陳冠廷
選擇章節
第二條
本法之主管機關為行政院。
本法之主管機關為數位發展部。
國家資通安全業務,由數位發展部資通安全署(以下簡稱資安署)辦理。
國家資通安全業務,由數位發展部資通安全署(以下簡稱資安署)辦理。
立法說明
因應數位發展部於111年8月27日成立,掌理國家資通安全業務,下設資通安全署,為使本法規範更符實務運作,特予修正。
第三條
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施:指能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區等行政院定期檢視並公告之領域中,該領域服務所依賴之實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞者。
八、特定關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部所依賴之資通系統或調度、控制系統,經中央目的事業主管機關指定,送由主管機關報請行政院核定者。
九、特定財團法人:指符合財團法人法第二條第二項、第三項或第六十三條第一項、第四項規定之財團法人,並屬該法第二條第八項所定全國性財團法人者。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施:指能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區等行政院定期檢視並公告之領域中,該領域服務所依賴之實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞者。
八、特定關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部所依賴之資通系統或調度、控制系統,經中央目的事業主管機關指定,送由主管機關報請行政院核定者。
九、特定財團法人:指符合財團法人法第二條第二項、第三項或第六十三條第一項、第四項規定之財團法人,並屬該法第二條第八項所定全國性財團法人者。
立法說明
一、修正第七款,因本修正草案將納管部分非公務機關,加諸其通報等義務並訂有罰則,因此包含哪些相關產業別及相關構成要件或領域,宜於資安法中直接明列。
二、考量工業自動化時代,維運或提供關鍵基礎設施難單僅依賴資通系統,尚應包含支持關鍵基礎設施得以順利營運操作之「調度及控制系統」,該等系統同屬國家關鍵基礎設施之重要元件,爰同步修正第八款內容。
二、考量工業自動化時代,維運或提供關鍵基礎設施難單僅依賴資通系統,尚應包含支持關鍵基礎設施得以順利營運操作之「調度及控制系統」,該等系統同屬國家關鍵基礎設施之重要元件,爰同步修正第八款內容。
第七條
主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
公務機關及特定非公務機關,應按其業務重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,報由資安署核定或備查其資通安全責任等級。
公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理技術認知及訓練等面向,辦理資通安全防護措施。
前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通安全防護措施辦理項目、內容、專職人員之配置與專業條件及其他相關事項之辦法,由主管機關定之。
公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理技術認知及訓練等面向,辦理資通安全防護措施。
前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通安全防護措施辦理項目、內容、專職人員之配置與專業條件及其他相關事項之辦法,由主管機關定之。
立法說明
一、修正現行第一項文字,以符實際。
二、公務機關及特定非公務機關辦理資通安全防護措施應符合資通安全責任等級之要求,爰增訂第二項內容。
三、現行第一項後段規定移列為修正條文第三項,並就其授權範圍及內容酌作修正,以資明確。
二、公務機關及特定非公務機關辦理資通安全防護措施應符合資通安全責任等級之要求,爰增訂第二項內容。
三、現行第一項後段規定移列為修正條文第三項,並就其授權範圍及內容酌作修正,以資明確。
第九條
公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應選認適當之受託者,要求受託者建立有效之資通安全管理機制,並監督該機制之實施。
公務機關或特定非公務機關辦理前項委外業務,應與受託者簽訂書面契約,載明雙方之權利、義務及違約責任。
前項書面契約之格式、內容,中央主管機關應訂定定型化契約範本及其應記載及不得記載事項。
公務機關或特定非公務機關辦理前項委外業務,應與受託者簽訂書面契約,載明雙方之權利、義務及違約責任。
前項書面契約之格式、內容,中央主管機關應訂定定型化契約範本及其應記載及不得記載事項。
立法說明
一、為強化公務機關或特定非公務機關委外辦理資通安全設施時,應要求其受託對象符合資通安全管理法的規定。
二、增訂各機關為落實委外監督管理,應與受託者簽訂書面契約,並載明雙方之權利義務及違約責任。
二、增訂各機關為落實委外監督管理,應與受託者簽訂書面契約,並載明雙方之權利義務及違約責任。
第九條之一
公務機關不得下載、安裝或使用危害國家資通安全產品;其自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務,亦同。但因業務需求且無其他替代方案者,得經該機關資通安全長核可,函報主管機關核定後,得以專案方式使用,並列冊管理。
公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。
危害國家資通安全產品之產品清單,由主管機關定期公告之。
公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。
危害國家資通安全產品之產品清單,由主管機關定期公告之。
立法說明
一、本條新增。
二、本條所稱危害國家資通安全產品宜清楚定義並予公告以供查詢,俾符政府資訊公開原則;而且現代科技日新月異,新興資通訊產品新增快速,授權主管資通安全機關應定期評估並共同分享情資,以利嚴管。
二、本條所稱危害國家資通安全產品宜清楚定義並予公告以供查詢,俾符政府資訊公開原則;而且現代科技日新月異,新興資通訊產品新增快速,授權主管資通安全機關應定期評估並共同分享情資,以利嚴管。
第十一條之一
公務機關之資通安全專職人員須通過適任性安全查核。
前項適任性安全查核程序、內容及其他相關事項由資安署訂之;未通過查核者不得辦理涉及國家機密、軍事機密及國防機密之資通安全業務。
用人機關基於個人資料保護規定,應保密處理,不得移作他用,違反者,視情節予以議處。
前項適任性安全查核程序、內容及其他相關事項由資安署訂之;未通過查核者不得辦理涉及國家機密、軍事機密及國防機密之資通安全業務。
用人機關基於個人資料保護規定,應保密處理,不得移作他用,違反者,視情節予以議處。
立法說明
一、本條新增。
二、考量公務機關之資通安全專職人員辦理資通安全業務時,可能觸及國家機密、軍事機密及國防機密,有予以查核其適任性之必要,爰增訂本條法律規定。
三、授權資安署訂定資通安全專職人員之適任性安全查核程序、內容及相關事項。
四、受查核者的個人資料,用人機關應注意相關保密措施,於本法第三項特予規定。
二、考量公務機關之資通安全專職人員辦理資通安全業務時,可能觸及國家機密、軍事機密及國防機密,有予以查核其適任性之必要,爰增訂本條法律規定。
三、授權資安署訂定資通安全專職人員之適任性安全查核程序、內容及相關事項。
四、受查核者的個人資料,用人機關應注意相關保密措施,於本法第三項特予規定。
第十六條
中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定特定關鍵基礎設施提供者,送由主管機關報請行政院核定,並以書面通知受核定者。
特定關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
特定關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應綜合考量所管特定關鍵基礎設施提供者業務之重要性與機敏性、資通系統之規模、性質、資通安全事件發生之頻率、程度及其他與資通安全相關之因素,定期稽核其資通安全維護計畫之實施情形。
特定關鍵基礎設施提供者之資通安全維護計畫實施情形有缺失或待改善者,應向中央目的事業主管機關提出改善報告。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。
特定關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
特定關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應綜合考量所管特定關鍵基礎設施提供者業務之重要性與機敏性、資通系統之規模、性質、資通安全事件發生之頻率、程度及其他與資通安全相關之因素,定期稽核其資通安全維護計畫之實施情形。
特定關鍵基礎設施提供者之資通安全維護計畫實施情形有缺失或待改善者,應向中央目的事業主管機關提出改善報告。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。
立法說明
一、考量資安威脅日漸加劇,資安作業需持續維持,為強化特定關鍵基礎設施提供者資安防護量能並能及時應處,爰立法規定符合特定資通安全責任等級之特定關鍵基礎設施提供者,應設置專人專職辦理資通安全業務,以落實事前、事中及事後各項資安作業,確保其具有安全可靠的資通環境。
二、為利資安署掌握全國資通安全現況,爰增訂第六項。
二、為利資安署掌握全國資通安全現況,爰增訂第六項。
第十七條
關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
特定關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,設置資通安全人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。
立法說明
一、考量資安威脅日漸加劇,為強化特定關鍵基礎設施提供者以外的特定非公務機關資安防護能量並能及時應處,避免其他業務排擠資安業務量能,爰立法增訂特定非公務機關應設置資通安全人員,辦理資通安全業務,以落實事前是中及事後各項資安作業,確保其具有安全可靠的資通環境。
二、資通安全已經成為公、私機關非常重要的課題,而資通安全人才成為各界爭取的對象,為免特定非公務機關於人才競爭屈居弱勢,爰訂定需要設置資通安全人員,但非以專職為必要,更符實際。
二、資通安全已經成為公、私機關非常重要的課題,而資通安全人才成為各界爭取的對象,為免特定非公務機關於人才競爭屈居弱勢,爰訂定需要設置資通安全人員,但非以專職為必要,更符實際。
第十八條
特定非公務機關為因應資通安全事件,應訂定通報及應變機制。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
特定非公務機關為因應資通安全事件,應訂定通報及應變機制。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。中央目的事業主管機關應設置通報窗口、線上通報平臺或通報專線。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交資安署。
前三項通報及應變機制之必要事項、通報內容、報告之提出送交、演練作業及其他應遵行事項之辦法,由主管機關定之。
中央目的事業主管機關或資安署知悉重大資通安全事件時,應提供相關協助;於適當時機並得公告與事件相關之必要內容及因應措施。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。中央目的事業主管機關應設置通報窗口、線上通報平臺或通報專線。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交資安署。
前三項通報及應變機制之必要事項、通報內容、報告之提出送交、演練作業及其他應遵行事項之辦法,由主管機關定之。
中央目的事業主管機關或資安署知悉重大資通安全事件時,應提供相關協助;於適當時機並得公告與事件相關之必要內容及因應措施。
立法說明
一、鑑於公、私部門(含特定非公務機關)間資通安全事件聯繫之重要性及即時性要求日增,為強化公私協力聯防,中央目的事業主管機關應設置通報窗口線上通報平臺或通報專線,俾利及時應變及合作,爰增訂第二項。
二、為增進特定非公務機關因應資通安全事件之處理能力,於第四項之授權項目增訂演練作業。
三、中央目的事業主管機關知悉該管業務相關之重大安全事件時,有積極提供協助之必要,爰修正"應"提供相關協助。
二、為增進特定非公務機關因應資通安全事件之處理能力,於第四項之授權項目增訂演練作業。
三、中央目的事業主管機關知悉該管業務相關之重大安全事件時,有積極提供協助之必要,爰修正"應"提供相關協助。
第十九條
公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
前項懲處事項之辦法,由主管機關定之。
前項懲處事項之辦法,由主管機關定之。
公務機關所屬人員未依本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
前項懲處事項之辦法,由主管機關定之。
特定非公務機關所屬人員未依本法規定辦理,情節重大者,由特定非公務機關依規定予以懲處。
前項懲處事項之辦法,由主管機關定之。
特定非公務機關所屬人員未依本法規定辦理,情節重大者,由特定非公務機關依規定予以懲處。
立法說明
為促進特定非公務機關所屬人員對於資通安全工作之重視與投入,比照公務機關所屬人員規定,針對未依本法規定辦理,情節重大者,增訂第三項,定明由特定非公務機關予以懲處。
