陳素月
選擇章節
第二條
本法之主管機關為行政院。
本法之主管機關為數位發展部。
立法說明
2022年8月數位發展部成立,為全國通訊、資訊、資通安全、網路與傳播等相關事務之主管機關。爰修訂主管機關為數位發展部。
第三條
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業、政府捐助之財團法人及達一定經營規模之特定企業或團體等。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
十、達一定經營規模之特定企業或團體:指其提供之服務業務具相當程度依賴性及一定人數之企業或團體,經中央目的事業主管機關指定,並報主管機關核定公告者。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業、政府捐助之財團法人及達一定經營規模之特定企業或團體等。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
十、達一定經營規模之特定企業或團體:指其提供之服務業務具相當程度依賴性及一定人數之企業或團體,經中央目的事業主管機關指定,並報主管機關核定公告者。
立法說明
因應個人資料保護法之修正,爰將達一定經營規模之特定企業或團體納入特定非公務機關範圍,並闡明該特定企業或團體需經由中央目的事業主管機關指定,並報主管機關核定公告後,方得納管。
第十一條
公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。
公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。
前項公務機關應依責任等級置資通安全專職人員,協助執行機關內資通安全相關事務。
前項公務機關應依責任等級置資通安全專職人員,協助執行機關內資通安全相關事務。
立法說明
為確保本條第一項資安事務推動及具資安相關專業知識與技能,爰增訂第二項資安專職人員,受資通安全長指揮督導,以落實資安管理。
第十四條
公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。
公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出、各機關間資通安全調度支援及其他相關事項之辦法,由主管機關定之。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出、各機關間資通安全調度支援及其他相關事項之辦法,由主管機關定之。
立法說明
為確保各機關間調度權分配及支援計畫推展順利,爰新增第四項文字由數位發展部擬定各機關間調度事項之相關辦法,藉由本法規授權子法通報應變辦法調度,就可以讓有實戰經驗者,協助處理資安事件,解決資安問題,以達資源利用最大化之效。
第十六條
中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。
關鍵基礎設施提供者應置資通安全長及設置資通安全專責單位及人力,負責推動及監督機關內資通安全相關事務。
關鍵基礎設施提供者符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第六項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
關鍵基礎設施提供者應置資通安全長及設置資通安全專責單位及人力,負責推動及監督機關內資通安全相關事務。
關鍵基礎設施提供者符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第六項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
立法說明
關鍵基礎設施提供者、公營事業及政府捐助之財團法人之資安亦影響國安及大眾公益甚深,現行法規範顯有不足之處,故新增本條關鍵基礎設施提供者設置資通安全長、資安專責單位之規定。
第十七條
關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
關鍵基礎設施提供者以外之特定非公務機關應置資通安全長及設置資通安全專責單位及人力,負責推動及監督機關內資通安全相關事務。
關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第二項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
前四項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第二項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
前四項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
立法說明
一、資安事件頻傳,現今資通安全管理法針對特定非公務機關,並未要求設置資安長、資安專責人員,惟特定非公務機關,亦涉及民生、經濟、交通等周邊設施(備)資訊,爰新增本條第一項規定。
二、第五項文字依序修正。
二、第五項文字依序修正。
第十八條
特定非公務機關為因應資通安全事件,應訂定通報及應變機制。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
特定非公務機關為因應資通安全事件,應訂定通報及應變機制。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出、各機關間資通安全調度支援及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出、各機關間資通安全調度支援及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
立法說明
為確保各機關間調度權分配及支援計畫推展順利,爰新增第四項文字由數位發展部擬定各機關間調度事項之相關辦法,藉由本法規授權子法通報應變辦法調度,就可以讓有實戰經驗者,協助處理資安事件,解決資安問題,以達資源利用最大化之效。
第二十條
特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰:
一、未依第十六條第二項或第十七條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫必要事項之規定。
二、未依第十六條第三項或第十七條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。
三、未依第七條第三項、第十六條第五項或第十七條第三項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第六項或第十七條第四項所定辦法中有關改善報告提出之規定。
四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。
五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。
六、違反第十八條第四項所定辦法中有關通報內容之規定。
一、未依第十六條第二項或第十七條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫必要事項之規定。
二、未依第十六條第三項或第十七條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。
三、未依第七條第三項、第十六條第五項或第十七條第三項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第六項或第十七條第四項所定辦法中有關改善報告提出之規定。
四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。
五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。
六、違反第十八條第四項所定辦法中有關通報內容之規定。
特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰:
一、未依第十六條第二項或第十七條第一項規定,設置資通安全長及資通安全專責單位等資通安全相關事務之規定。
二、未依第十六條第三項或第十七條第二項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條或第十七條所定辦法中有關資通安全維護計畫必要事項之規定。
三、未依第十六條第四項或第十七條第三項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第七項或第十七條第五項所定辦法中有關資通安全維護計畫實施情形提出之規定。
四、未依第七條第四項、第十六條第六項或第十七條第四項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第七項或第十七條第五項所定辦法中有關改善報告提出之規定。
五、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。
六、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。
七、違反第十八條第四項所定辦法中有關通報內容之規定。
一、未依第十六條第二項或第十七條第一項規定,設置資通安全長及資通安全專責單位等資通安全相關事務之規定。
二、未依第十六條第三項或第十七條第二項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條或第十七條所定辦法中有關資通安全維護計畫必要事項之規定。
三、未依第十六條第四項或第十七條第三項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第七項或第十七條第五項所定辦法中有關資通安全維護計畫實施情形提出之規定。
四、未依第七條第四項、第十六條第六項或第十七條第四項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第七項或第十七條第五項所定辦法中有關改善報告提出之規定。
五、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。
六、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。
七、違反第十八條第四項所定辦法中有關通報內容之規定。
立法說明
一、依前條修正,爰增列本條第一款,將未依第十六條第二項、第十七條第一項設置資安長、資安專責事務規定,可依本法令其改正;屆期未改正者得按次處一百萬元以下之罰鍰。
二、因應條文修正,各條項次文字依序修正。
二、因應條文修正,各條項次文字依序修正。
