您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態

經濟部主管法規共用系統

列印時間:113.12.04 03:00

法規內容

法規名稱: 經濟部及所屬公務機關資通安全稽核管理要點
公發布日: 民國 108 年 03 月 05 日
修正日期: 民國 110 年 10 月 14 日
發文字號: 經資字第11004883910號函
法規體系: 經濟部部內各單位/經濟部資訊處
法規功能按鈕區
一、經濟部(以下簡稱本部)為辦理資通安全管理法(以下簡稱本法)第十三
    條所定事項,特定本要點。
二、本部及所屬公務機關(以下簡稱稽核機關)除因不可抗力因素外,應依所
    管公務機關提報之資通安全維護計畫實施情形,於每年五月前擇定所管公
    務機關(以下簡稱受稽核機關),以現場實地查核方式,稽核其資通安全
    維護計畫實施情形。
    稽核機關應綜合考量資通安全責任等級、資通安全事件發生頻率與程度、
    資通安全演練結果、歷年受稽核頻率與結果及其他與資通安全相關等因素
    ,擇定受稽核機關。
三、稽核機關辦理前點稽核應訂定稽核計畫,其內容應包括稽核依據與目的、
    稽核期間、稽核小組組成方式、保密義務、稽核方式、基準及項目等相關
    事項,並應於實施稽核前一個月將稽核計畫以書面或電子方式通知受稽核
    機關。
四、受稽核機關如因業務因素或其他正當理由,無法於指定之時間配合執行稽
    核,應於收受前點通知後五日內,以之時間配合執行稽核,應於收受前點
    通知後五日內,以書面敘明理由向稽核機關申請變更稽核日期。
    前項申請,除有不可抗力之事由外,以一次為限。
五、稽核機關辦理稽核時,得要求受稽核機關之人員為資通安全維護計畫實施
    情形之相關說明、協力或提供相關文件或證明供現場查閱,並執行下列事
    項:
    (一)稽核前訪談。
    (二)現場實地稽核。
六、稽核機關應依實際稽核需求,就各受稽核機關分別組成稽核小組。
    前項稽核小組成員三人至七人,由具備資通安全政策或稽核所需之技術、
    管理、法律或實務專業知識之公務機關代表或專家學者擔任;其中公務機
    關代表不得少於三分之一。前項公務機關代表或專家學者有下列情形之ㄧ
    者,應主動迴避擔任稽核小組成員:
    (一)目前或過去一年內曾為受稽核機關進行與受稽核項目相關之顧問輔導
        。
    (二)目前或過去一年內曾任職於受稽核機關。
    (三)其他足認擔任稽核小組成員將影響稽核結果公正性之情形。稽核機關
        應以書面與稽核小組成員約定利益衝突之迴避事項及執行稽核之保密
        義務。
七、稽核機關應於稽核完成後一個月內,將稽核結果報告交付受稽核機關。
    前項稽核結果報告之內容,應包括稽核範圍、缺失或待改善事項及其他相
    關事項。本部所屬機關應每年彙整第一項稽核結果報告,並於次年度一月
    底前提交本部備查。
八、受稽核機關經稽核發現其資通安全維護計畫實施有缺失或待改善者,應於
    收受稽核結果報告後一個月內,依本法施行細則第三條規定及稽核機關指
    定之方式,提出書面改善報告。
    受稽核機關依應依其缺失或待改善事項之性質及程度,適時以書面提出改
    善報告執行情形;稽核機關認有必要時,得要求受稽核機關進行說明或調
    整。
資料來源:經濟部主管法規共用系統