選擇版本
綠色為新增 紅色為刪除
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
第一條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益,特制定本法。
說明
一、明定本法之立法目的。
二、隨著數位及其他資通科技(Information Communication Technology)應用之普及,資通安全議題日益受到重視。為有效規劃我國之資通安全管理政策,落實於公、私部門,以建構安全之資通環境,進而保障國家安全,維護社會公共利益,特制定本法。
二、隨著數位及其他資通科技(Information Communication Technology)應用之普及,資通安全議題日益受到重視。為有效規劃我國之資通安全管理政策,落實於公、私部門,以建構安全之資通環境,進而保障國家安全,維護社會公共利益,特制定本法。
第二條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
本法之主管機關為行政院。
說明
明定本法之主管機關為行政院。
第三條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
說明
明定本法用詞定義:
(一)參考美國國家標準技術研究所(National Institute of Standards and Technology)SP800-60 Volume I: Guild for Mapping Type of Information and Information System to Security Categories及經濟部標準檢驗局公布國家標準CNS 27001「資訊技術─安全技術─資訊安全管理─要求事項」等文件,於第一款至第三款規定資通系統、資通服務及資通安全之定義。
(二)第四款資通安全事件之定義。
(三)第五款規定公務機關。公務機關指依法行使公權力之中央、地方機關(構)或公法人,例如總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、公立社會教育機構、公立文化機構、公立醫療機構或行政法人等。
(四)第六款規定特定非公務機關,包括關鍵基礎設施提供者、公營事業及政府捐助之財團法人。其中政府捐助之財團法人之定義,則明定於第九款。
(五)第七款明定關鍵基礎設施之內涵,並考量關鍵基礎設施因應環境與時代變遷,其範圍可能調整,故規定由行政院公告之。我國現行重要關鍵基礎設施所涉領域包括能源、水資源、通訊傳播、交通、金融、高科技園區等;以通訊傳播領域為例,目前該領域之一級關鍵基礎設施均為我國第一類電信業者;又以高科技園區為例,園區本身為關鍵基礎設施,而提供該園區正常運作之電力、電信及供水等設施者,即為關鍵基礎設施提供者,而位於園區內之廠商則為使用者,非關鍵基礎設施提供者。行政院為本款規定之公告時,將僅公告領域名稱(如通訊傳播、高科技園區),並將公布該領域內為關鍵基礎設施提供者之組織名稱,而非公布該組織內之關鍵基礎設施具體設備。
(六)第八款規定關鍵基礎設施提供者為由中央目的事業主管機關指定其中具重要性者,並報行政院核定之。另為合理及適切訂定關鍵基礎設施提供者範疇,中央目的事業主管機關於指定關鍵基礎設施提供者前,應徵詢相關公務機關、民間團體、專家學者之意見,事後並應以書面通知受核定者,且行政院應將關鍵基礎設施提供者名單送立法院備查,相關程序均於第十六條規範。
(七)本法係以風險管理概念界定規範對象,即經由風險評估程序,認其資通安全有相當風險者,始納入本法規範範疇;目前係以組織為規範對象,並非以個人為規範對象,且未及於所有民間企業、團體,須視其是否屬本法所定特定非公務機關之範疇而定,併予敘明。
(一)參考美國國家標準技術研究所(National Institute of Standards and Technology)SP800-60 Volume I: Guild for Mapping Type of Information and Information System to Security Categories及經濟部標準檢驗局公布國家標準CNS 27001「資訊技術─安全技術─資訊安全管理─要求事項」等文件,於第一款至第三款規定資通系統、資通服務及資通安全之定義。
(二)第四款資通安全事件之定義。
(三)第五款規定公務機關。公務機關指依法行使公權力之中央、地方機關(構)或公法人,例如總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、公立社會教育機構、公立文化機構、公立醫療機構或行政法人等。
(四)第六款規定特定非公務機關,包括關鍵基礎設施提供者、公營事業及政府捐助之財團法人。其中政府捐助之財團法人之定義,則明定於第九款。
(五)第七款明定關鍵基礎設施之內涵,並考量關鍵基礎設施因應環境與時代變遷,其範圍可能調整,故規定由行政院公告之。我國現行重要關鍵基礎設施所涉領域包括能源、水資源、通訊傳播、交通、金融、高科技園區等;以通訊傳播領域為例,目前該領域之一級關鍵基礎設施均為我國第一類電信業者;又以高科技園區為例,園區本身為關鍵基礎設施,而提供該園區正常運作之電力、電信及供水等設施者,即為關鍵基礎設施提供者,而位於園區內之廠商則為使用者,非關鍵基礎設施提供者。行政院為本款規定之公告時,將僅公告領域名稱(如通訊傳播、高科技園區),並將公布該領域內為關鍵基礎設施提供者之組織名稱,而非公布該組織內之關鍵基礎設施具體設備。
(六)第八款規定關鍵基礎設施提供者為由中央目的事業主管機關指定其中具重要性者,並報行政院核定之。另為合理及適切訂定關鍵基礎設施提供者範疇,中央目的事業主管機關於指定關鍵基礎設施提供者前,應徵詢相關公務機關、民間團體、專家學者之意見,事後並應以書面通知受核定者,且行政院應將關鍵基礎設施提供者名單送立法院備查,相關程序均於第十六條規範。
(七)本法係以風險管理概念界定規範對象,即經由風險評估程序,認其資通安全有相當風險者,始納入本法規範範疇;目前係以組織為規範對象,並非以個人為規範對象,且未及於所有民間企業、團體,須視其是否屬本法所定特定非公務機關之範疇而定,併予敘明。
第四條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
前項相關事項之推動,由主管機關以國家資通安全發展方案定之。
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
前項相關事項之推動,由主管機關以國家資通安全發展方案定之。
說明
一、鑒於資通安全之提升須以全民重視為前提,並須佐以先進之資通安全技術、軟硬體、專業人才等資源,政府應與民間共同提升全民資通安全意識,推動資通安全產業,以利先進資通安全技術、軟硬體、專業人才等之發展,爰參考日本網路安全基本法第十九條產業之振興及國際競爭力強化、第二十條研究開發之推動、第二十一條人才之確保等規定,為本條規範。
二、第二項明定本條相關事事項之推動,由行政院以國家資通安全發展方案定之。
三、關於租稅優惠措施,因事涉國家稅收,且現行已有產業創新條例、科學技術基本法等法律相關規定可資運用,爰不另於本法規範,併予敘明。
二、第二項明定本條相關事事項之推動,由行政院以國家資通安全發展方案定之。
三、關於租稅優惠措施,因事涉國家稅收,且現行已有產業創新條例、科學技術基本法等法律相關規定可資運用,爰不另於本法規範,併予敘明。
第五條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
主管機關應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告、對公務機關資通安全維護計畫實施情形稽核概況報告及資通安全發展方案。
前項情勢報告、實施情形稽核概況報告及資通安全發展方案,應送立法院備查。
前項情勢報告、實施情形稽核概況報告及資通安全發展方案,應送立法院備查。
說明
一、考量我國有關資通安全政策之推動所涉範圍甚廣,為利相關業務之推動,行政院應考量國家資通安全相關事務發展之需求,規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜。為使各界了解國家資通安全趨勢,行政院原則將每年公布國家資通安全情勢報告及對公務機關資通安全維護計畫實施情形稽核概況報告;另配合國家資通安全政策之推動,原則以四年為一期公布資通安全發展方案,逐年滾動檢討修正並公布,爰於第一項明定上開事項。
二、為使立法院能掌握國家資通安全情勢、行政院對公務機關資通安全維護計畫實施情形之稽核概況及資通安全發展方案,爰於第二項明定第一項之報告及方案均應送立法院備查。
二、為使立法院能掌握國家資通安全情勢、行政院對公務機關資通安全維護計畫實施情形之稽核概況及資通安全發展方案,爰於第二項明定第一項之報告及方案均應送立法院備查。
第六條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
主管機關得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。
前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。
前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。
說明
照民進黨黨團及親民黨黨團修正動議條文通過。
第七條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
說明
照民進黨黨團修正動議條文通過。
第八條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
主管機關應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。
說明
一、為增進與改善我國境內面對資通安全威脅與風險之應變能力及策略擬定,應建立相關資通安全情資分享機制,爰為第一項規定。
二、第二項定明資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之,以資遵循。
二、第二項定明資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之,以資遵循。
第九條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
說明
考量公務機關或特定非公務機關於本法適用範圍內委外辦理資通系統建置、維運或資通服務之提供時,應依所委外項目之性質與資通安全需求,選任適當之受託者,並就受託者之資通安全維護為監督,以確保國家安全、社會公共利益或個人權益,爰為本條規定。相關監督事項之技術性及細節性內容,將於施行細則中規定。
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
第十條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
說明
一、為確保公務機關之資通安全,避免因人為疏失、蓄意或自然災害等風險,致機關資通系統或資訊遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務,公務機關(包含總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府與其所屬或監督之各級公務機關及直轄市議會、縣(市)議會等)應符合第六條第一項所定資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫,爰為本條規定。公務機關訂修及實施上開計畫,應衡酌機關資源之合理分配,並依循上級或監督機關之相關資通安全規定為之。
二、有關資通安全維護計畫之內容,將由行政院訂定範本,提供各公務機關參考,以利執行。
二、有關資通安全維護計畫之內容,將由行政院訂定範本,提供各公務機關參考,以利執行。
第十一條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。
說明
為確保有效推動資通安全維護事項,公務機關應置資通安全長,由其成立相關推動組織及督導推動相關工作。考量資通安全長如由副首長擔任,更能提升資通安全於機關中之重要性,並參考美國二○一四年聯邦資訊安全現代化法(Federal Information Security Modernization Act of 2014)§3554關於資訊長應指定資深資安專責人員負責相應事務規定之意旨,爰為本條規定。
第十二條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交主管機關。
說明
參考日本網路安全基本法第十二條有關促進地方公共團體確保網路資訊安全相關事項之規定,及同法第三十條規定相關行政機關之首長應適時提供與網路資訊安全相關之資料或資訊,以利執行所掌事務之精神,明定公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形,以確認其實施成效,並使上級或監督機關得了解及稽核所屬或受監督機關之年度資通安全維護情形。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應將資通安全維護計畫實施情形送交主管機關。
第十三條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
說明
一、第一項規定公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。各公務機關對於其所屬或監督之各級公務機關,應依其機關層級、業務及其他相關情形,就稽核之基準、頻率、內容與方法訂定相關行政規則,以利執行。稽核時,宜考量受稽核者歷來接受行政院、上級或監督機關稽核之頻率與結果等因素,決定最適之受稽核者。
二、第二項規定受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級或監督機關提出改善報告,以確保資通安全維護計畫之落實及政府資通安全維護之強度。
二、第二項規定受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級或監督機關提出改善報告,以確保資通安全維護計畫之落實及政府資通安全維護之強度。
第十四條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。
說明
一、為即時掌控資通安全事件,並有效降低其所造成之損害,爰於第一項規定公務機關應建立資通安全事件之通報及應變機制。所稱資通安全事件,係指資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,致有無法符合機密性、完整性及可用性之事件;其具體類型將於施行細則及本條第四項授權訂定之辦法中規範。
二、參考日本網路安全基本法第十八條政府相關組織就有重大網路安全影響之虞之事件有相互合作、分享資訊並採取必要措施之義務之規定,於第二項明定公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應通報主管機關。
三、考量公務機關於知悉資通安全事件後,應進行調查、處理及改善工作,爰於第三項規定公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關,以利上級機關或監督機關監督,並得據以提供必要之協助。
四、關於公務機關資通安全事件之通報及應變,目前有「國家資通安全通報應變作業綱要」可資遵循參考,於本法施行後,應檢視原有機制並依本法要求調整之,故第四項授權主管機關訂定第一項至第三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,以利公務機關適用。
二、參考日本網路安全基本法第十八條政府相關組織就有重大網路安全影響之虞之事件有相互合作、分享資訊並採取必要措施之義務之規定,於第二項明定公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應通報主管機關。
三、考量公務機關於知悉資通安全事件後,應進行調查、處理及改善工作,爰於第三項規定公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關,以利上級機關或監督機關監督,並得據以提供必要之協助。
四、關於公務機關資通安全事件之通報及應變,目前有「國家資通安全通報應變作業綱要」可資遵循參考,於本法施行後,應檢視原有機制並依本法要求調整之,故第四項授權主管機關訂定第一項至第三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,以利公務機關適用。
第十五條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。
前項獎勵事項之辦法,由主管機關定之。
前項獎勵事項之辦法,由主管機關定之。
說明
為促進公務機關所屬人員對於資通安全工作之重視與投入,該等人員於踐行本法要求事項成果優良或卓越時,應予獎勵,其獎勵辦法由主管機關定之,爰為本條規定。
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
第十六條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
說明
一、於第一項明訂關鍵基礎設施提供者之指定程序規定。
二、因關鍵基礎設施涉及國家安全、社會公共利益、國民生活及經濟活動,爰於第二項規定關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並訂定、修正及實施資通安全維護計畫,以確保其資通安全。
三、為使中央目的事業主管機關掌握所管關鍵基礎設施提供者之資通安全維護計畫實施狀況,爰於第三項規定關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形,以利中央目的事業主管機關監督,並適時提供相關建議或協助。
四、為確保資通安全維護計畫之落實,於第四項規定中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。稽核時,宜考量受稽核者歷來接受中央目的事業主管機關稽核之頻率與稽核結果等因素,決定最適之受稽核者名單與頻率。
五、第五項規定關鍵基礎設施提供者之資通安全維護計畫實施情形有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關,以確保資通安全維護計畫之落實。
六、考量資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,其內容宜有一致性,以利關鍵基礎設施提供者適用與遵循,爰於第六項規定,由中央目的事業主管機關擬訂,並報請主管機關核定之。
七、中央目的事業主管機關宜訂定非特定公務機關資通安全維護計畫之範本,以供非特定公務機關參考。
二、因關鍵基礎設施涉及國家安全、社會公共利益、國民生活及經濟活動,爰於第二項規定關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並訂定、修正及實施資通安全維護計畫,以確保其資通安全。
三、為使中央目的事業主管機關掌握所管關鍵基礎設施提供者之資通安全維護計畫實施狀況,爰於第三項規定關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形,以利中央目的事業主管機關監督,並適時提供相關建議或協助。
四、為確保資通安全維護計畫之落實,於第四項規定中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。稽核時,宜考量受稽核者歷來接受中央目的事業主管機關稽核之頻率與稽核結果等因素,決定最適之受稽核者名單與頻率。
五、第五項規定關鍵基礎設施提供者之資通安全維護計畫實施情形有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關,以確保資通安全維護計畫之落實。
六、考量資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,其內容宜有一致性,以利關鍵基礎設施提供者適用與遵循,爰於第六項規定,由中央目的事業主管機關擬訂,並報請主管機關核定之。
七、中央目的事業主管機關宜訂定非特定公務機關資通安全維護計畫之範本,以供非特定公務機關參考。
第十七條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
說明
一、考量關鍵基礎設施提供者以外之特定非公務機關亦應負相當之資通安全責任,仍應訂定安全維護計畫並提出計畫實施情形,爰參考日本網路安全基本法第三條賦予重要社會基礎業者配合政府資通安全政策之協力義務之規定,於第一項明定該等特定非公務機關應符合其所屬資通安全責任等級之要求,並修訂及實施資通安全維護計畫。
二、鑒於資通安全維護事項與事業之經營管理關係密切,對於特定非公務機關資通安全維護之指導、監督、管理及稽核,宜由各特定非公務機關之中央目的事業主管機關執行,爰為第二項及第三項規定。
三、考量資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,其內容宜有一致性,以利第一項之特定非公務機關適用與遵循,爰於第四項規定,由中央目的事業主管機關擬訂,並報請主管機關核定之。
四、中央目的事業主管機關宜訂定特定非公務機關資通安全維護計畫之範本,以供特定非公務機關參考。
二、鑒於資通安全維護事項與事業之經營管理關係密切,對於特定非公務機關資通安全維護之指導、監督、管理及稽核,宜由各特定非公務機關之中央目的事業主管機關執行,爰為第二項及第三項規定。
三、考量資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,其內容宜有一致性,以利第一項之特定非公務機關適用與遵循,爰於第四項規定,由中央目的事業主管機關擬訂,並報請主管機關核定之。
四、中央目的事業主管機關宜訂定特定非公務機關資通安全維護計畫之範本,以供特定非公務機關參考。
第十八條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
特定非公務機關為因應資通安全事件,應訂定通報及應變機制。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
說明
照民進黨黨團修正動議條文通過。
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
第十九條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
前項懲處事項之辦法,由主管機關定之。
前項懲處事項之辦法,由主管機關定之。
說明
對於公務機關所屬人員之懲戒、懲處本有公務人員考績法、公務員懲戒法等規定加以規範,惟為促進該等人員對於資通安全工作之重視與投入,爰於本條規定主管機關應訂定懲處事項之辦法,對公務機關所屬人員未遵守本法規定者,按情節輕重予以懲處。
第二十條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰:
一、未依第十六條第二項或第十七條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫必要事項之規定。
二、未依第十六條第三項或第十七條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。
三、未依第七條第三項、第十六條第五項或第十七條第三項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第六項或第十七條第四項所定辦法中有關改善報告提出之規定。
四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。
五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。
六、違反第十八條第四項所定辦法中有關通報內容之規定。
一、未依第十六條第二項或第十七條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫必要事項之規定。
二、未依第十六條第三項或第十七條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。
三、未依第七條第三項、第十六條第五項或第十七條第三項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第六項或第十七條第四項所定辦法中有關改善報告提出之規定。
四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。
五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。
六、違反第十八條第四項所定辦法中有關通報內容之規定。
說明
照民進黨黨團修正動議條文通過。
第二十一條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
特定非公務機關未依第十八條第二項規定,通報資通安全事件,由中央目的事業主管機關處新臺幣三十萬元以上五百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。
說明
照委員修正動議修正通過。
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
第二十二條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
本法施行細則,由主管機關定之。
說明
本法施行細則之訂定機關。
第二十三條
此條文為新增條文,無原條文可比對。
107/05/11 制定版本
本法施行日期,由主管機關定之。
說明
本法施行日期,考量配套子法作業時程,並為周延法制,以落實本法規定之執行,爰授權由主管機關定之。
