賴瑞隆
蘇震清
選擇章節
第二條
本法之主管機關為行政院。
本法之主管機關為數位發展部。
國家資通安全之規劃與執行由數位發展部資通安全署(以下簡稱資安署)辦理。
國家資通安全之規劃與執行由數位發展部資通安全署(以下簡稱資安署)辦理。
立法說明
配合中央政府組織改造,2022年8月27日數位發展部成立,修正本法主管機關。
第三條
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或行政法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及特定財團法人。
七、關鍵基礎設施:指行政院公告之領域中,實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報行政院核定者。
九、特定財團法人:符合財團法人法第二條第二項、第三項或第六十三條第一項規定之財團法人,並屬該法第二條第八項所稱全國性財團法人。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或行政法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及特定財團法人。
七、關鍵基礎設施:指行政院公告之領域中,實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報行政院核定者。
九、特定財團法人:符合財團法人法第二條第二項、第三項或第六十三條第一項規定之財團法人,並屬該法第二條第八項所稱全國性財團法人。
立法說明
一、我國法制中,公法人指涉國家、地方自治團體、行政法人與改制為行政機關前之農田水利會,已無單獨規範公法人之必要。此外,自2011年行政法人法施行後,陸續已有國家表演藝術中心、國家中山科學研究院、國家災害防救科技中心、國家運動訓練中心、國家住宅及都市更新中心、文化內容策進院、國家電影及視聽文化中心、國家資通安全研究院、國家太空中心等行政法人成立,皆有其定位及政策任務,其業務亦具機敏性,應納入本法規範加強資安管理,爰修正第五款規定。
二、自2018年財團法人法公布施行後,該法第二條第二項政府捐助成立之財團法人、第三項政府接收台灣在日本統治時期遺留資產捐助成立之財團法人,以及第六十三條第一項接受政府捐助達一定金額或政府直接間接控制之民間捐助財團法人,皆屬應負特別義務之「特定財團法人」,本次修正併納入本法規範。
二、自2018年財團法人法公布施行後,該法第二條第二項政府捐助成立之財團法人、第三項政府接收台灣在日本統治時期遺留資產捐助成立之財團法人,以及第六十三條第一項接受政府捐助達一定金額或政府直接間接控制之民間捐助財團法人,皆屬應負特別義務之「特定財團法人」,本次修正併納入本法規範。
第四條
為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
前項相關事項之推動,由主管機關以國家資通安全發展方案定之。
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
前項相關事項之推動,由主管機關以國家資通安全發展方案定之。
為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
前項相關事項之推動,由行政院以國家資通安全發展方案定之。
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
前項相關事項之推動,由行政院以國家資通安全發展方案定之。
立法說明
本次修正草案因應數位發展部成立,本法主管機關修正惟數位發展部,然而依現行國家資通安全會報之運作,係以數位發展部為幕僚單位,結合內政部、法務部、教育部、國科會、交通部、經濟部、金管會、衛福部等單位,國家資通安全發展方案仍由行政院核定,爰配合修正。
第六條
主管機關得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。
前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。
前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。
主管機關及其所屬機關得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。
前二項受委任或委託之公務機關、法人或團體或受複委託者,不得洩露在執行或辦理相關事務過程中所獲悉之秘密。
前二項受委任或委託之公務機關、法人或團體或受複委託者,不得洩露在執行或辦理相關事務過程中所獲悉之秘密。
立法說明
一、數位發展部成立時,亦一併成立其所屬機關資通安全署及數位產業署,政府機關資通安全業務多移交資通安全署負責,爰此,增訂主管機關之所屬機關亦得委任或委託資通安全相關事務之規定。
二、無論是否為關鍵基礎設施提供者之秘密,受委任或委託執行或辦理資通安全事務之單位皆不應洩漏,爰修正之。
二、無論是否為關鍵基礎設施提供者之秘密,受委任或委託執行或辦理資通安全事務之單位皆不應洩漏,爰修正之。
第七條
主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。
資安署得稽核公務機關及特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
公務機關及特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向資安署、上級機關或監督機關提出改善報告,並送中央目的事業主管機關。
前項報告資安署、上級機關、監督機關或中央目的事業主管機關認有必要時,得要求受稽核機關進行說明或調整。
資安署得稽核公務機關及特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
公務機關及特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向資安署、上級機關或監督機關提出改善報告,並送中央目的事業主管機關。
前項報告資安署、上級機關、監督機關或中央目的事業主管機關認有必要時,得要求受稽核機關進行說明或調整。
立法說明
一、因應政府組織改造,數位發展部暨所屬機關成立,調整資安稽核執行機關,並將所有公務機關納入資安署得稽核對象,不限於特定非公務機關。
二、資安署負責執行資通安全稽核工作,如發現被稽核單位有缺失或待改善者,該單位亦應將改善報告提交資安署。
三、增訂第四項,資安署、上級機關級、監督機關應有權就改善報告之內容,要求被稽核單位說明或調整。
二、資安署負責執行資通安全稽核工作,如發現被稽核單位有缺失或待改善者,該單位亦應將改善報告提交資安署。
三、增訂第四項,資安署、上級機關級、監督機關應有權就改善報告之內容,要求被稽核單位說明或調整。
第八條
主管機關應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。
資安署應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。
立法說明
因應政府組織改造,數位發展部暨所屬機關成立,修正為執行機關資安署。
第十二條
公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交主管機關。
公務機關每年度資通安全維護計畫實施情形,應依資安署指定之方式陳報上級機關、上級政府或監督機關備查;無上級機關、上級政府或監督機關者,應送交資安署。
立法說明
一、增加上級政府為資通安全維護計畫實施情形之陳報對象。
二、因應政府組織改造,修正應以資安署指定方式陳報或送交資通安全維護計畫實施情形。
三、增加無上級機關、上級政府或監督機關者應送交資安署規定。
二、因應政府組織改造,修正應以資安署指定方式陳報或送交資通安全維護計畫實施情形。
三、增加無上級機關、上級政府或監督機關者應送交資安署規定。
第十三條
公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
公務機關應稽核其所屬或所監督機關、所轄地方自治團體之資通安全維護計畫實施情形。
公務機關辦理前項稽核,得委任其所屬或其所監督之公務機關執行之。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級機關或上級政府提出改善報告。
稽核機關應依資安署指定方式將稽核結果及改善報告送交資安署。
公務機關辦理前項稽核,得委任其所屬或其所監督之公務機關執行之。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級機關或上級政府提出改善報告。
稽核機關應依資安署指定方式將稽核結果及改善報告送交資安署。
立法說明
一、為強化資安地區聯防,新增公務機關應稽核所轄地方自治團體之規定,例如縣市政府稽核所轄鄉(鎮、市)公所及代表會,直轄市政府稽核山地原住民區公所及區民代表會等。
二、新增第二項,公務機關辦理資通安全計畫稽核,得委任之規定。
三、新增被稽核機關如有缺失或待改善者,應將改善報告提交稽核機關,如另有上級機關或上級政府者,應另提交之。
四、新增第四項,為統合事權,稽核機關應將稽核結果及改善報告送交資安署。
二、新增第二項,公務機關辦理資通安全計畫稽核,得委任之規定。
三、新增被稽核機關如有缺失或待改善者,應將改善報告提交稽核機關,如另有上級機關或上級政府者,應另提交之。
四、新增第四項,為統合事權,稽核機關應將稽核結果及改善報告送交資安署。
第十四條
公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。
公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關知悉資通安全事件時,除應通報上級機關、上級政府或監督機關外,並應通報資安署;無上級機關、上級政府或監督機關者,應通報主管機關。
公務機關應向上級機關、上級政府或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。
公務機關知悉資通安全事件時,除應通報上級機關、上級政府或監督機關外,並應通報資安署;無上級機關、上級政府或監督機關者,應通報主管機關。
公務機關應向上級機關、上級政府或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。
立法說明
因應政府組織改造,修正資安事件應通報資安署,並比照第十二條規定增訂上級政府。
第十六條
中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請行政院核定,並以書面通知受核定者。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報由主管機關核轉行政院核定。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報由主管機關核轉行政院核定。
立法說明
一、配合數位發展部成立並修正為本法主管機關,原有關關鍵設施提供者之核定機關仍為行政院,爰修正第一項文字。
二、為集中權責,關鍵基礎設施提供者之資安稽核結果及改善報告,除應送中央目的事業主管機關外,中央目的事業主管機關也應提交資安署。
三、有關關鍵基礎設施之資通安全維護計畫之相關事項,雖仍應由行政院核定,惟行政院資通安全會報之主要幕僚機關為本法主管機關,增訂由主管機關核轉行政院核定之規定。
二、為集中權責,關鍵基礎設施提供者之資安稽核結果及改善報告,除應送中央目的事業主管機關外,中央目的事業主管機關也應提交資安署。
三、有關關鍵基礎設施之資通安全維護計畫之相關事項,雖仍應由行政院核定,惟行政院資通安全會報之主要幕僚機關為本法主管機關,增訂由主管機關核轉行政院核定之規定。
第十七條
關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。
第一項至第三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報由主管機關核轉行政院核定之。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。
第一項至第三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報由主管機關核轉行政院核定之。
立法說明
針對關鍵基礎設施提供者以外之特定非公務機關,比照第十六條修正內容,增訂中央目的事業主管機關提交稽核結果及改善報告之相關程序。
第十八條
特定非公務機關為因應資通安全事件,應訂定通報及應變機制。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
特定非公務機關為因應資通安全事件,應訂定通報及應變機制。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
立法說明
重大資通安全事件之調查報告送交對象,配合數位發展部成立修正並應送交資安署。
第十八條之一
特定非公務機關應置資通安全長,由特定非公務機關之代表人、管理人、其他有代表權人或其指派之適當人員兼任,負責推動及監督機關內資通安全相關事務。
立法說明
一、本條新增。
二、有鑑於關鍵基礎設施提供者等特定非公務機關遭受資通安全事件事件,其可能導致之危害恐不亞於公務機關,爰參照第一條規定,增訂特定非公務機關應置資通安全長之規定。
二、有鑑於關鍵基礎設施提供者等特定非公務機關遭受資通安全事件事件,其可能導致之危害恐不亞於公務機關,爰參照第一條規定,增訂特定非公務機關應置資通安全長之規定。
第二十三條
本法施行日期,由主管機關定之。
本法施行日期,由行政院定之。
立法說明
授權行政院頒定施行日期,修正條文亦同。
