施狀況報告應包含:
一、關於每一主要資安事件或相關事件群之描述。
二、資安事件總數,包括造成嚴重資安損害的事件數、系統衝擊等級、事件型態,及受損系統部位等資料。
三、個資侵權的資安事件描述。
四、依據第四條第二項第五款必須完成之年度評估結果摘要。
五、其他任何資安治理機關認為必要的資訊。
前年度資安政策實施狀況報告應同時提報國家安全會議及審計部。
立法說明
一、明訂年度報告相關事項。
二、參考FISMA 2014第3554條「聯邦政府的責任」第三項「機關報告」。
三、「機關報告Agency Reporting」分為「年度報告」及「其他計畫及報告」。「年度報告」以「一般性報告」為主,須以非機密形式提報。另一種則是附件以機密形式提報。
四、「一般性報告」包含以下四主要主題:
1.關於每一主要資安事件或相關事件群的描述。
2.資安事件總數,包括造成嚴重資安損害的事件數、系統衝擊等級、事件型態,及受損系統部位等資料。
3.個資侵權的資安事件描述。
4.任何資安總監認為必要,或是部長諮詢資安總監後認為必要的資訊。
五、年度報告報告對象包括國家情報總監、國土安全部部長、政府改革委員會、國土安全委員會、參議院科學委員會、參議院國土安全暨政府事務委員會、參議院商業科學暨交通委員會、國會撥款委員會(appropriations committees)及審計總長(Comptroller General)。
六、每一公務機關(構)皆須提報年度報告,以陳述該機關對於資安政策、程序及實踐是否足夠且有效。
二、參考FISMA 2014第3554條「聯邦政府的責任」第三項「機關報告」。
三、「機關報告Agency Reporting」分為「年度報告」及「其他計畫及報告」。「年度報告」以「一般性報告」為主,須以非機密形式提報。另一種則是附件以機密形式提報。
四、「一般性報告」包含以下四主要主題:
1.關於每一主要資安事件或相關事件群的描述。
2.資安事件總數,包括造成嚴重資安損害的事件數、系統衝擊等級、事件型態,及受損系統部位等資料。
3.個資侵權的資安事件描述。
4.任何資安總監認為必要,或是部長諮詢資安總監後認為必要的資訊。
五、年度報告報告對象包括國家情報總監、國土安全部部長、政府改革委員會、國土安全委員會、參議院科學委員會、參議院國土安全暨政府事務委員會、參議院商業科學暨交通委員會、國會撥款委員會(appropriations committees)及審計總長(Comptroller General)。
六、每一公務機關(構)皆須提報年度報告,以陳述該機關對於資安政策、程序及實踐是否足夠且有效。
公務機關於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
立法說明
明定公務機關於本法適用範圍內得委外辦理。
第二章
公務機關資通安全管理
立法說明
章名。
業務職掌
立法說明
章名
公務機關資通安全管理
立法說明
章名
公務機關資通安全管理
立法說明
章名。
第八條
公務機關或非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
立法說明
考量公務機關或非公務機關於本法適用範圍內委外辦理資通系統建置、維運或資通服務之提供時,應依所委外項目之性質與資通安全需求,選任適當之受託者,並就受託者之資通安全維護為監督,以確保國家安全、社會公共利益或個人權益,爰為本條規定。相關監督事項之技術性及細節性內容,將於施行細則中規定。
(組織法及編制表另定之)
本處組織、各職稱之官等職等及員額,另以組織法及編制表定之。
本處組織、各職稱之官等職等及員額,另以組織法及編制表定之。
立法說明
本條授權主管機關依本法所列業務項目及其需求,制定組織法及編制表,執行相關業務。為求資通安全工作之落實,主管機關應參考德國聯邦資訊安全辦公室(Federal Office for Information Security)或其他先進國家資通安全主管機關之組織及編制,充實其技術、政策、法規、倫理、市場等方向之研究、發展及應用能力。
公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
立法說明
為確保公務機關之資通安全,避免因人為疏失、蓄意或自然災害等風險,致機關資通系統或資訊遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務,總統府、行政院、立法院、司法院、考試院、監察院、直轄市、縣(市)政府及直轄市議會、縣(市)議會及其他各級中央或地方機關及行政法人,應考量其所屬之資通安全責任等級、其所保有或處理之資訊種類、數量及性質、資通系統之規模及性質等條件,衡酌機關資源之合理分配,配置人員、必要資源,並依循上級或監督機關之相關資安規則,訂定、修正及實施資通安全維護計畫。
公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
立法說明
一、為確保公務機關之資通安全,避免因人為疏失、蓄意或自然災害等風險,致機關資通系統或資訊遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務,公務機關(包含總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府與其所屬或監督之各級公務機關及直轄市議會、縣(市)議會等)應符合第五條所定資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫,爰為本條規定。公務機關訂修及實施上開計畫,應衡酌機關資源之合理分配,並依循上級或監督機關之相關資通安全規定為之。
二、有關資通安全維護計畫之內容,將由行政院訂定範本,提供各公務機關參考,以利執行。
二、有關資通安全維護計畫之內容,將由行政院訂定範本,提供各公務機關參考,以利執行。
審計部應於資安治理機關提報前年度資安政策實施狀況報告後二個月內,完成對於公務機關資安政策實施狀況之稽核,並向立法院提出稽核結果報告。
立法說明
一、明訂公務機關稽核相關事項。
二、參考FISMA 2014第3555條「年度獨立評價作業」第二項「獨立稽核Independent Auditor」:
1.檢查總署應該依據1978年檢查總署法之規定,指定部分機關受檢,受指定之機關,其依本條所定年度評價作業應由該檢察總署,或檢查總署指派之獨立外部稽核人員為之。
2.不適用前款規定之機關,機關首長應聘任一外部稽核人員完成此評價作業。
二、參考FISMA 2014第3555條「年度獨立評價作業」第二項「獨立稽核Independent Auditor」:
1.檢查總署應該依據1978年檢查總署法之規定,指定部分機關受檢,受指定之機關,其依本條所定年度評價作業應由該檢察總署,或檢查總署指派之獨立外部稽核人員為之。
2.不適用前款規定之機關,機關首長應聘任一外部稽核人員完成此評價作業。
公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
立法說明
依據公務機關資安責任及等級,訂定資安維護計畫。
第九條
公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
立法說明
一、為確保公務機關之資通安全,避免因人為疏失、蓄意或自然災害等風險,致機關資通系統或資訊遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務,公務機關(包含總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府與其所屬或監督之各級公務機關及直轄市議會、縣(市)議會等)應符合第六條第一項所定資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫,爰為本條規定。公務機關訂修及實施上開計畫,應衡酌機關資源之合理分配,並依循上級或監督機關之相關資通安全規定為之。
二、有關資通安全維護計畫之內容,將由行政院訂定範本,提供各公務機關參考,以利執行。
二、有關資通安全維護計畫之內容,將由行政院訂定範本,提供各公務機關參考,以利執行。
(人員聘用相關規定)
本處因業務需要,得依聘用人員聘用條例之規定,另訂定公開、公平之資格審查方式,適度放寬公務人員任用之限制,聘用對資通安全有專門研究之專業或技術人員。
本處對於其所進用且從事稀少性、危險性、重點研究項目或於特殊環境工作之專業或技術人員,應優予待遇、提供保險或採取其他必要措施。
第一項所稱資格審查方式及聘用人員之教育培訓、技能檢定、績效評估及人事任免等相關規定,由本處訂定後送行政院核定之。
第一項聘用之專業或技術人員,必要時應由本處依公務人員任用法及相關規定辦理特殊查核,確保其品德及對國家之忠誠。
本處因業務需要,得依聘用人員聘用條例之規定,另訂定公開、公平之資格審查方式,適度放寬公務人員任用之限制,聘用對資通安全有專門研究之專業或技術人員。
本處對於其所進用且從事稀少性、危險性、重點研究項目或於特殊環境工作之專業或技術人員,應優予待遇、提供保險或採取其他必要措施。
第一項所稱資格審查方式及聘用人員之教育培訓、技能檢定、績效評估及人事任免等相關規定,由本處訂定後送行政院核定之。
第一項聘用之專業或技術人員,必要時應由本處依公務人員任用法及相關規定辦理特殊查核,確保其品德及對國家之忠誠。
立法說明
一、我國資訊人力約佔全國機關員額之1.5%,相較於民間企業、學校在學及畢業生人數、以及美國聯邦政府(資訊人力佔約5%)均顯著不均。
二、究其原因,受限於公務人員任用及銓敘等相關規定,民間企業往往提供較優之待遇及福利,造成政府不易招募及任用資通安全相關專業或技術人員。爰此於本條第一款及第二款,參酌科學技術基本法第十五條及第十七條之規定,賦予主管機關另訂聘用資格及待遇條件之權限。
三、然而,主管機關之業務涉及我國資通安全政策、技術等規範之制定、修正及執行,部分業務有其機密性,且其人員之能力須跟上國際最新技術演進,方可為我國設計與時俱進之資通安全防護機制,爰此於本條第三款、第四款訂定資格審查、教育培訓、技能檢定、績效評估、人事任免及必要時應辦理特殊查核之規定,有效確保我國負責資通安全業務之專業及技術人員之能力與忠誠。
二、究其原因,受限於公務人員任用及銓敘等相關規定,民間企業往往提供較優之待遇及福利,造成政府不易招募及任用資通安全相關專業或技術人員。爰此於本條第一款及第二款,參酌科學技術基本法第十五條及第十七條之規定,賦予主管機關另訂聘用資格及待遇條件之權限。
三、然而,主管機關之業務涉及我國資通安全政策、技術等規範之制定、修正及執行,部分業務有其機密性,且其人員之能力須跟上國際最新技術演進,方可為我國設計與時俱進之資通安全防護機制,爰此於本條第三款、第四款訂定資格審查、教育培訓、技能檢定、績效評估、人事任免及必要時應辦理特殊查核之規定,有效確保我國負責資通安全業務之專業及技術人員之能力與忠誠。
公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關工作與事項。
立法說明
為確保有效推動資通安全維護事項,公務機關應設置資通安全長並由其成立相關推動組織與督導推動相關工作。爰參考美國2014年聯邦資訊安全現代化法之關於資訊長應指定資深資安專責人員負責相應事務規定之意旨定之。
公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。
立法說明
為確保有效推動資通安全維護事項,公務機關應置資通安全長,由其成立相關推動組織及督導推動相關工作。考量資通安全長如由副首長擔任,更能提升資通安全於機關中之重要性,並參考美國二○一四年聯邦資訊安全現代化法§3554關於資訊長應指定資深資安專責人員負責相應事務規定之意旨,爰為本條規定。
關鍵基礎設施分為公有關鍵基礎設施及私有關鍵基礎設施。
公有關鍵基礎設施指公務機關(構)依據法律規定,或基於權利行使,或由於預算支出,或由於接受捐贈取得全部或部分所有權之關鍵基礎設施。非屬公有關鍵基礎設施之關鍵基礎設施為私有關鍵基礎設施。
關鍵基礎設施之防護應採用風險管理架構。
資安管理機關應為公有關鍵基礎設施提供防護架構,制訂防護執行策略及推動方針,執行資產調查及風險分析,決定防護優先等級,建立通報系統,實施防護演練、測試與檢討。
資安治理機關、資安管理機關及技服中心應透過下列措施,積極鼓勵私有關鍵基礎設施提供者參與資安防護工作:
一、透過即時預警資訊之提供,促進民間關鍵基礎設施擁有者自願參與資訊分享機制。
二、邀請私有關鍵基礎設施提供者參與公務機關或公有關鍵基礎設施舉辦之資安防護演練。
三、撰擬防護計畫時,結合相依性或替代性之私有關鍵基礎設施提供者資源,形成縱深應變體系。
四、透過輔導政策獎勵私有關鍵基礎設施提供者參與風險管理及應變機制。
私有關鍵基礎設施提供者應配合主管機關參與風險管理及應變機制。
公有關鍵基礎設施指公務機關(構)依據法律規定,或基於權利行使,或由於預算支出,或由於接受捐贈取得全部或部分所有權之關鍵基礎設施。非屬公有關鍵基礎設施之關鍵基礎設施為私有關鍵基礎設施。
關鍵基礎設施之防護應採用風險管理架構。
資安管理機關應為公有關鍵基礎設施提供防護架構,制訂防護執行策略及推動方針,執行資產調查及風險分析,決定防護優先等級,建立通報系統,實施防護演練、測試與檢討。
資安治理機關、資安管理機關及技服中心應透過下列措施,積極鼓勵私有關鍵基礎設施提供者參與資安防護工作:
一、透過即時預警資訊之提供,促進民間關鍵基礎設施擁有者自願參與資訊分享機制。
二、邀請私有關鍵基礎設施提供者參與公務機關或公有關鍵基礎設施舉辦之資安防護演練。
三、撰擬防護計畫時,結合相依性或替代性之私有關鍵基礎設施提供者資源,形成縱深應變體系。
四、透過輔導政策獎勵私有關鍵基礎設施提供者參與風險管理及應變機制。
私有關鍵基礎設施提供者應配合主管機關參與風險管理及應變機制。
立法說明
一、明訂關鍵基礎設施相關事項。
二、第一項關鍵基礎設施之區分為公有及私有,請參考行政院「國家關鍵基礎設施安全防護指導綱要」之肆「關鍵基礎設施定義及分類」。
三、第二項公有關鍵基礎設施之定義參考《國有財產法》。
四、第三項請參考行政院「國家關鍵基礎設施安全防護指導綱要」之貳「防護目標與風險管理架構」。風險管理架構包括下列項目:
1.設定安全目標
2.辨識資產、系統與網絡
3.風險評估
4.決定防護強化優先次序
5.實施防護計畫
6.衡量實施成效
五、第四項請參考行政院「國家關鍵基礎設施安全防護指導綱要」之伍「防護規劃建置程序」。
六、第五項請參考行政院「國家關鍵基礎設施安全防護指導綱要」之壹拾肆「民營企業與民間組織之參與」。
七、美國總統政策指引PPD─21「關鍵基礎設施之安全及復原Critical Infrastructure Security and Resilience」中明確表示,對於關鍵基礎設施之防護,政府與民間共同承擔責任,然即便聯邦政府得以命令要求關鍵基礎設施業者配合建構資安防護,雙方仍應該是伙伴關係。
八、美國總統13636號行政命令「增強關鍵基礎設施資安能力」亦強調協同發展及執行風險管理標準,並特別指出增加資安情資供應質量及時效是美國政府的責任。
九、日本網絡安全策略依下列四個基本原則來規劃,包括:(1)保證資訊自由流通,並確保隱私與智慧財產權;(2)制訂法律,並參考國際規範;(3)開放;(4)自治;(5)與CII利害關係人共同協作。在關鍵資訊基礎設施的保護方面,公私機構間安全實務與發現的資訊分享,並且對CIIP的範圍定期審查。其中包括:由政府安全工作協調小組(Government Security Operation Coordination Team, GSOC)擔任監督與資訊分享的角色,分享網絡安全事件與偵測資訊給CII相關部門。
十、依據德國2015資訊科技安全法(IT─Sicherheitsgesetz),德國聯邦政府要求關鍵基礎設施的營運商,要滿足資訊科技安全的最低標準,且須向聯邦資訊安全局通報資訊安全事件。聯邦資訊安全局要對關鍵基礎設施營運商的資訊進行評估分析,並提供給關鍵基礎設施營運商彙整改善,以提高其基礎設施的保護。
二、第一項關鍵基礎設施之區分為公有及私有,請參考行政院「國家關鍵基礎設施安全防護指導綱要」之肆「關鍵基礎設施定義及分類」。
三、第二項公有關鍵基礎設施之定義參考《國有財產法》。
四、第三項請參考行政院「國家關鍵基礎設施安全防護指導綱要」之貳「防護目標與風險管理架構」。風險管理架構包括下列項目:
1.設定安全目標
2.辨識資產、系統與網絡
3.風險評估
4.決定防護強化優先次序
5.實施防護計畫
6.衡量實施成效
五、第四項請參考行政院「國家關鍵基礎設施安全防護指導綱要」之伍「防護規劃建置程序」。
六、第五項請參考行政院「國家關鍵基礎設施安全防護指導綱要」之壹拾肆「民營企業與民間組織之參與」。
七、美國總統政策指引PPD─21「關鍵基礎設施之安全及復原Critical Infrastructure Security and Resilience」中明確表示,對於關鍵基礎設施之防護,政府與民間共同承擔責任,然即便聯邦政府得以命令要求關鍵基礎設施業者配合建構資安防護,雙方仍應該是伙伴關係。
八、美國總統13636號行政命令「增強關鍵基礎設施資安能力」亦強調協同發展及執行風險管理標準,並特別指出增加資安情資供應質量及時效是美國政府的責任。
九、日本網絡安全策略依下列四個基本原則來規劃,包括:(1)保證資訊自由流通,並確保隱私與智慧財產權;(2)制訂法律,並參考國際規範;(3)開放;(4)自治;(5)與CII利害關係人共同協作。在關鍵資訊基礎設施的保護方面,公私機構間安全實務與發現的資訊分享,並且對CIIP的範圍定期審查。其中包括:由政府安全工作協調小組(Government Security Operation Coordination Team, GSOC)擔任監督與資訊分享的角色,分享網絡安全事件與偵測資訊給CII相關部門。
十、依據德國2015資訊科技安全法(IT─Sicherheitsgesetz),德國聯邦政府要求關鍵基礎設施的營運商,要滿足資訊科技安全的最低標準,且須向聯邦資訊安全局通報資訊安全事件。聯邦資訊安全局要對關鍵基礎設施營運商的資訊進行評估分析,並提供給關鍵基礎設施營運商彙整改善,以提高其基礎設施的保護。
公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。
立法說明
為確保有效推動資通安全維護事項,公務機關應置資通安全長,由其成立相關推動組織及督導推動相關工作。考量資通安全長如由副首長擔任,更能提升資通安全於機關中之重要性,並參考美國二○一四年聯邦資訊安全現代化法§3554關於資訊長應指定資深資安專責人員負責相應事務規定之意旨,爰為本條規定。
第四章
罰則
立法說明
章名。
附 則
立法說明
章名
第十條
公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。
立法說明
為確保有效推動資通安全維護事項,公務機關應置資通安全長,由其成立相關推動組織及督導推動相關工作。考量資通安全長如由副首長擔任,更能提升資通安全於機關中之重要性,並參考美國二○一四年聯邦資訊安全現代化法(Federal Information Security Modernization Act of 2014)§3554關於資訊長應指定資深資安專責人員負責相應事務規定之意旨,爰為本條規定。
(獎勵民間研發、教育及推廣之財政優惠措施)
為促進民間資通安全之研究、發展、應用、教育及推廣,政府得提供租稅、金融等財政優惠措施及必要之支助。
為促進民間資通安全之研究、發展、應用、教育及推廣,政府得提供租稅、金融等財政優惠措施及必要之支助。
立法說明
明定政府得提供財政優惠措施或其他必要之支助,提供民間投注資源研究、發展、應用、教育及推廣資通安全相關技術。
公務機關應於年度終了後,就其資通安全維護計畫之實施情形,向上級及監督機關提出報告;無上級機關或監督機關者,其報告應送交行政院。
立法說明
一、公務機關應每年提出該年度之資通安全維護計畫實施情形報告,以確認自身實施資通安全計畫之成效。又為利行政院提供必要協助,或使上級及監督機關了解所屬或監督機關之年度資通安全維護情形,故規定總統府、立法院、司法院、考試院、監察院、直轄市政府、直轄市議會、縣(市)政府及縣(市)議會等無上級機關或監督機關之公務機關,應將資通安全維護計畫實施情形報告送行政院,其他公務機關則應將報告提交予其上級及監督機關。
二、參考日本網路資訊安全基本法之規定,促進地方公共團體確保網路資訊安全之相關事項,及相關行政機關之首長,應適時地提供與網路資訊安全相關之資料或資訊,以利執行所掌事務之精神。
二、參考日本網路資訊安全基本法之規定,促進地方公共團體確保網路資訊安全之相關事項,及相關行政機關之首長,應適時地提供與網路資訊安全相關之資料或資訊,以利執行所掌事務之精神。
公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交行政院。
立法說明
參考日本網路安全基本法第十二條有關促進地方公共團體確保網路資訊安全相關事項之規定,及同法第三十條規定相關行政機關之首長應適時提供與網路資訊安全相關之資料或資訊,以利執行所掌事務之精神,明定公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形,以確認其實施成效,並使上級或監督機關得了解及稽核所屬或受監督機關之年度資通安全維護情形。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應將資通安全維護計畫實施情形送交行政院。行政院收受上開計畫實施情形後將予以備查,並得視情形提供必要協助。
資安事件發生時,公務機關及關鍵基礎設施提供者應即時通知並諮詢技服中心。
如發生之資安事件屬於重大資安事件,公務機關及關鍵基礎設施提供者並應即時通知資安治理機關、資安管理機關、國家安全會議秘書處。資安治理機關應於最遲七日內向立法院提出報告。
前項所稱重大資安事件之定義,由資安治理機關諮詢技服中心後訂之。
如發生之資安事件屬於重大資安事件,公務機關及關鍵基礎設施提供者並應即時通知資安治理機關、資安管理機關、國家安全會議秘書處。資安治理機關應於最遲七日內向立法院提出報告。
前項所稱重大資安事件之定義,由資安治理機關諮詢技服中心後訂之。
立法說明
一、明訂公務機關稽核相關事項。
二、參考FISMA 2014第3554條「聯邦政府的責任」第二項第七款第三目「偵測、報告、反應資安事件的流程」。
三、依據該流程,遇資安事件發生時,除致力於在實質損害發生前緩和因資安事件所引起的風險外,公務機關有義務:
1.通知並諮詢聯邦資安中心。
2.在適當情況下,通知並諮詢
i. 執法機關、檢察總長及總法律顧問辦公室
ii. 總統指派處理國安系統問題的辦公室
iii. 國會重大事件委員會:
I. 於合理判定已經發生重大事件之後7日內。
II. 在前述時間之後一段合理時間之後,又出現與該重大事件相關的新事證。
iv. 任何依法成立或由總統指揮的機關(構)
四、紐約州金融署要求公司必須在2018年2月15日以前向監理機關,提交一份遵循報告,其中包括以下內容:「若發生重大網絡安全事件,公司必須要在72小時內報告監理機關。」
二、參考FISMA 2014第3554條「聯邦政府的責任」第二項第七款第三目「偵測、報告、反應資安事件的流程」。
三、依據該流程,遇資安事件發生時,除致力於在實質損害發生前緩和因資安事件所引起的風險外,公務機關有義務:
1.通知並諮詢聯邦資安中心。
2.在適當情況下,通知並諮詢
i. 執法機關、檢察總長及總法律顧問辦公室
ii. 總統指派處理國安系統問題的辦公室
iii. 國會重大事件委員會:
I. 於合理判定已經發生重大事件之後7日內。
II. 在前述時間之後一段合理時間之後,又出現與該重大事件相關的新事證。
iv. 任何依法成立或由總統指揮的機關(構)
四、紐約州金融署要求公司必須在2018年2月15日以前向監理機關,提交一份遵循報告,其中包括以下內容:「若發生重大網絡安全事件,公司必須要在72小時內報告監理機關。」
公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交行政院。
立法說明
明定公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形,以確認其實施成效,並使上級或監督機關得了解及稽核所屬或受監督機關之年度資通安全維護情形。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應將資通安全維護計畫實施情形送交行政院。行政院收受上開計畫實施情形後將予以備查,並得視情形提供必要協助。
第十一條
公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交行政院。
立法說明
參考日本網路安全基本法第十二條有關促進地方公共團體確保網路資訊安全相關事項之規定,及同法第三十條規定相關行政機關之首長應適時提供與網路資訊安全相關之資料或資訊,以利執行所掌事務之精神,明定公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形,以確認其實施成效,並使上級或監督機關得了解及稽核所屬或受監督機關之年度資通安全維護情形。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應將資通安全維護計畫實施情形送交行政院。行政院收受上開計畫實施情形後將予以備查,並得視情形提供必要協助。
(重大施政計畫應提出資通安全影響評估)
政府重大施政計畫應提出資通安全影響評估。
本處應協助中央政府各級機關及地方政府提出前項所稱資通安全影響評估。
第一項所稱資通安全影響評估應包含事項及程序等,由本處另定之。
政府重大施政計畫應提出資通安全影響評估。
本處應協助中央政府各級機關及地方政府提出前項所稱資通安全影響評估。
第一項所稱資通安全影響評估應包含事項及程序等,由本處另定之。
立法說明
明訂各級政府於推行重大施政計畫前,應一併提出資通安全影響評估,以便在主管機關之協助下,及早指認施政計畫中涉及資通安全之事項,並據以提出行動方案或修訂施政計畫。影響評估應包含事項及程序,由主管機關另定之。
公務機關應查核其所屬及監督公務機關之資通安全維護計畫實施情形。
受查核機關之資通安全維護計畫實施有缺失或待改善者,應完成矯正、預防報告或提出矯正、預防計畫,送交上級及監督機關。
受查核機關之資通安全維護計畫實施有缺失或待改善者,應完成矯正、預防報告或提出矯正、預防計畫,送交上級及監督機關。
立法說明
一、總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府等各級中央與地方機關應對於其所屬或監督之各級公務機關資通安全維護計畫之實施,依其所屬或監督機關之層級、業務及其他相關情形,就查核之標準、頻率、內容與方法訂定相關行政規則,並進行查核,以了解資通安全維護計畫之落實情形。
二、受查核機關如有缺失,應向上級或監督機關提出缺失之矯正、預防情形或計畫,以確保資通安全維護計畫之落實,與政府資通安全維護的強度。
二、受查核機關如有缺失,應向上級或監督機關提出缺失之矯正、預防情形或計畫,以確保資通安全維護計畫之落實,與政府資通安全維護的強度。
公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
立法說明
一、第一項規定公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。各公務機關對於其所屬或監督之各級公務機關,應依其機關層級、業務及其他相關情形,就稽核之基準、頻率、內容與方法訂定相關行政規則,以利執行。稽核時,宜考量受稽核者歷來接受行政院、上級或監督機關稽核之頻率與結果等因素,決定最適之受稽核者。
二、第二項規定受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級或監督機關提出改善報告,以確保資通安全維護計畫之落實及政府資通安全維護之強度。
二、第二項規定受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級或監督機關提出改善報告,以確保資通安全維護計畫之落實及政府資通安全維護之強度。
技服中心應比照國際主要規範,建立我國資通安全認證機制,以供公務機關、關鍵基礎設施及民間進行資安認證之用。
我國資通安全認證能量尚無法提供認證者,應以國際主要規範作為規範,以取得該等級規範之認證作為通過認證之依據。
國際主要規範之內容由技服中心訂定並公告。
資安治理機關應推動與他國之間資安認證互相承認。
我國資通安全認證能量尚無法提供認證者,應以國際主要規範作為規範,以取得該等級規範之認證作為通過認證之依據。
國際主要規範之內容由技服中心訂定並公告。
資安治理機關應推動與他國之間資安認證互相承認。
立法說明
一、明訂認證機制相關事項。
二、我國欲建立認證機制,應採取國際主流標準。國內認證能量不足者,應採納國際認證標準。
三、資安治理主管機關應推動與他國之間資安認證互相承認。
二、我國欲建立認證機制,應採取國際主流標準。國內認證能量不足者,應採納國際認證標準。
三、資安治理主管機關應推動與他國之間資安認證互相承認。
公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
立法說明
一、公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。
二、受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級或監督機關提出改善報告。
二、受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級或監督機關提出改善報告。
第十二條
公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
立法說明
一、第一項規定公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。各公務機關對於其所屬或監督之各級公務機關,應依其機關層級、業務及其他相關情形,就稽核之基準、頻率、內容與方法訂定相關行政規則,以利執行。稽核時,宜考量受稽核者歷來接受行政院、上級或監督機關稽核之頻率與結果等因素,決定最適之受稽核者。
二、第二項規定受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級或監督機關提出改善報告,以確保資通安全維護計畫之落實及政府資通安全維護之強度。
二、第二項規定受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級或監督機關提出改善報告,以確保資通安全維護計畫之落實及政府資通安全維護之強度。
(相關法令調適期限)
本處應於本法施行後兩年內,依本法之原則修正、制定或廢止相關法令。
本處應於本法施行後兩年內,依本法之原則修正、制定或廢止相關法令。
立法說明
本法施行後,相關法規之競合與調適問題,應由主管機關於兩年內予以盤點及研議,適時提出法律修正、制定或廢止案。
公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關發生資通安全事件時,除應通報上級及監督機關外,並應通報行政院;無上級機關或監督機關者,應通報行政院。
公務機關應向上級及監督機關提出資通安全事件調查、處理及矯正、預防情形或計畫之報告,並送交行政院;無上級機關或監督機關者,其報告應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。
公務機關發生資通安全事件時,除應通報上級及監督機關外,並應通報行政院;無上級機關或監督機關者,應通報行政院。
公務機關應向上級及監督機關提出資通安全事件調查、處理及矯正、預防情形或計畫之報告,並送交行政院;無上級機關或監督機關者,其報告應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。
立法說明
一、總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府等各級中央與地方機關及行政法人為即時掌控資通安全事件,並有效降低其所造成之損害,應建立資通安全事件之通報、應變機制。
二、參考日本網路資訊安全基本法之因應對我國安全有造成重大影響之虞事件之處理方針與政策精神,規定如有發生重大資通安全事件,總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府,及直轄市議會、縣(市)議會應向行政院為通報,其他各級公務機關應向其上級及監督機關,以及行政院通報;並應續採取矯正預防措施,以及送交報告或矯正、預防計畫。
三、本條第四項授權行政院就第一項至第三項之通報、應變機制及其他相關事項,訂定相關辦法。
二、參考日本網路資訊安全基本法之因應對我國安全有造成重大影響之虞事件之處理方針與政策精神,規定如有發生重大資通安全事件,總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府,及直轄市議會、縣(市)議會應向行政院為通報,其他各級公務機關應向其上級及監督機關,以及行政院通報;並應續採取矯正預防措施,以及送交報告或矯正、預防計畫。
三、本條第四項授權行政院就第一項至第三項之通報、應變機制及其他相關事項,訂定相關辦法。
公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院;無上級機關者,應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院;無上級機關者,應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。
立法說明
一、為即時掌控資通安全事件,並有效降低其所造成之損害,爰於第一項規定公務機關應建立資通安全事件之通報及應變機制。所稱資通安全事件,係指資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,致有無法符合機密性、完整性及可用性之事件;其具體類型將於施行細則及本條第四項授權訂定之辦法中規範。
二、參考日本網路安全基本法第十八條政府相關組織就有重大網路安全影響之虞之事件有相互合作、分享資訊並採取必要措施之義務之規定,於第二項明定公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應通報行政院。
三、考量公務機關於知悉資通安全事件後,應進行調查、處理及改善工作,爰於第三項規定公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院,以利上級機關、監督機關或行政院監督,並得據以提供必要之協助。
四、關於公務機關資通安全事件之通報及應變,目前有「國家資通安全通報應變作業綱要」可資遵循參考,於本法施行後,應檢視原有機制並依本法要求調整之,故第四項授權行政院訂定第一項至第三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,以利公務機關適用。
二、參考日本網路安全基本法第十八條政府相關組織就有重大網路安全影響之虞之事件有相互合作、分享資訊並採取必要措施之義務之規定,於第二項明定公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應通報行政院。
三、考量公務機關於知悉資通安全事件後,應進行調查、處理及改善工作,爰於第三項規定公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院,以利上級機關、監督機關或行政院監督,並得據以提供必要之協助。
四、關於公務機關資通安全事件之通報及應變,目前有「國家資通安全通報應變作業綱要」可資遵循參考,於本法施行後,應檢視原有機制並依本法要求調整之,故第四項授權行政院訂定第一項至第三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,以利公務機關適用。
關鍵基礎設施提供者違反第十條第二項之通報義務,由資安治理機關處新臺幣十萬元以上一百萬元以下罰鍰。
立法說明
一、明訂違反通報義務之罰則。
二、德國於2015年6月12日通過資訊科技安全法案,德國重要企業遇到網絡攻擊必須申報,否則將被罰款,罰金最高十萬歐元。所謂重要企業是指能源公司、銀行、醫院等。
三、資安作業要能有效運作,最重要的是能建立聯防體系。資安聯防體系從攻擊事件發生、可疑事件偵測,到分析、處理、鑑識,最重要且必要的環節是通報,以便聯防體系之其他單位早期知悉攻擊發生,以避免事態擴大。
二、德國於2015年6月12日通過資訊科技安全法案,德國重要企業遇到網絡攻擊必須申報,否則將被罰款,罰金最高十萬歐元。所謂重要企業是指能源公司、銀行、醫院等。
三、資安作業要能有效運作,最重要的是能建立聯防體系。資安聯防體系從攻擊事件發生、可疑事件偵測,到分析、處理、鑑識,最重要且必要的環節是通報,以便聯防體系之其他單位早期知悉攻擊發生,以避免事態擴大。
公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院;無上級機關者,應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院;無上級機關者,應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。
立法說明
一、明定公務機關應建立資通安全事件之通報及應變機制。
二、明定公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應通報行政院。
三、明定公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院,以利上級機關、監督機關或行政院監督,並得據以提供必要之協助。
四、明定公務機關資通安全事件之通報及應變。
二、明定公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應通報行政院。
三、明定公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院,以利上級機關、監督機關或行政院監督,並得據以提供必要之協助。
四、明定公務機關資通安全事件之通報及應變。
第十三條
公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院;無上級機關者,應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院;無上級機關者,應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。
立法說明
一、為即時掌控資通安全事件,並有效降低其所造成之損害,爰於第一項規定公務機關應建立資通安全事件之通報及應變機制。所稱資通安全事件,係指資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,致有無法符合機密性、完整性及可用性之事件;其具體類型將於施行細則及本條第四項授權訂定之辦法中規範。
二、參考日本網路安全基本法第十八條政府相關組織就有重大網路安全影響之虞之事件有相互合作、分享資訊並採取必要措施之義務之規定,於第二項明定公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應通報行政院。
三、考量公務機關於知悉資通安全事件後,應進行調查、處理及改善工作,爰於第三項規定公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院,以利上級機關、監督機關或行政院監督,並得據以提供必要之協助。
四、關於公務機關資通安全事件之通報及應變,目前有「國家資通安全通報應變作業綱要」可資遵循參考,於本法施行後,應檢視原有機制並依本法要求調整之,故第四項授權行政院訂定第一項至第三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,以利公務機關適用。
二、參考日本網路安全基本法第十八條政府相關組織就有重大網路安全影響之虞之事件有相互合作、分享資訊並採取必要措施之義務之規定,於第二項明定公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應通報行政院。
三、考量公務機關於知悉資通安全事件後,應進行調查、處理及改善工作,爰於第三項規定公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院,以利上級機關、監督機關或行政院監督,並得據以提供必要之協助。
四、關於公務機關資通安全事件之通報及應變,目前有「國家資通安全通報應變作業綱要」可資遵循參考,於本法施行後,應檢視原有機制並依本法要求調整之,故第四項授權行政院訂定第一項至第三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,以利公務機關適用。
(施行日期)
本法自公布日施行。
本法自公布日施行。
立法說明
本法施行日期。
公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。
公務機關所屬人員未遵守相關資通安全義務,致國家或社會受有重大損害時,除依法追訴行為人相關行政責任及法律責任外,並應追究行為人之服務機關資通安全長及相關人員之行政責任及法律責任。
前二項獎懲基準及其他相關事項之辦法,由行政院定之。
公務機關所屬人員未遵守相關資通安全義務,致國家或社會受有重大損害時,除依法追訴行為人相關行政責任及法律責任外,並應追究行為人之服務機關資通安全長及相關人員之行政責任及法律責任。
前二項獎懲基準及其他相關事項之辦法,由行政院定之。
立法說明
為加強公務機關所屬人員對於資通安全工作之重視與投入,爰對相關獎懲機制進行規範,以提升我國公務機關相關人員責任感及對資通安全重視。
公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。
公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
立法說明
公務機關所屬人員關於資通安全事務之獎懲本有公務人員考績法、公務員懲戒法等規定加以規範,惟為促進該等人員對於資通安全工作之重視與投入,爰為本條規定。公務機關所屬人員於踐行本法要求事項成果優良或卓越時,應予獎勵;如因故意或過失,未踐履本法所定資通安全義務時,應受懲戒或懲處;如有其他違反資通安全義務而涉及民事或刑事責任之情形時,仍應依各該相關法律處理之。
資安治理機關應協調經濟部及技服中心,協助市場建立先進、高能、自動及有效的資安解決方案。
資安治理機關應協調經濟部及技服中心,政策獎勵自建關鍵基礎設施之資訊核心系統者。
資安治理機關應協調經濟部及技服中心,政策獎勵自建關鍵基礎設施之資訊核心系統者。
立法說明
明訂資安治理機關市場協助義務。
公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。
公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
立法說明
公務機關所屬人員關於資通安全事務之獎懲本有公務人員考績法、公務員懲戒法等規定加以規範,惟為促進該等人員對於資通安全工作之重視與投入,爰為本條規定。公務機關所屬人員於踐行本法要求事項成果優良或卓越時,應予獎勵;如因故意或過失,未踐履本法所定資通安全義務時,應受懲戒或懲處;如有其他違反資通安全義務而涉及民事或刑事責任之情形時,仍應依各該相關法律處理之。
第三章
非公務機關資通安全管理
立法說明
章名。
組 織
立法說明
章名
非公務機關資通安全管理
立法說明
章名
附則
立法說明
章名。
第十四條
公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。
公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
立法說明
公務機關所屬人員關於資通安全事務之獎懲本有公務人員考績法、公務員懲戒法等規定加以規範,惟為促進該等人員對於資通安全工作之重視與投入,爰為本條規定。公務機關所屬人員於踐行本法要求事項成果優良或卓越時,應予獎勵;如因故意或過失,未踐履本法所定資通安全義務時,應受懲戒或懲處;如有其他違反資通安全義務而涉及民事或刑事責任之情形時,仍應依各該相關法律處理之。
為確保國民生活、經濟活動、公眾及國家之安全,中央目的事業主管機關應指定關鍵基礎設施提供者,並將其清單報請行政院核定之。
關鍵基礎設施提供者應考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應就其資通安全維護計畫之實施情形,向中央目的事業主管機關提出報告。
中央目的事業主管機關應查核關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應完成矯正、預防報告或提出矯正、預防計畫,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施報告之提出、查核之頻率、內容與方法、矯正、預防報告或計畫之提出及其他應遵行事項辦法,由中央目的事業主管機關定之。
關鍵基礎設施提供者應考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應就其資通安全維護計畫之實施情形,向中央目的事業主管機關提出報告。
中央目的事業主管機關應查核關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應完成矯正、預防報告或提出矯正、預防計畫,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施報告之提出、查核之頻率、內容與方法、矯正、預防報告或計畫之提出及其他應遵行事項辦法,由中央目的事業主管機關定之。
立法說明
一、對於關鍵基礎設施提供者之資通安全保護,乃現今國際針對資通安全保護所重視之議題,爰參考歐盟2016年「網絡與資訊系統安全指令」關於關鍵服務營運商清單、關於關鍵服務營運商用以提供關鍵服務的網路與資訊系統,如有影響其安全的事件,關鍵服務營運商須採取適當措施,預防及最小化事件的影響,以確保服務的持續性、美國關鍵基礎設施保護計劃及有關改善關鍵基礎設施網路安全之規定、日本網路資訊安全基本法之重要社會基礎業者之職責及韓國情報通信基礎保護法中央行政機關長官有權指定主要資訊通信基礎設施以及主要資訊通信基礎設施保護措施等立法例,將關鍵基礎設施提供者納入本法之適用範圍。
二、因關鍵基礎設施涉及重大公共利益及人民之生命、財產安全,故應制定、修正及實施資通安全維護計畫。
三、為使中央目的事業主管機關掌握關鍵基礎設施提供者之資通安全維護計畫實施狀況,關鍵基礎設施提供者應定期向中央目的事業主管機關提出資通安全實施報告,以利中央目的事業主管機關適時提供相關建議或協助。
四、為確保資通安全維護計畫之落實,中央目的事業主管機關應對關鍵基礎設施提供者進行查核。
五、資通安全維護計畫必要事項、資通安全維護計畫實施報告提出、查核之頻率、內容與方法、矯正、預防報告或計畫之提出、及其他應遵行事項之辦法,授權由中央目的事業主管機關訂定。
二、因關鍵基礎設施涉及重大公共利益及人民之生命、財產安全,故應制定、修正及實施資通安全維護計畫。
三、為使中央目的事業主管機關掌握關鍵基礎設施提供者之資通安全維護計畫實施狀況,關鍵基礎設施提供者應定期向中央目的事業主管機關提出資通安全實施報告,以利中央目的事業主管機關適時提供相關建議或協助。
四、為確保資通安全維護計畫之落實,中央目的事業主管機關應對關鍵基礎設施提供者進行查核。
五、資通安全維護計畫必要事項、資通安全維護計畫實施報告提出、查核之頻率、內容與方法、矯正、預防報告或計畫之提出、及其他應遵行事項之辦法,授權由中央目的事業主管機關訂定。
本法施行細則,由行政院定之。
立法說明
本法施行細則之訂定機關。
本法自公布日施行。
立法說明
明訂施行日期。
本法施行細則,由行政院定之。
立法說明
本法施行細則之訂定機關。
第十五條
中央目的事業主管機關或直轄市、縣(市)政府應指定關鍵基礎設施提供者,並報請行政院核定之。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全維護計畫實施情形。
中央目的事業主管機關或直轄市、縣(市)政府應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關或直轄市、縣(市)政府。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請行政院核定之。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全維護計畫實施情形。
中央目的事業主管機關或直轄市、縣(市)政府應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關或直轄市、縣(市)政府。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請行政院核定之。
立法說明
一、第一項規定關鍵基礎設施提供者之指定。關鍵基礎設施提供者之資通安全維護,乃現今國際針對資通安全保護所重視之議題,爰參考歐盟二○一六年「網路與資訊系統安全指令」(The Directive on security of network and information systems)第五條關於關鍵服務營運商之清單、第十四條關於關鍵服務營運商用以提供關鍵服務之網路與資訊系統,如有影響其安全之事件,關鍵服務營運商須採取適當措施及最小化事件之影響,以確保服務之持續性、美國6 USC§132指定關鍵基礎設施保護計畫(Designation of critical infrastructure protection program)及第一三六三六號行政命令有關改善關鍵基礎設施網路安全(Executive Order 13636)、日本網路安全基本法第六條重要社會基礎業者之職責、韓國情報通信基礎保護法第八條中央行政機關長官有權指定主要資訊通信基礎設施及同法第五條主要資訊通信基礎設施保護措施之制定等立法例,將關鍵基礎設施提供者納入本法之適用範圍。
二、因關鍵基礎設施涉及國家安全、社會公共利益、國民生活及經濟活動,爰於第二項規定關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並訂定、修正及實施資通安全維護計畫,以確保其資通安全。
三、為使中央目的事業主管機關及直轄市、縣(市)政府掌握所管關鍵基礎設施提供者之資通安全維護計畫實施狀況,爰於第三項規定關鍵基礎設施提供者應向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全維護計畫實施情形,以利中央目的事業主管機關或直轄市、縣(市)政府監督,並適時提供相關建議或協助。
四、為確保資通安全維護計畫之落實,於第四項規定中央目的事業主管機關或直轄市、縣(市)政府應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。稽核時,宜考量受稽核者歷來接受行政院、中央目的事業主管機關或直轄市、縣(市)政府稽核之頻率與稽核結果等因素,決定最適之受稽核者名單與頻率。
五、第五項規定關鍵基礎設施提供者之資通安全維護計畫實施情形有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關或直轄市、縣(市)政府,以確保資通安全維護計畫之落實。
六、考量資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,其內容宜有一致性,以利關鍵基礎設施提供者適用與遵循,爰於第六項規定,由中央目的事業主管機關擬訂,並報請行政院核定之。
七、中央目的事業主管機關宜訂定非公務機關資通安全維護計畫之範本,以供非公務機關參考;行政院並得提供必要之協助。
二、因關鍵基礎設施涉及國家安全、社會公共利益、國民生活及經濟活動,爰於第二項規定關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並訂定、修正及實施資通安全維護計畫,以確保其資通安全。
三、為使中央目的事業主管機關及直轄市、縣(市)政府掌握所管關鍵基礎設施提供者之資通安全維護計畫實施狀況,爰於第三項規定關鍵基礎設施提供者應向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全維護計畫實施情形,以利中央目的事業主管機關或直轄市、縣(市)政府監督,並適時提供相關建議或協助。
四、為確保資通安全維護計畫之落實,於第四項規定中央目的事業主管機關或直轄市、縣(市)政府應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。稽核時,宜考量受稽核者歷來接受行政院、中央目的事業主管機關或直轄市、縣(市)政府稽核之頻率與稽核結果等因素,決定最適之受稽核者名單與頻率。
五、第五項規定關鍵基礎設施提供者之資通安全維護計畫實施情形有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關或直轄市、縣(市)政府,以確保資通安全維護計畫之落實。
六、考量資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,其內容宜有一致性,以利關鍵基礎設施提供者適用與遵循,爰於第六項規定,由中央目的事業主管機關擬訂,並報請行政院核定之。
七、中央目的事業主管機關宜訂定非公務機關資通安全維護計畫之範本,以供非公務機關參考;行政院並得提供必要之協助。
本法施行日期,由行政院定之。
立法說明
本法施行日期,考量配套子法作業時程,並為周延法制,以落實本法規定之執行,爰授權由行政院定之。
本法施行日期,由行政院定之。
立法說明
本法施行日期,考量配套子法作業時程,並為周延法制,以落實本法規定之執行,爰授權由行政院定之。
第十六條
關鍵基礎設施提供者以外之非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關或直轄市、縣(市)政府得要求所管前項非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關或直轄市、縣(市)政府得稽核所管第一項非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請行政院核定之。
中央目的事業主管機關或直轄市、縣(市)政府得要求所管前項非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關或直轄市、縣(市)政府得稽核所管第一項非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請行政院核定之。
立法說明
一、考量關鍵基礎設施提供者以外之非公務機關亦應負相當之資通安全責任,仍應訂定安全維護計畫並提出計畫實施情形,爰參考日本網路安全基本法第三條賦予重要社會基礎業者配合政府資通安全政策之協力義務之規定,於第一項明定該等非公務機關應符合其所屬資通安全責任等級之要求,並修訂及實施資通安全維護計畫。
二、鑒於資通安全維護事項與事業之經營管理關係密切,對於非公務機關資通安全維護之指導、監督、管理及稽核,宜由各非公務機關之中央目的事業主管機關或直轄市、縣(市)政府執行,爰為第二項及第三項規定。
三、考量資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,其內容宜有一致性,以利第一項之非公務機關適用與遵循,爰於第四項規定,由中央目的事業主管機關擬訂,並報請行政院核定之。
四、中央目的事業主管機關宜訂定非公務機關資通安全維護計畫之範本,以供非公務機關參考;行政院並得提供必要之協助。
二、鑒於資通安全維護事項與事業之經營管理關係密切,對於非公務機關資通安全維護之指導、監督、管理及稽核,宜由各非公務機關之中央目的事業主管機關或直轄市、縣(市)政府執行,爰為第二項及第三項規定。
三、考量資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,其內容宜有一致性,以利第一項之非公務機關適用與遵循,爰於第四項規定,由中央目的事業主管機關擬訂,並報請行政院核定之。
四、中央目的事業主管機關宜訂定非公務機關資通安全維護計畫之範本,以供非公務機關參考;行政院並得提供必要之協助。
第十七條
非公務機關為因應資通安全事件,應訂定通報及應變機制。
非公務機關於知悉資通安全事件時,應向中央目的事業主管機關或直轄市、縣(市)政府通報。
非公務機關應向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由行政院定之。
知悉重大資通安全事件時,行政院、中央目的事業主管機關或直轄市、縣(市)政府,於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
非公務機關於知悉資通安全事件時,應向中央目的事業主管機關或直轄市、縣(市)政府通報。
非公務機關應向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由行政院定之。
知悉重大資通安全事件時,行政院、中央目的事業主管機關或直轄市、縣(市)政府,於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
立法說明
一、為使中央目的事業主管機關、直轄市、縣(市)政府及行政院即時掌握非公務機關之資通安全事件,監督及協助該等非公務機關進行緊急應變處置,並在最短時間內回復業務正常運作,爰參考歐盟二○一六年「網路與資訊系統安全指令」第十四條事件通知、日本網路安全基本法第十四條促進重要社會基礎業者確保網路資訊安全、韓國情報通信基礎保護法第十六條於金融、通信等領域別之情報通信基礎設施業者得依法成立及運作情報共有、分析中心,作為有侵害事故時之即時警報與分析體系等規定,為第一項至第三項規定。有關資通安全事件之內涵,同第十三條說明一;重大資通安全事件之認定,將於施行細則中規範。
二、第四項明定第一項至第三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由行政院定之,以利非公務機關依循。
三、考量重大資通安全事件可能影響多數人民之生命、身體或財產安全,宜由行政院、中央目的事業主管機關或直轄市、縣(市)政府於知悉後,分別或共同公告必要之內容(例如發生原因、影響程度及目前控制之情形等)及因應措施,並提供相關協助,以利防範、避免損害之擴大,爰為第五項規定。
二、第四項明定第一項至第三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由行政院定之,以利非公務機關依循。
三、考量重大資通安全事件可能影響多數人民之生命、身體或財產安全,宜由行政院、中央目的事業主管機關或直轄市、縣(市)政府於知悉後,分別或共同公告必要之內容(例如發生原因、影響程度及目前控制之情形等)及因應措施,並提供相關協助,以利防範、避免損害之擴大,爰為第五項規定。
第十八條
中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文件,進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
對於前項之檢查,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。
參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務。
對於前項之檢查,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。
參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務。
立法說明
一、為落實非公務機關資通安全之維護,應賦予監督機關有命令、檢查及處分權,爰參考日本網路安全基本法第十五條第二項政府為促進民間業者採取自發性之措施得採取必要措施,與同法第十七條政府為取締犯罪及防止傷害之擴大得採取必要措施之規定,為第一項及第二項規定,以強化中央目的事業主管機關與直轄市、縣(市)政府之權責。
二、為保護個人資料及其他他人應秘密之資訊,爰於第三項明定因檢查而知悉他人應秘密之資訊者,應負保密義務。
二、為保護個人資料及其他他人應秘密之資訊,爰於第三項明定因檢查而知悉他人應秘密之資訊者,應負保密義務。
第十九條
非公務機關有下列情形之一者,由中央目的事業主管機關或直轄市、縣(市)政府令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰:
一、未依第十五條第二項或第十六條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十五條第六項或第十六條第四項所定辦法中有關資通安全維護計畫必要事項之規定。
二、未依第十五條第三項或第十六條第二項規定,向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全維護計畫之實施情形,或違反第十五條第六項或第十六條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。
三、未依第六條第三項、第十五條第五項或第十六條第三項規定,提出改善報告送交行政院、中央目的事業主管機關或直轄市、縣(市)政府,或違反第十五條第六項或第十六條第四項所定辦法中有關改善報告提出之規定。
四、未依第十七條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十七條第四項所定辦法中有關通報及應變機制必要事項之規定。
五、未依第十七條第三項規定,向中央目的事業主管機關、直轄市、縣(市)政府或行政院提出資通安全事件之調查、處理及改善報告,或違反第十七條第四項所定辦法中有關報告提出之規定。
六、違反第十七條第四項所定辦法中有關通報內容之規定。
一、未依第十五條第二項或第十六條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十五條第六項或第十六條第四項所定辦法中有關資通安全維護計畫必要事項之規定。
二、未依第十五條第三項或第十六條第二項規定,向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全維護計畫之實施情形,或違反第十五條第六項或第十六條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。
三、未依第六條第三項、第十五條第五項或第十六條第三項規定,提出改善報告送交行政院、中央目的事業主管機關或直轄市、縣(市)政府,或違反第十五條第六項或第十六條第四項所定辦法中有關改善報告提出之規定。
四、未依第十七條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十七條第四項所定辦法中有關通報及應變機制必要事項之規定。
五、未依第十七條第三項規定,向中央目的事業主管機關、直轄市、縣(市)政府或行政院提出資通安全事件之調查、處理及改善報告,或違反第十七條第四項所定辦法中有關報告提出之規定。
六、違反第十七條第四項所定辦法中有關通報內容之規定。
立法說明
參考歐盟二○一六年「網路與資訊系統安全指令」第二十一條要求會員國必須針對違反相關國家法規之行為,制定有效罰則之意旨,並考量違反本法所定行政法上義務應受責難程度及其所生影響,針對非公務機關未依本法規定訂定、修正、實施資通安全維護計畫、提出資通安全維護計畫之實施情形、改善報告送交中央目的事業主管機關或直轄市、縣(市)政府、訂定資通安全事件之通報及應變機制、向中央目的事業主管機關、直轄市、縣(市)政府或行政院提出資通安全事件之調查、處理及改善報告,或違反資通安全事件通報內容之規定等情形,明定所課予之行政裁罰。
第二十條
非公務機關未依第十七條第二項規定,通報資通安全事件,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十萬元以上一百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。
立法說明
參考歐盟二○一六年「網路與資訊系統安全指令」第二十一條要求會員國必須針對違反相關國家法規之行為,制定有效罰則之意旨,並考量違反本法所定行政法上義務應受責難程度及其所生影響,針對非公務機關未依第十七條第二項規定,通報資通安全事件之情形,明定所課予之行政裁罰。
第二十一條
非公務機關違反第十八條第二項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十萬元以上一百萬元以下罰鍰。
立法說明
參考歐盟二○一六年「網路與資訊系統安全指令」第二十一條要求會員國必須針對違反相關國家法規之行為,制定有效罰則之意旨,並考量違反本法所定行政法上義務應受責難程度及其所生影響,針對非公務機關無正當理由妨礙、規避或拒絕行政檢查之情形,明定所課予之行政裁罰。
第五章
附則
立法說明
章名。
第二十二條
本法施行細則,由行政院定之。
立法說明
本法施行細則之訂定機關。
第二十三條
本法施行日期,由行政院定之。
立法說明
本法施行日期,考量配套子法作業時程,並為周延法制,以落實本法規定之執行,爰授權由行政院定之。
