沈伯洋
選擇章節
第一章
總 則
總
立法說明
章名未修正。
第一條
為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益,特制定本法。
為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益,特制定本法。
立法說明
本條未修正。
第二條
本法之主管機關為行政院。
本法之主管機關為數位發展部。
國家資通安全業務,由數位發展部資通安全署(以下簡稱資安署)辦理。
國家資通安全業務,由數位發展部資通安全署(以下簡稱資安署)辦理。
立法說明
一、依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,本法之主管機關,自一百十一年八月二十七日起改由數位發展部管轄,爰配合上開公告修正現行條文,並列為第一項。
二、因應數位發展部資通安全署成立,掌理國家資通安全業務,為符權責,爰增訂第二項,並將各該修正條文有關國家資通安全業務之權責,定明由資安署辦理。
二、因應數位發展部資通安全署成立,掌理國家資通安全業務,為符權責,爰增訂第二項,並將各該修正條文有關國家資通安全業務之權責,定明由資安署辦理。
第三條
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀,或其他情形影響其機密性、完整性或可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全或保護措施失效之狀態發生,影響資通系統機能運作。
五、公務機關:指依法行使公權力之中央、地方機關(構)或行政法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業或特定財團法人。
七、關鍵基礎設施:指行政院公告之關鍵領域中,該領域服務所依賴之系統或網路之實體或虛擬資產,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞者。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經依第十九條規定通知者。
九、特定財團法人:指符合財團法人法第二條第二項、第三項或第六十三條第一項規定之財團法人,並屬該法第二條第八項所定全國性財團法人者。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀,或其他情形影響其機密性、完整性或可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全或保護措施失效之狀態發生,影響資通系統機能運作。
五、公務機關:指依法行使公權力之中央、地方機關(構)或行政法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業或特定財團法人。
七、關鍵基礎設施:指行政院公告之關鍵領域中,該領域服務所依賴之系統或網路之實體或虛擬資產,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞者。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經依第十九條規定通知者。
九、特定財團法人:指符合財團法人法第二條第二項、第三項或第六十三條第一項規定之財團法人,並屬該法第二條第八項所定全國性財團法人者。
立法說明
一、第一款、第二款及第五款未修正。
二、第三款及第四款酌作文字修正,以符實際。
三、因農田水利會已改制納入原行政院農業委員會農田水利署,本法納管之公法人目前僅存行政法人,爰修正第五款。
四、第六款配合第九款用詞修正為特定財團法人。
五、依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,第七款及第八款所列事項,自一百十一年八月二十七日起仍由行政院管轄,並配合現行實務作法,爰修正第七款及第八款。
六、現行條文第九款制定公布時,財團法人法尚未完成立法,考量該法已制定公布施行,爰定明符合財團法人法第二條第二項、第三項或第六十三條第一項規定,且屬該法第二條第八項所定全國性財團法人者,為本法所稱特定財團法人,爰修正第九款。
二、第三款及第四款酌作文字修正,以符實際。
三、因農田水利會已改制納入原行政院農業委員會農田水利署,本法納管之公法人目前僅存行政法人,爰修正第五款。
四、第六款配合第九款用詞修正為特定財團法人。
五、依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,第七款及第八款所列事項,自一百十一年八月二十七日起仍由行政院管轄,並配合現行實務作法,爰修正第七款及第八款。
六、現行條文第九款制定公布時,財團法人法尚未完成立法,考量該法已制定公布施行,爰定明符合財團法人法第二條第二項、第三項或第六十三條第一項規定,且屬該法第二條第八項所定全國性財團法人者,為本法所稱特定財團法人,爰修正第九款。
第四條
為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
前項相關事項之推動,由主管機關以國家資通安全發展方案定之。
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
前項相關事項之推動,由主管機關以國家資通安全發展方案定之。
為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務及審驗機制之發展。
前項相關事項之推動,由主管機關擬訂國家資通安全發展方案,報請行政院定之。
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務及審驗機制之發展。
前項相關事項之推動,由主管機關擬訂國家資通安全發展方案,報請行政院定之。
立法說明
一、第一項第四款酌作文字修正,其餘各款未修正。
二、依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,第二項所列事項,自一百十一年八月二十七日起仍由行政院管轄,並配合實務作法,爰予修正。
二、依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,第二項所列事項,自一百十一年八月二十七日起仍由行政院管轄,並配合實務作法,爰予修正。
第五條
主管機關應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告、對公務機關資通安全維護計畫實施情形稽核概況報告及資通安全發展方案。
前項情勢報告、實施情形稽核概況報告及資通安全發展方案,應送立法院備查。
前項情勢報告、實施情形稽核概況報告及資通安全發展方案,應送立法院備查。
主管機關應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告、對公務機關資通安全維護計畫實施情形稽核概況報告及國家資通安全發展方案。
前項情勢報告、實施情形稽核概況報告及國家資通安全發展方案,應由主管機關送立法院備查。
前項情勢報告、實施情形稽核概況報告及國家資通安全發展方案,應由主管機關送立法院備查。
立法說明
一、條次遞移。
二、第一項酌作文字修正。
三、第二項修正定明辦理之主體。
二、第一項酌作文字修正。
三、第二項修正定明辦理之主體。
第七條
主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
公務機關及特定非公務機關,應按其業務重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,報由資安署核定或備查其資通安全責任等級。
公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理、技術、認知及訓練等面向,辦理資通安全防護措施。
前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通安全防護措施辦理項目、內容、專職人員之資格與配置及其他相關事項之辦法,由主管機關定之。
公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理、技術、認知及訓練等面向,辦理資通安全防護措施。
前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通安全防護措施辦理項目、內容、專職人員之資格與配置及其他相關事項之辦法,由主管機關定之。
立法說明
一、現行條文第一項前段規定酌作文字修正,以符實際,並列為修正條文第一項。
二、公務機關及特定非公務機關辦理資通安全防護措施應符合資通安全責任等級之要求,爰增訂第二項。
三、現行條文第一項後段規定移列為修正條文第三項,並就其授權範圍及內容酌作修正,以資明確。
四、現行條文第二項及第三項移列於修正條文第八條,爰予刪除。
二、公務機關及特定非公務機關辦理資通安全防護措施應符合資通安全責任等級之要求,爰增訂第二項。
三、現行條文第一項後段規定移列為修正條文第三項,並就其授權範圍及內容酌作修正,以資明確。
四、現行條文第二項及第三項移列於修正條文第八條,爰予刪除。
第七條第二項及第三項
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
資安署得定期或不定期稽核公務機關及特定非公務機關之資通安全維護計畫實施情形。
前項稽核後,發現受稽核機關資通安全維護計畫實施情形有缺失或待改善者,改善報告應送交上級機關、上級政府、監督機關或中央目的事業主管機關審查後,並送交資安署。
前項收受改善報告之機關認有必要時,得要求受稽核機關進行說明或調整。
前三項資通安全維護計畫實施情形之稽核頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
第一項稽核由資安署擬訂年度計畫後辦理,年度計畫及年度成果報告應送交國家資通安全會報備查。
前項稽核後,發現受稽核機關資通安全維護計畫實施情形有缺失或待改善者,改善報告應送交上級機關、上級政府、監督機關或中央目的事業主管機關審查後,並送交資安署。
前項收受改善報告之機關認有必要時,得要求受稽核機關進行說明或調整。
前三項資通安全維護計畫實施情形之稽核頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
第一項稽核由資安署擬訂年度計畫後辦理,年度計畫及年度成果報告應送交國家資通安全會報備查。
立法說明
一、第一項由現行條文第七條第二項前段規定移列,並為協助公務機關檢視自身資通安全維護計畫實施情形,增訂資安署得稽核公務機關。
二、第二項由現行條文第七條第三項規定移列,並配合實務執行需求修正,就現行受稽核機關之改善報告送交及審查流程細緻化規範。
三、為使收受改善報告之機關得對受稽核機關進行監督及指導,爰增訂第三項,俾使其得就缺失或待改善事項妥為處理。
四、第四項由現行條文第七條第二項後段規定移列,並酌作修正。
五、為使第一項稽核辦理有據,並考量事涉公務機關及特定非公務機關,有賴各政府機關間配合推動執行,爰增訂第五項。
二、第二項由現行條文第七條第三項規定移列,並配合實務執行需求修正,就現行受稽核機關之改善報告送交及審查流程細緻化規範。
三、為使收受改善報告之機關得對受稽核機關進行監督及指導,爰增訂第三項,俾使其得就缺失或待改善事項妥為處理。
四、第四項由現行條文第七條第二項後段規定移列,並酌作修正。
五、為使第一項稽核辦理有據,並考量事涉公務機關及特定非公務機關,有賴各政府機關間配合推動執行,爰增訂第五項。
第八條
主管機關應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。
資安署應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。
立法說明
一、條次變更。
二、資通安全情資分享之執行,主要係國內外之資通安全資訊交流、資通安全警訊發布等技術性事務,目前實務現況係由資安署辦理,爰修正第一項。
三、資安署應基於資通安全情資分享機制公布資通服務及資通系統風險警示清單。
四、第二項未修正。
二、資通安全情資分享之執行,主要係國內外之資通安全資訊交流、資通安全警訊發布等技術性事務,目前實務現況係由資安署辦理,爰修正第一項。
三、資安署應基於資通安全情資分享機制公布資通服務及資通系統風險警示清單。
四、第二項未修正。
第九條
公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應選任適當之受託者,要求受託者建立有效之資通安全管理機制,並監督該機制之實施。
公務機關或特定非公務機關辦理前項委外業務,應與受託者簽訂書面契約,載明雙方之權利義務及違約責任。
公務機關或特定非公務機關辦理前項委外業務,應與受託者簽訂書面契約,載明雙方之權利義務及違約責任。
立法說明
一、條次變更。
二、第一項酌作文字修正。
三、為強化各機關落實委外監督管理明定各機關應與受託者簽訂書面契約,並載明雙方之權利義務及違約責任,爰增訂第二項。
二、第一項酌作文字修正。
三、為強化各機關落實委外監督管理明定各機關應與受託者簽訂書面契約,並載明雙方之權利義務及違約責任,爰增訂第二項。
第二章
公務機關資通安全管理
公務機關資通安全管理
立法說明
章名未修正。
第十一條
公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。
公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。
立法說明
條次變更,內容未修正。
第十條
公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
立法說明
條次變更,內容未修正。
第十二條
公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交主管機關。
公務機關應每年向上級機關或監督機關提出資通安全維護計畫實施情形;無上級機關或監督機關者,其資通安全維護計畫實施情形應向下列機關提出:
一、總統府、國家安全會議及五院,向資安署提出。
二、直轄市政府、直轄市議會、縣(市)政府及縣(市)議會,向資安署提出。
三、直轄市政府所轄山地原住民區公所、山地原住民區民代表會,向直轄市政府提出;縣(市)政府所轄鄉(鎮、市)公所,鄉(鎮、市)民代表會,向縣(市)政府提出。
一、總統府、國家安全會議及五院,向資安署提出。
二、直轄市政府、直轄市議會、縣(市)政府及縣(市)議會,向資安署提出。
三、直轄市政府所轄山地原住民區公所、山地原住民區民代表會,向直轄市政府提出;縣(市)政府所轄鄉(鎮、市)公所,鄉(鎮、市)民代表會,向縣(市)政府提出。
立法說明
一、條次變更。
二、為明確規範公務機關資通安全維護計畫實施情形提出之管道,爰修正本條,按現行條文規定之運作模式,定明公務機關資通安全維護計畫實施情形提出之對象。
三、為強化地區聯防,將直轄市山地原住民區公所、區民代表會、鄉(鎮、市)公所以及鄉(鎮、市)民代表會之提出對象修正定明為直轄市政府及縣(市)政府,爰規定第三款。
二、為明確規範公務機關資通安全維護計畫實施情形提出之管道,爰修正本條,按現行條文規定之運作模式,定明公務機關資通安全維護計畫實施情形提出之對象。
三、為強化地區聯防,將直轄市山地原住民區公所、區民代表會、鄉(鎮、市)公所以及鄉(鎮、市)民代表會之提出對象修正定明為直轄市政府及縣(市)政府,爰規定第三款。
第十三條
公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
公務機關應稽核其所屬、所監督之公務機關、所轄鄉(鎮、市)公所、直轄市山地原住民區公所及鄉(鎮、市)民代表會、直轄市山地原住民區民代表會之資通安全維護計畫實施情形。
第十三條與前條資通安全維護計畫必要事項、實施情形之提出、前項稽核之頻率、內容、方法及其他相關事項之辦法,由主管機關定之。
第十三條與前條資通安全維護計畫必要事項、實施情形之提出、前項稽核之頻率、內容、方法及其他相關事項之辦法,由主管機關定之。
立法說明
一、條次變更。
二、為落實資通安全聯防政策,公務機關資通安全維護計畫實施情形之稽核,採分層監督管理模式,依現行條文第一項規定,由上級機關或監督機關稽核之。惟無上級機關者,現行僅有內部稽核規定,爰於第一項增訂直轄市政府應稽核所轄直轄市山地原住民區公所、直轄市山地原住民區民代表會,以及縣(市)政府應稽核所轄鄉(鎮、市)公所、鄉(鎮、市)民代表會。
三、修正條文第十三條與前條資通安全維護計畫必要事項、實施情形之提出、第一項稽核之頻率、內容、方法及其他相關事項,增訂第二項授權由主管機關以辦法定之。
四、現行條文第二項規定移列修正條文第十六條第一項,爰予刪除。
二、為落實資通安全聯防政策,公務機關資通安全維護計畫實施情形之稽核,採分層監督管理模式,依現行條文第一項規定,由上級機關或監督機關稽核之。惟無上級機關者,現行僅有內部稽核規定,爰於第一項增訂直轄市政府應稽核所轄直轄市山地原住民區公所、直轄市山地原住民區民代表會,以及縣(市)政府應稽核所轄鄉(鎮、市)公所、鄉(鎮、市)民代表會。
三、修正條文第十三條與前條資通安全維護計畫必要事項、實施情形之提出、第一項稽核之頻率、內容、方法及其他相關事項,增訂第二項授權由主管機關以辦法定之。
四、現行條文第二項規定移列修正條文第十六條第一項,爰予刪除。
第十三條第二項
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關提出改善報告,並連同稽核結果依資安署指定之方式送交資安署。
稽核機關或資安署,認有必要時,得要求受稽核機關進行說明或調整。
稽核機關或資安署,認有必要時,得要求受稽核機關進行說明或調整。
立法說明
一、第一項由現行條文第十三條第二項規定移列,除修正定明改善報告之提出對象外,並為利資安署掌握全國資通安全現況,修正定明稽核結果及改善報告亦應送交該署。
二、為使稽核機關、資安署就受稽核機關之改善報告得進行監督及指導,爰增訂第二項,俾使其得就缺失或待改善事項妥為處理。
二、為使稽核機關、資安署就受稽核機關之改善報告得進行監督及指導,爰增訂第二項,俾使其得就缺失或待改善事項妥為處理。
第十四條
公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。
公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關知悉資通安全事件時,應向第十四條規定收受其實施情形之機關及資安署通報。
公務機關應向前項接獲通報機關提出資通安全事件調查、處理及改善報告。
前三項通報與應變機制之必要事項、通報內容、報告之提出、演練作業及其他相關事項之辦法,由主管機關定之。
第二項接獲通報機關知悉重大資通安全事件時,得提供公務機關相關協助,並於適當時機得公告與事件相關之必要內容及因應措施。
公務機關知悉資通安全事件時,應向第十四條規定收受其實施情形之機關及資安署通報。
公務機關應向前項接獲通報機關提出資通安全事件調查、處理及改善報告。
前三項通報與應變機制之必要事項、通報內容、報告之提出、演練作業及其他相關事項之辦法,由主管機關定之。
第二項接獲通報機關知悉重大資通安全事件時,得提供公務機關相關協助,並於適當時機得公告與事件相關之必要內容及因應措施。
立法說明
一、條次變更。
二、第一項未修正。
三、配合修正條文第十四條已定明公務機關資通安全維護計畫實施情形之提出對象,及實務運作現況,爰修正第二項及第三項。
四、為增進公務機關因應資通安全事件之處理能力,爰於第四項授權項目增訂演練作業,俾利透過實施模擬演練以熟悉應變作為、提升應變技能,並酌作文字修正。
五、考量重大資通安全事件可能影響多數人民之生命、身體或財產安全,爰比照特定非公務機關之規定,增訂第五項,由接獲通報機關於知悉後,分別或共同公告必要之內容(例如發生原因、影響程度及目前控制之情形等)及因應措施,並提供相關協助,以利防範、避免損害之擴大。
二、第一項未修正。
三、配合修正條文第十四條已定明公務機關資通安全維護計畫實施情形之提出對象,及實務運作現況,爰修正第二項及第三項。
四、為增進公務機關因應資通安全事件之處理能力,爰於第四項授權項目增訂演練作業,俾利透過實施模擬演練以熟悉應變作為、提升應變技能,並酌作文字修正。
五、考量重大資通安全事件可能影響多數人民之生命、身體或財產安全,爰比照特定非公務機關之規定,增訂第五項,由接獲通報機關於知悉後,分別或共同公告必要之內容(例如發生原因、影響程度及目前控制之情形等)及因應措施,並提供相關協助,以利防範、避免損害之擴大。
第十五條
公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。
前項獎勵事項之辦法,由主管機關定之。
前項獎勵事項之辦法,由主管機關定之。
公務機關應符合其資通安全責任等級之要求,設置專職資通安全人員,辦理資通安全業務及應變處理;資通安全業務績效評核優良者,應予獎勵。
資安署應妥善規劃推動專職人員之職能訓練,增進其資通安全專業知能;遇有重大資通安全事件,資安署得逕予調度各級機關資通安全人員支援之。
前二項人員調度支援、績效評核、獎勵及職能訓練相關事項之辦法,由主管機關定之。
資安署應妥善規劃推動專職人員之職能訓練,增進其資通安全專業知能;遇有重大資通安全事件,資安署得逕予調度各級機關資通安全人員支援之。
前二項人員調度支援、績效評核、獎勵及職能訓練相關事項之辦法,由主管機關定之。
立法說明
一、條次變更。
二、公務機關依資通安全責任等級分級辦法附表一、三、五之規定,應設置一定人數之專職人員辦理資通安全業務,為強化公務機關之資通安全防護能量,爰將其意旨修正納入第一項。
三、因資通安全人員之專業知能,與公務機關資通安全防護能量有密切關係,為強化並提升公務機關專職人員之職能,爰增訂第二項,並明定重大資安事件,資安署得調度人員支援之規定,可同時加強訓練人員之應處能力。
四、現行條文第二項配合修正條文第一項及第二項,新增授權項目,並移列為第三項。
二、公務機關依資通安全責任等級分級辦法附表一、三、五之規定,應設置一定人數之專職人員辦理資通安全業務,為強化公務機關之資通安全防護能量,爰將其意旨修正納入第一項。
三、因資通安全人員之專業知能,與公務機關資通安全防護能量有密切關係,為強化並提升公務機關專職人員之職能,爰增訂第二項,並明定重大資安事件,資安署得調度人員支援之規定,可同時加強訓練人員之應處能力。
四、現行條文第二項配合修正條文第一項及第二項,新增授權項目,並移列為第三項。
第三章
特定非公務機關資通安全管理
特定非公務機關資通安全管理
立法說明
章名未修正。
第十六條
中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
中央目的事業主管機關應徵詢相關公務機關、民間團體、專家學者意見後,擬訂關鍵基礎設施提供者之指定清單,報請行政院核定,以書面通知之;其指定基準、廢止條件及程序,由中央目的事業主管機關公告之。
立法說明
一、條次變更。
二、現行條文第一項移列本條前段,並依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,所列事項自一百十一年八月二十七日起仍由行政院管轄,爰予修正。
三、另考量關鍵基礎設施提供者之指定基準及程序,影響人民權益重大,有法律保留原則之適用,爰於本條後段增訂關鍵基礎設施提供者之指定基準、廢止條件及程序,授權由中央目的事業主管機關公告之。
四、現行條文第二項至第六項規定分別移列修正條文第二十條及第二十二條,爰予刪除。
二、現行條文第一項移列本條前段,並依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,所列事項自一百十一年八月二十七日起仍由行政院管轄,爰予修正。
三、另考量關鍵基礎設施提供者之指定基準及程序,影響人民權益重大,有法律保留原則之適用,爰於本條後段增訂關鍵基礎設施提供者之指定基準、廢止條件及程序,授權由中央目的事業主管機關公告之。
四、現行條文第二項至第六項規定分別移列修正條文第二十條及第二十二條,爰予刪除。
第十六條第二項至第五項
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應綜合考量所管關鍵基礎設施提供者業務之重要性與機敏性、資通系統之規模及性質、資通安全事件發生之頻率、程度及其他與資通安全相關之因素,定期稽核其資通安全維護計畫之實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應向中央目的事業主管機關提出改善報告。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應綜合考量所管關鍵基礎設施提供者業務之重要性與機敏性、資通系統之規模及性質、資通安全事件發生之頻率、程度及其他與資通安全相關之因素,定期稽核其資通安全維護計畫之實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應向中央目的事業主管機關提出改善報告。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。
立法說明
一、修正條文第一項由現行條文第十六條第二項規定移列。符合特定資通安全責任等級之機關,應設置專人專職辦理資通安全業務之要求,宜由現行法規命令提昇至法律位階,爰予修正。
二、修正條文第二項由現行條文第十六條第三項規定移列,內容未修正。
三、修正條文第三項由現行條文第十六條第四項規定移列。另考量行政資源有效利用,擇定適當之關鍵基礎設施提供者,稽核其資通安全維護計畫實施情形,爰於第三項增訂中央目的事業主管機關定期辦理稽核時應審酌之因素。
四、修正條文第四項由現行條文第十六條第五項規定移列,並酌作文字修正。
五、為利資安署掌握全國資通安全現況,爰增訂第五項。
二、修正條文第二項由現行條文第十六條第三項規定移列,內容未修正。
三、修正條文第三項由現行條文第十六條第四項規定移列。另考量行政資源有效利用,擇定適當之關鍵基礎設施提供者,稽核其資通安全維護計畫實施情形,爰於第三項增訂中央目的事業主管機關定期辦理稽核時應審酌之因素。
四、修正條文第四項由現行條文第十六條第五項規定移列,並酌作文字修正。
五、為利資安署掌握全國資通安全現況,爰增訂第五項。
第十七條
關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。
立法說明
一、條次變更。
二、修正條文第一項由現行條文第十七條第一項規定移列。符合特定資通安全責任等級之機關,應設置專人專職辦理資通安全業務之要求,宜由現行法規命令提昇至法律位階,爰予修正。
三、第二項及第三項未修正。
四、為利資安署掌握全國資通安全現況,爰增訂第四項。
五、現行條文第四項移列修正條文第二十二條,爰予刪除。
二、修正條文第一項由現行條文第十七條第一項規定移列。符合特定資通安全責任等級之機關,應設置專人專職辦理資通安全業務之要求,宜由現行法規命令提昇至法律位階,爰予修正。
三、第二項及第三項未修正。
四、為利資安署掌握全國資通安全現況,爰增訂第四項。
五、現行條文第四項移列修正條文第二十二條,爰予刪除。
第十六條第六項
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
第十七條第四項
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
第二十條及前條之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、擇定基準、程序與方法、結果之交付、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報由主管機關核定。
立法說明
本條由現行條文第十六條第六項及第十七條第四項合併修正移列,並配合修正條文第二十條及第二十一條,增訂授權項目。
第二十三條
本法施行日期,由主管機關定之。
本法施行日期,由行政院定之。
立法說明
條次變更,修正理由同修正條文第四條說明二。
第十八條
特定非公務機關為因應資通安全事件,應訂定通報及應變機制。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
特定非公務機關為因應資通安全事件,應訂定通報及應變機制。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交資安署。
前三項通報與應變機制之必要事項、通報內容、報告之提出、送交、演練作業及其他應遵行事項之辦法,由主管機關定之。
中央目的事業主管機關或資安署知悉重大資通安全事件時,得提供特定非公務機關相關協助,並於適當時機得公告與事件相關之必要內容及因應措施。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交資安署。
前三項通報與應變機制之必要事項、通報內容、報告之提出、送交、演練作業及其他應遵行事項之辦法,由主管機關定之。
中央目的事業主管機關或資安署知悉重大資通安全事件時,得提供特定非公務機關相關協助,並於適當時機得公告與事件相關之必要內容及因應措施。
立法說明
一、條次變更。
二、第一項及第二項未修正。
三、配合修正條文第二條第二項規定,將第三項及第五項所定主管機關修正為資安署,並酌作文字修正。
四、為增進特定非公務機關因應資通安全事件之處理能力,於第四項之授權項目增訂演練作業,並酌作文字修正。
二、第一項及第二項未修正。
三、配合修正條文第二條第二項規定,將第三項及第五項所定主管機關修正為資安署,並酌作文字修正。
四、為增進特定非公務機關因應資通安全事件之處理能力,於第四項之授權項目增訂演練作業,並酌作文字修正。
第二十五條
中央目的事業主管機關為辦理特定非公務機關發生重大資通安全事件之調查,得依下列程序辦理:
一、通知當事人或關係人到場陳述意見。
二、通知當事人及關係人提出獨立第三方機構出具之鑑識或調查報告。
三、派員、委任或委託其他機關(構)前往當事人及關係人之處所實施必要之檢查。
前項所定關係人,以第一項特定非公務機關委託辦理資通系統之建置、維運或資通服務之提供之受託者,且與重大資通安全事件相關者為限。
受調查者對於中央目的事業主管機關依第一項所為之調查,不得規避、妨礙或拒絕。
執行調查之人員應出示有關執行職務之證明文件;其未出示者,受調查者得拒絕之。
第一項第三款受委任或委託之機關(構)對於辦理受任或受託事務所獲悉特定非公務機關之秘密,不得洩漏。
一、通知當事人或關係人到場陳述意見。
二、通知當事人及關係人提出獨立第三方機構出具之鑑識或調查報告。
三、派員、委任或委託其他機關(構)前往當事人及關係人之處所實施必要之檢查。
前項所定關係人,以第一項特定非公務機關委託辦理資通系統之建置、維運或資通服務之提供之受託者,且與重大資通安全事件相關者為限。
受調查者對於中央目的事業主管機關依第一項所為之調查,不得規避、妨礙或拒絕。
執行調查之人員應出示有關執行職務之證明文件;其未出示者,受調查者得拒絕之。
第一項第三款受委任或委託之機關(構)對於辦理受任或受託事務所獲悉特定非公務機關之秘密,不得洩漏。
立法說明
一、本條新增。
二、為落實特定非公務機關資通安全之維護,強化中央目的事業主管機關之監督權責,爰規定第一項賦予中央目的事業主管機關對於重大資通安全事件之調查權。
三、為符合法律明確性原則,定明應受調查之關係人範圍,爰增訂第二項。
四、配合第一項規定中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權責,爰於第三項增訂受調查者對主管機關所為調查措施,無正當理由不得規避、妨礙或拒絕,並於第四項增訂中央目的事業主管機關執行調查時應出示證明文件之程序。
五、為避免特定非公務機關之秘密,因重大資通安全事件之調查而洩漏,爰增訂第五項受委任或委託機關(構)之保密義務。
二、為落實特定非公務機關資通安全之維護,強化中央目的事業主管機關之監督權責,爰規定第一項賦予中央目的事業主管機關對於重大資通安全事件之調查權。
三、為符合法律明確性原則,定明應受調查之關係人範圍,爰增訂第二項。
四、配合第一項規定中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權責,爰於第三項增訂受調查者對主管機關所為調查措施,無正當理由不得規避、妨礙或拒絕,並於第四項增訂中央目的事業主管機關執行調查時應出示證明文件之程序。
五、為避免特定非公務機關之秘密,因重大資通安全事件之調查而洩漏,爰增訂第五項受委任或委託機關(構)之保密義務。
第二十六條
特定非公務機關不得採購及使用危害國家資通安全產品,亦不得採購及使用大陸地區、香港、澳門、境外敵對勢力或其所設立或實質控制之各類組織、機構、團體或人員提供之資通服務、系統及設備;其自行或委外營運,提供公眾活動或使用之場地,亦同。但因業務需求且無其他替代方案者,經機關資通安全長核可,函報主管機關核定後,得以專案方式購置,並列冊管理。
特定非公務人員獲配之業務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,亦不得下載、安裝或使用大陸地區、香港、澳門、境外敵對勢力或其所設立或實質控制之各類組織、機構、團體或人員提供之資通服務及資通系統,並應遵守相關法令規範。
特定非公務機關得向主管機關查詢第一項產品及其廠商。
特定非公務人員獲配之業務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,亦不得下載、安裝或使用大陸地區、香港、澳門、境外敵對勢力或其所設立或實質控制之各類組織、機構、團體或人員提供之資通服務及資通系統,並應遵守相關法令規範。
特定非公務機關得向主管機關查詢第一項產品及其廠商。
立法說明
一、本條新增。
二、特定非公務機關之業務涉及民生與國家安全,因此比照公務機關使用及採購資通安全產品的規範。
三、境外敵對勢力由反滲透法第二條第一項定義之。
四、實質控制或類似用語之直接或間接控制,不論其文義或於前述法律規定之規範意旨,均在彰顯控制者與被控制者間存有支配、管領或從屬之密切關係;且實質控制亦係根據人事、財務或業務經營等面向為判斷。可參考大法官釋字第793號理由書。
二、特定非公務機關之業務涉及民生與國家安全,因此比照公務機關使用及採購資通安全產品的規範。
三、境外敵對勢力由反滲透法第二條第一項定義之。
四、實質控制或類似用語之直接或間接控制,不論其文義或於前述法律規定之規範意旨,均在彰顯控制者與被控制者間存有支配、管領或從屬之密切關係;且實質控制亦係根據人事、財務或業務經營等面向為判斷。可參考大法官釋字第793號理由書。
第四章
罰 則
罰
立法說明
章名未修正。
第十九條
公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
前項懲處事項之辦法,由主管機關定之。
前項懲處事項之辦法,由主管機關定之。
公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
前項懲處事項之辦法,由主管機關定之。
前項懲處事項之辦法,由主管機關定之。
立法說明
條次變更,內容未修正。
第二十條
特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰:
一、未依第十六條第二項或第十七條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫必要事項之規定。
二、未依第十六條第三項或第十七條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。
三、未依第七條第三項、第十六條第五項或第十七條第三項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第六項或第十七條第四項所定辦法中有關改善報告提出之規定。
四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。
五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。
六、違反第十八條第四項所定辦法中有關通報內容之規定。
一、未依第十六條第二項或第十七條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫必要事項之規定。
二、未依第十六條第三項或第十七條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。
三、未依第七條第三項、第十六條第五項或第十七條第三項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第六項或第十七條第四項所定辦法中有關改善報告提出之規定。
四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。
五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。
六、違反第十八條第四項所定辦法中有關通報內容之規定。
特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰:
一、未依第二十條第一項或第二十一條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第二十二條所定辦法中有關資通安全維護計畫必要事項之規定。
二、未依第二十條第二項或第二十一條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第二十二條所定辦法中有關資通安全維護計畫實施情形提出之規定。
三、未依第八條第二項、第二十條第四項或第二十一條第三項規定,提出改善報告送交資安署、中央目的事業主管機關,或違反第二十二條所定辦法中有關改善報告提出之規定。
四、未依第二十四條第一項規定,訂定資通安全事件之通報及應變機制,或違反第二十四條第四項所定辦法中有關通報及應變機制必要事項之規定。
五、未依第二十四條第三項規定,向中央目的事業主管機關提出或向資安署送交資通安全事件之調查、處理及改善報告,或違反第二十四條第四項所定辦法中有關報告提出、送交之規定。
六、違反第二十四條第四項所定辦法中有關通報內容、演練作業之規定。
七、違反第二十六條第一項有關使用採購資通服務、資通系統及資通設備之規定。
一、未依第二十條第一項或第二十一條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第二十二條所定辦法中有關資通安全維護計畫必要事項之規定。
二、未依第二十條第二項或第二十一條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第二十二條所定辦法中有關資通安全維護計畫實施情形提出之規定。
三、未依第八條第二項、第二十條第四項或第二十一條第三項規定,提出改善報告送交資安署、中央目的事業主管機關,或違反第二十二條所定辦法中有關改善報告提出之規定。
四、未依第二十四條第一項規定,訂定資通安全事件之通報及應變機制,或違反第二十四條第四項所定辦法中有關通報及應變機制必要事項之規定。
五、未依第二十四條第三項規定,向中央目的事業主管機關提出或向資安署送交資通安全事件之調查、處理及改善報告,或違反第二十四條第四項所定辦法中有關報告提出、送交之規定。
六、違反第二十四條第四項所定辦法中有關通報內容、演練作業之規定。
七、違反第二十六條第一項有關使用採購資通服務、資通系統及資通設備之規定。
立法說明
一、條次變更。
二、配合相關現行條條次變更或內容修正,爰修正所引條次及內容。
三、新增第七項以配合第二十六條之規定。
二、配合相關現行條條次變更或內容修正,爰修正所引條次及內容。
三、新增第七項以配合第二十六條之規定。
第二十一條
特定非公務機關未依第十八條第二項規定,通報資通安全事件,由中央目的事業主管機關處新臺幣三十萬元以上五百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。
特定非公務機關未依第二十四條第二項規定,通報資通安全事件,或違反第二十六條第二項有關使用資通服務、資通系統之規定,由中央目的事業主管機關處新臺幣三十萬元以上五百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。
立法說明
一、條次變更。
二、配合現行條文條次變更爰修正所引條次。
三、新增內文以配合第二十六條之規定。
二、配合現行條文條次變更爰修正所引條次。
三、新增內文以配合第二十六條之規定。
第三十條
違反第二十五條第三項規定,規避、妨礙或拒絕調查者,由中央目的事業主管機關處新臺幣十萬元以上一百萬元以下罰鍰。
立法說明
一、本條新增。
二、配合修正條文第二十五條第三項,增訂違反者之處罰規定。
二、配合修正條文第二十五條第三項,增訂違反者之處罰規定。
第五章
附 則
附
立法說明
章名未修正。
第六條
主管機關得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。
前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。
前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。
主管機關為辦理資通安全整體防護、國際交流合作及其他資通安全相關事務,得委託所監督行政法人、其他公務機關、法人或團體為之。
資安署為辦理國家資通安全防護、演練、稽核及其他資通安全相關事務,得委託其他公務機關、法人或團體為之。
公務機關為辦理第十五條第一項、第二十條第三項之稽核事項,得委任所屬機關或委託其他公務機關、法人或團體為之。
前三項受委任、委託或複委託之公務機關、法人或團體,不得洩露辦理相關事務過程中所知悉之秘密。
資安署為辦理國家資通安全防護、演練、稽核及其他資通安全相關事務,得委託其他公務機關、法人或團體為之。
公務機關為辦理第十五條第一項、第二十條第三項之稽核事項,得委任所屬機關或委託其他公務機關、法人或團體為之。
前三項受委任、委託或複委託之公務機關、法人或團體,不得洩露辦理相關事務過程中所知悉之秘密。
立法說明
一、條次變更。
二、第一項酌作文字正。
三、配合修正條文第二條第二項規定,爰增訂第二項定明資安署得委託辦理國家資通安全防護、演練、稽核及其他資通安全相關事務之依據。
四、增訂第三項,定明公務機關為辦理第十五條第一項、第二十條第三項公務機關稽核作業,得委任或委託辦理之依據。
五、第二項規定移列為修正條文第四項,並考量受委任、委託或複委託者就執行或辦理相關事務過程中所獲悉之秘密,除有正當理由外,均有保密之義務,不限於關鍵基礎設施提供者之秘密,爰刪除「關鍵基礎設施提供者」等字,並酌作文字修正。
二、第一項酌作文字正。
三、配合修正條文第二條第二項規定,爰增訂第二項定明資安署得委託辦理國家資通安全防護、演練、稽核及其他資通安全相關事務之依據。
四、增訂第三項,定明公務機關為辦理第十五條第一項、第二十條第三項公務機關稽核作業,得委任或委託辦理之依據。
五、第二項規定移列為修正條文第四項,並考量受委任、委託或複委託者就執行或辦理相關事務過程中所獲悉之秘密,除有正當理由外,均有保密之義務,不限於關鍵基礎設施提供者之秘密,爰刪除「關鍵基礎設施提供者」等字,並酌作文字修正。
第三十二條
本法所定資通安全事件,涉及個人資料檔案外洩時,公務機關及特定非公務機關應另依個人資料保護法及其相關法令規定辦理。
立法說明
一、本條新增。
二、資通安全管理法係要求納管之公務機關及特定非公務機關訂定「資通安全維護」計畫並依計畫實施相關資通安全管理事項、訂定資通安全事件之通報及應變機制、通報資通安全事件等,均係屬資通安全維護義務,與個人資料保護法係要求保有個人資料檔案者應採行適當之安全措施、訂定「個人資料檔案安全維護」計畫或業務終止後個人資料處理方法等,兩者之構成要件不同,並無普通法及特別法之關係,有予以明辨之必要,爰增訂本條。
二、資通安全管理法係要求納管之公務機關及特定非公務機關訂定「資通安全維護」計畫並依計畫實施相關資通安全管理事項、訂定資通安全事件之通報及應變機制、通報資通安全事件等,均係屬資通安全維護義務,與個人資料保護法係要求保有個人資料檔案者應採行適當之安全措施、訂定「個人資料檔案安全維護」計畫或業務終止後個人資料處理方法等,兩者之構成要件不同,並無普通法及特別法之關係,有予以明辨之必要,爰增訂本條。
第二十二條
本法施行細則,由主管機關定之。
本法施行細則,由主管機關定之。
立法說明
條次變更,內容未修正。
