您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

法規內容

法規名稱: 經濟部所管特定非公務機關資通安全管理作業辦法
公發布日: 民國 108 年 02 月 23 日
修正日期: 民國 111 年 01 月 25 日
發文字號: 經資字第11104880190號 令
法規體系: 經濟部部內各單位/經濟部資訊處
立法理由:
法規功能按鈕區
    第一章  總則
第一條
本辦法依資通安全管理法(以下簡稱本法)第十六條第六項及第十七條第四項
規定訂定之。

第二條
本辦法所稱關鍵基礎設施提供者,指經濟部(以下簡稱本部)依本法第十六條
第一項規定指定,報請主管機關核定者。

    第二章  資通安全維護計畫必要事項及實施情形之提出
第三條
本部所管特定非公務機關(以下簡稱特定非公務機關)之資通安全維護計畫,
應依本法施行細則第六條第一項規定辦理。
特定非公務機關依本法第十六條第三項或第十七條第二項規定提出資通安全維
護計畫實施情形,應依本法施行細則第六條第二項規定辦理。

第四條
關鍵基礎設施提供者應於每年一月底前,依本部指定之方式提出當年度資通安
全維護計畫。
關鍵基礎設施提供者以外之特定非公務機關,經本部要求提出資通安全維護計
畫者,應於收受本部通知後二個月內,依本部指定之方式提出。

第五條
關鍵基礎設施提供者應於每年一月底前,依本部指定之方式提出前一年度資通
安全維護計畫實施情形。
關鍵基礎設施提供者以外之特定非公務機關,經本部依本法第十七條第二項規
定要求提出資通安全維護計畫實施情形者,應於收受本部通知後二個月內,依
本部指定之方式提出。

    第三章  資通安全維護計畫實施情形之稽核
第六條
本部除因不可抗力因素外,應於每年五月底前擇定關鍵基礎設施提供者,並得
擇定其他特定非公務機關,以現場實地稽核之方式,稽核其資通安全維護計畫
實施情形。
本部為辦理前項稽核,應訂定稽核計畫,其內容包括稽核之依據與目的、期間
、稽核小組組成方式、保密義務、稽核方式、基準及項目等與稽核相關之事項

本部決定前項稽核之基準及項目時,應綜合考量我國資通安全政策、國內外資
通安全趨勢、過往稽核成效及稽核資源等因素。
本部依第一項規定擇定受稽核之特定非公務機關(以下簡稱受稽核者)時,應
綜合考量其資通安全責任等級、資通安全事件發生之頻率與程度、資通安全演
練之成果、歷年受主管機關或本部稽核之頻率與結果及其他與資通安全相關之
因素。

第七條
本部辦理前條第一項之稽核,應於一個月前將稽核計畫以書面通知受稽核者。
受稽核者因業務因素或其他正當理由,未能於本部指定之時間配合稽核者,得
於收受前項通知後五日內,以書面敘明理由向本部申請變更稽核日期。
前項申請,除有不可抗力之事由外,以一次為限。

第八條
本部辦理第六條第一項之稽核,得要求受稽核者為資通安全維護計畫實施情形
之相關說明、協力或提供相關文件或證明供現場查閱,並執行下列事項:
一、稽核前訪談。
二、現場實地稽核。
受稽核者依法律有正當理由,未能為前項說明、配合措施或提供資料時,應以
書面敘明理由,向本部提出。
本部收受前項書面後,應進行審核,依下列規定辦理,並得停止稽核作業之全
部或一部:
一、認有理由者,應將審核之依據及相關資訊記載於稽核結果報告。
二、認無理由者,應要求受稽核者依第一項規定辦理;已停止稽核作業者,得
    擇期續行辦理,並於十日前以書面通知受稽核者。

第九條
本部為辦理第六條第一項之稽核,應依同條第四項之考量因素及實際稽核需求
,就各受稽核者分別組成稽核小組。
前項稽核小組成員至少三人,由具備資通安全政策或該次稽核所需之技術、管
理、法律或實務專業知識之公務機關代表或專家學者擔任;其中公務機關代表
不得少於全體成員人數之四分之一。
前項公務機關代表或專家學者有下列情形之一者,應主動迴避擔任該次稽核之
稽核小組成員:
一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人,與受
    稽核者或其負責人間有財產上或非財產上之利害關係。
二、本人、其配偶、三親等內親屬或家屬,與受稽核者或其負責人間,目前或
    過去一年內有僱傭、承攬、委任、代理或其他類似之關係。
三、本人目前或過去一年內曾任職之機關(構)、事業或單位,曾為受稽核者
    進行與受稽核項目相關之顧問輔導。
四、其他足認擔任稽核小組成員將影響稽核結果公正性之情形。
本部應以書面與稽核小組成員約定利益衝突之迴避事項及執行稽核之保密義務


第十條
本部應於稽核作業完成後二個月內,將稽核結果報告交付受稽核者。
前項稽核結果報告之內容,應包括稽核之範圍、缺失或待改善事項、第八條第
二項所定受稽核者未能為說明、配合措施或提供資料之情形與理由及其他相關
事項。
本部辦理稽核後,應於次年度一月底前彙整第一項稽核結果報告,並提交主管
機關備查。

第十一條
受稽核者經發現其資通安全維護計畫實施情形有缺失或待改善者,應於收受稽
核結果報告後一個月內,依本法施行細則第三條規定及本部指定之方式,向本
部提出改善報告。
受稽核者依前項規定提出改善報告後,應依其缺失或待改善事項之性質及程度
,適時以書面提出改善報告之執行情形;本部認有必要時,得要求受稽核者進
行說明或調整。

    第四章  附則
第十二條
本辦法所定書面,依電子簽章法之規定,得以電子文件為之。

第十三條
本辦法所定特定非公務機關提出資通安全維護計畫與其實施情形之通知、收受
及該計畫實施情形之稽核事務,本部得委任所屬機關或委託其他公務機關辦理

前項受委任或委託之公務機關對於辦理受任或受託事務所獲悉特定非公務機關
之秘密,不得洩漏。

第十四條
本辦法自發布日施行。