郭昱晴
選擇章節
第六條
主管機關得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。
前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。
前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。
主管機關得委託其他公務機關辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。
數位發展部資通安全署得委託其他公務機關辦理國家資通安全防護、演練、稽核及其他資通安全相關事務。
前二項受委託之公務機關,不得洩露辦理相關事務過程中所知悉之秘密。
特定非公務機關之業務涉及數個中央目的事業主管機關之權責,主管機關應協調與業務關聯性最高之中央目的事業主管機關,辦理本法所定中央目的事業主管機關應辦理之事項。
數位發展部資通安全署得委託其他公務機關辦理國家資通安全防護、演練、稽核及其他資通安全相關事務。
前二項受委託之公務機關,不得洩露辦理相關事務過程中所知悉之秘密。
特定非公務機關之業務涉及數個中央目的事業主管機關之權責,主管機關應協調與業務關聯性最高之中央目的事業主管機關,辦理本法所定中央目的事業主管機關應辦理之事項。
立法說明
一、本條係規範主管機關及資安署委託其他公務機關辦理資通安全相關事務之權限,並明確受委託機關之保密義務及跨機關協調機制。
二、考量實務運作需求,第一項規定主管機關得委託其他公務機關辦理資通安全整體防護、國際交流合作及其他資通安全事務,維持現行未委任所屬機關或委託法人團體之做法。
三、配合第二條第二項關於資安署職掌之規定,第二項增訂資安署得委託其他公務機關辦理國家資通安全防護、演練、稽核等事務,提供明確法源依據。
四、為確保資通安全事務之保密性,第三項規定受委託公務機關不得洩露辦理過程中知悉之秘密,擴大保密範圍至所有相關秘密,而非僅限關鍵基礎設施提供者之秘密,並排除複委託情事。
五、特定非公務機關之業務可能涉及數個中央目的事業主管機關之權責,為避免權責不清,第四項增訂主管機關應協調與業務關聯性最高之機關辦理本法相關事項,將施行細則第十二條提升至本法,並酌修文字,強化協調機制之法律位階。
二、考量實務運作需求,第一項規定主管機關得委託其他公務機關辦理資通安全整體防護、國際交流合作及其他資通安全事務,維持現行未委任所屬機關或委託法人團體之做法。
三、配合第二條第二項關於資安署職掌之規定,第二項增訂資安署得委託其他公務機關辦理國家資通安全防護、演練、稽核等事務,提供明確法源依據。
四、為確保資通安全事務之保密性,第三項規定受委託公務機關不得洩露辦理過程中知悉之秘密,擴大保密範圍至所有相關秘密,而非僅限關鍵基礎設施提供者之秘密,並排除複委託情事。
五、特定非公務機關之業務可能涉及數個中央目的事業主管機關之權責,為避免權責不清,第四項增訂主管機關應協調與業務關聯性最高之機關辦理本法相關事項,將施行細則第十二條提升至本法,並酌修文字,強化協調機制之法律位階。
第七條
主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
公務機關及特定非公務機關,應按其業務重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,報由資安署核定或備查其資通安全責任等級。
公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理、技術、認知及訓練等面向,辦理資通安全防護措施。
前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通安全防護措施辦理項目、內容、專職人員之配置與專業條件及其他相關事項之辦法,由主管機關定之。
主管機關得視公務機關或特定非公務機關之規模、資安資源、業務屬性及其他情形,設置輔導機制,以協助其逐步符合相關等級要求。
公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理、技術、認知及訓練等面向,辦理資通安全防護措施。
前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通安全防護措施辦理項目、內容、專職人員之配置與專業條件及其他相關事項之辦法,由主管機關定之。
主管機關得視公務機關或特定非公務機關之規模、資安資源、業務屬性及其他情形,設置輔導機制,以協助其逐步符合相關等級要求。
立法說明
一、現行第一項前段規定酌作文字修正,以符實際,並列為修正條文第一項。
二、公務機關及特定非公務機關辦理資通安全防護措施應符合資通安全責任等級之要求,爰增訂第二項。
三、現行第一項後段規定移列為修正條文第三項,並就其授權範圍及內容酌作修正,以資明確。
四、現行第二項及第三項移列修正條文第八條規定,爰予刪除。
五、因應機關規模、資源與業務屬性的差異,提供調整時間與客製化技術支持,降低系統轉型成本與風險。為提升合規意願與可行性,確保政策在嚴格要求與實際執行間取得平衡,有效推動資安目標達成。
二、公務機關及特定非公務機關辦理資通安全防護措施應符合資通安全責任等級之要求,爰增訂第二項。
三、現行第一項後段規定移列為修正條文第三項,並就其授權範圍及內容酌作修正,以資明確。
四、現行第二項及第三項移列修正條文第八條規定,爰予刪除。
五、因應機關規模、資源與業務屬性的差異,提供調整時間與客製化技術支持,降低系統轉型成本與風險。為提升合規意願與可行性,確保政策在嚴格要求與實際執行間取得平衡,有效推動資安目標達成。
第十條之一
公務機關不得下載、安裝或使用危害國家資通安全產品;其自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務,亦同。但因業務需求且無其他替代方案者,經該機關資通安全長及依第十四條規定收受其實施情形之機關資通安全長核可,函報主管機關核定後,得以專案方式使用,並列冊管理。
主管機關應建立危害國家資通安全產品專案核可案件之資訊查詢與管理平台,彙整各機關專案使用之產品類別、核可條件及使用機關等資訊,供主管機關掌握與追蹤管理。
公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。
前二項有關危害國家資通安全產品之審查程序、風險評估、情資分享、使用限制及其他相關事項之辦法,由主管機關會商有關機關擬訂,報請行政院核定之。
主管機關應建立危害國家資通安全產品專案核可案件之資訊查詢與管理平台,彙整各機關專案使用之產品類別、核可條件及使用機關等資訊,供主管機關掌握與追蹤管理。
公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。
前二項有關危害國家資通安全產品之審查程序、風險評估、情資分享、使用限制及其他相關事項之辦法,由主管機關會商有關機關擬訂,報請行政院核定之。
立法說明
一、本條新增。
二、為維護國家資通安全,禁止公務機關下載、安裝或使用危害國家資通安全產品,並規範其自行或委外營運場所之傳播設備及網際網路接取服務,以確保資訊流通安全。
三、「危害國家資通安全產品」包含受《反滲透法》滲透來源控制之產品或其他具資安風險產品。第三項授權主管機關會商相關機關訂定審查程序、風險評估、情資分享等辦法,由產業主管、國安、經貿等機關共同審查,確保授權明確與審查專業。。
四、但書允許因業務需求且無替代方案時,經雙重資通安全長核可及主管機關核定,以專案方式使用並列冊管理。第二項要求主管機關建立資訊查詢與管理平台,追蹤專案使用情形,確保透明與可控。
二、為維護國家資通安全,禁止公務機關下載、安裝或使用危害國家資通安全產品,並規範其自行或委外營運場所之傳播設備及網際網路接取服務,以確保資訊流通安全。
三、「危害國家資通安全產品」包含受《反滲透法》滲透來源控制之產品或其他具資安風險產品。第三項授權主管機關會商相關機關訂定審查程序、風險評估、情資分享等辦法,由產業主管、國安、經貿等機關共同審查,確保授權明確與審查專業。。
四、但書允許因業務需求且無替代方案時,經雙重資通安全長核可及主管機關核定,以專案方式使用並列冊管理。第二項要求主管機關建立資訊查詢與管理平台,追蹤專案使用情形,確保透明與可控。
